Praga usada por perigosa quadrilha de ransomware está mais furtiva e perigosa
Por Felipe Demartini | Editado por Claudio Yuge | 09 de Setembro de 2022 às 16h20
Em mais uma evolução de suas ferramentas de intrusão, o grupo Conti está usando uma nova versão da praga Bumblebee, usada para entregar outras ameaças e executar ataques em sistemas infectados. O malware ganhou capacidades adicionais e está mais furtivo, rodando a partir da memória dos dispositivos e não mais do disco rígido, o que reduz ainda mais sua capacidade de se esconder de softwares de segurança.
- O que é ransomware? Aprenda tudo sobre a ameaça e como removê-la
- 80% dos ataques de ransomware acontecem por falhas de configuração
O ataque usa uma combinação de técnicas sofisticadas para fazer isso. Como nos golpes mais recentes contra dispositivos Windows, a contaminação inicial a partir de mensagens e e-mails de phishing traz um arquivo de atalho comprometido ao sistema operacional, que por sua vez, injeta uma DLL comprometida na memória do computador. Os métodos anteriores, porém, mudaram, conforme demonstrado pelo pesquisador em segurança Max Malyutin, da empresa de segurança Cynet.
O que antes era uma imagem de disco em formato ZIP, agora, é um disco rígido virtual, que quando clicado, leva aos dados maliciosos. O método também recorre a janelas PowerShell com comandos de ocultamento, impedindo que até mesmo o próprio usuário veja as ações acontecendo enquanto a praga é carregada e baixa o arquivo DLL comprometido, a partir de módulos conectados.
O método de exploração posterior é clamado de injeção reflexiva e é capaz de executar diferentes checagens antes de esconder os próprios rastros, garantindo maior eficácia na contaminação do sistema. A partir daí, a porta está aberta para o download de ataques, que podem envolver o roubo de arquivos, movimentação lateral pela rede e golpes de ransomware.
Tanta sofisticação, claro, vem das mãos de uma das quadrilhas mais prolíficas do cenário atual, a Conti. A ideia de muitos pesquisadores é que o Bumblebee, com seu desenvolvimento acelerado e continuado, deve até mesmo substituir outras ferramentas usadas pelo grupo em seus ataques, principalmente, o também carregador de arquivos maliciosos BazarLoader, que vem sendo usado em golpes nos anos recentes.
Ao lado da TrickBot, voltada para a contaminação de dispositivos e transformação deles em máquinas a serviço de ataques de negação de serviços, o Conti tem na ativa uma série de malwares altamente poderosos. Isso explica sua permanência no topo da tabela de quadrilhas mais perigosas da atualidade, principalmente em um cenário de ameaças no qual a provisão de acesso a redes internas se tornou altamente lucrativa.
Novamente, a atenção ao vetor inicial é o principal meio para proteção. Os usuários corporativos devem evitar abrir arquivos anexados em e-mails, a não ser que tenham certeza absoluta de sua procedência. Desconfie, principalmente, de dados em formatos como LNK (atalhos do Windows), ISO (discos virtuais) e, agora, VHD (disco rígido virtual), principais vetores de contaminações assim.