Google expõe quadrilha que atacava empresas e abria porta para ransomware

O Grupo de Análises de Ameaça do Google revelou nesta semana o funcionamento de um bando cibercriminoso conhecido como Exotic Lily, que realiza ataques de phishing contra empresas e serve como intermediário para golpes de ransomware. A partir da intrusão inicial feita em empresas, a partir de falhas de segurança no Windows ou instalação de malwares, também podem se seguir contaminações por pragas de sequestro como Conti e Diavol.

O relatório mostra uma operação em grande escala, com envios de mais de cinco mil e-mails a 650 organizações em um único dia. Foi curiosa, também, a ideia de que o Exotic Lily funciona como uma empresa, com seus membros realizando ataques em dias de semana, das 8h às 17h, e registrando pouca atividade durante os finais de semana. É, ao mesmo tempo, uma forma de sincronizar horários com os das empresas que são alvo e, também, uma estrutura inusitada para o cibercrime.

Um dos principais vetores é a falha CVE-2021-40444 no sistema MSHTML do Windows, já corrigida pela Microsoft. Após isso, começaram campanhas usando arquivos contaminados com malwares como o BazarLoader, que baixa uma solução chamada Bumblebee, responsável por detectar características do sistema e as enviar para um servidor sob controle dos criminosos. Ele, também, pode enviar comandos para a realização de diferentes ataques, como a instalação de novas pragas, o roubo de arquivos e, como dito, o download de ransomware.

Os golpes, também, parecem ser direcionados, já que sempre começam com o registro de um domínio. O próprio endereço é usado na distribuição dos e-mails, que envolvem falsas propostas de negócios com direito até mesmo a perfis dos supostos funcionários em redes sociais como o LinkedIn, tudo para dar aparência de legitimidade ao golpe. Por fim, claro, vem o link com supostos documentos que, na realidade, permitem a instalação do malware.

Os trabalhos também parecem mudar constantemente, como forma de evitar detecção. O relatório aponta que o Exotic Lily já começa a se afastar dos arquivos disponibilizados na nuvem para entregar documentos comprometidos, que usam DLLs como vetor de uma variante mais avançada do instalador de malware original, ainda que a sequência do golpe continue semelhante às das operações anteriores.

Elo na estrutura do ransomware

O grupo de especialistas do Google encontrou ligações entre as atividades do Exotic Lily e do ransomware Conti, mas a ideia é que o bando agora exposto funcione de forma independente, abrindo as portas para ataques realizados por terceiros. Outras atividades da quadrilha envolvem a criação de páginas e domínios falsos, parecidos com os oficiais das corporações atingidas, além do upload de pragas para sistemas de hospedagem legítimos na nuvem, em tentativas de enganar vítimas e burlar detecção por softwares de segurança.

Outro indício de que não há ligação é o fato de o grupo não ser citado nas dezenas de milhares de mensagens que vazaram nas últimas semanas, expondo a estrutura interna e o funcionamento do Conti. Desde antes já se sabia que o bando não estava envolvido em atividades de spam, com menções sobre isso em meio aos textos citando o uso de intermediários e outras quadrilhas como maneira de obter o vetor inicial para as contaminações mais perigosas e direcionadas contra organizações de todo o mundo.

Fonte: Google TAG, Bleeping Computer