spot_img
17.5 C
São Paulo
spot_img
HomeSecurityCrypt Ghouls: A Nova Ameaça Cibernética à Rússia

Crypt Ghouls: A Nova Ameaça Cibernética à Rússia

Crypt Ghouls: A Nova Ameaça Cibernética à Rússia
#Cibersegurança, #Ransomware, #CryptGhouls, #AtaquesCibernéticos, #Rússia, #Hacking, #SegurançaDigital
Alegon
By Alegon

A Ameaça Emergente dos Crypt Ghouls: Análise das Ações Cibernéticas contra a Rússia

A nova ameaça representada pelos Crypt Ghouls está ativamente vinculada a uma série de ataques cibernéticos que visam negócios e agências governamentais na Rússia, utilizando ransomware com os objetivos de desestabilizar operações e obter ganhos financeiros. Essa movimentação revela um fenômeno crescente na paisagem das ameaças cibernéticas, exigindo um exame aprofundado das ferramentas e metodologias utilizadas por esses atores.

Ferramentas e Metodologia

De acordo com a Kaspersky, o grupo utiliza um conjunto de ferramentas que inclui utilitários reconhecidos no meio das ciberameaças. Dentre as ferramentas identificadas estão:

“O grupo em análise possui um toolkit que inclui utilitários como Mimikatz, XenAllPasswordPro, PingCastle, Localtonet, resocks, AnyDesk, PsExec, entre outros.”

Como carga final, os Crypt Ghouls têm utilizado os ransomware LockBit 3.0 e Babuk. As vítimas dos ataques maliciosos incluem uma variedade de setores, como:

  • Agências governamentais
  • Mineração
  • Energia
  • Finanças
  • Varejo

Vetores de Invasão

A análise da Kaspersky destacou que a identificação do vetor de intrusão inicial ocorreu em apenas dois casos, os quais revelaram que os agentes de ameaça utilizaram as credenciais de login de um contratante para acessar os sistemas internos por meio de VPN. Essa abordagem indica não apenas um alto nível de sofisticação, mas também uma tentativa de operar de forma discreta, explorando relações de confiança.

As conexões VPN foram observadas originando-se de endereços IP associados a uma rede de provedores de hospedagem na Rússia, além da rede do contratante. Isso sugere que as redes de contratantes podem estar sendo comprometidas por meio de serviços de VPN ou vulnerabilidades de segurança não corrigidas.

Fases da Ataque

A fase inicial de acesso é seguida pela utilização das ferramentas NSSM e Localtonet para manter o acesso remoto, com a exploração subsequente facilitada pelas ferramentas listadas abaixo:

  1. XenAllPasswordPro para coletar dados de autenticação
  2. CobInt backdoor
  3. Mimikatz para extrair credenciais das vítimas
  4. dumper.ps1 para despejar tickets Kerberos do cache LSA
  5. MiniDump para extrair credenciais de login da memória do lsass.exe
  6. cmd.exe para copiar credenciais armazenadas nos navegadores Google Chrome e Microsoft Edge
  7. PingCastle para reconhecimento de rede
  8. PAExec para executar comandos remotos
  9. AnyDesk e resocks SOCKS5 proxy para acesso remoto

O desfecho dos ataques ocorre com a criptografia dos dados do sistema utilizando versões publicamente disponíveis do LockBit 3.0 para Windows e Babuk para Linux/ESXi. Além disso, são tomadas providências para criptografar dados presentes na Lixeira, dificultando a recuperação.

Comunicado e Estratégia de Chantagem

“Os atacantes deixaram uma nota de resgate com um link contendo sua ID no serviço de mensagens Session para contato futuro,” observou a Kaspersky.

Os atacantes conectam-se aos servidores ESXi via SSH, fazem upload do Babuk e iniciam o processo de criptografia dos arquivos nas máquinas virtuais. Essa ação demonstra um planejamento meticuloso e a disposição para explorar vulnerabilidades em infratexturas tecnológicas críticas.

Observações Finais e Comparações com Outros Grupos

A escolha de ferramentas e infraestrutura dos Crypt Ghouls em seus ataques se sobrepõe a campanhas similares conduzidas por outros grupos de hackers que visam a Rússia nos últimos meses, como:

“Os cibercriminosos estão aproveitando credenciais comprometidas, muitas vezes pertencentes a subcontratados, e ferramentas populares de código aberto,” afirmou a empresa. “O toolkit compartilhado utilizado em ataques à Rússia torna desafiador identificar os grupos hacktivistas específicos envolvidos.”

Esses desenvolvimentos sugerem que os atores em questão não somente compartilham conhecimento, mas também suas ferramentas, o que complica ainda mais a identificação de atores maliciosos específicos por trás da onda de ataques direcionados a organizações russas.

#Cibersegurança, #Ransomware, #CryptGhouls, #AtaquesCibernéticos, #Rússia, #Hacking, #SegurançaDigital

Fonte

Previous article
SpaceX Ganha Contrato Milionário com Força Espacial dos EUA
Next article
Segurança de Dados: Desmistificando Siglas e Estratégias

latest articles

explore more

Bem-vindo ao meu site! Aqui você encontrará assuntos que fazem parte do meu dia a dia, com temas variados que refletem meus interesses e experiências. Sente-se, pegue um café e aproveite o conteúdo que preparei com carinho. Tenho certeza de que você vai curtir!

most viewed

trending right now

Copyright © Alegon.

Disclaimer

FAQ

Cookies

Privacy

About

Contact us