Relatório de pesquisa do Trellix Threat Labs: Abril de 2022
Insights sobre a pesquisa de ameaças do quarto trimestre de 2021, além de descobertas e constatações recentes do Trellix Threat Labs
O quarto trimestre de 2021 viu o mundo sair de uma pandemia de dois anos, durante a qual malfeitores aproveitaram oportunidades de trabalho remoto e o Log4Shell foi um convidado indesejado para a festa. Durante o primeiro trimestre de 2022, o foco das ameaças mudou para campanhas que utilizam ameaças cibernéticas contra a infraestrutura ucraniana no conflito regional da Eurásia. O relatório de pesquisa mais recente do Trellix Threat Labs inclui nossas descobertas do quarto trimestre de 2021, nossa identificação de um ataque de espionagem em múltiplos estágios contra funcionários governamentais de alto escalão, nossa análise recente de ataques cibernéticos contra a Ucrânia e o recém-identificado HermeticWiper no primeiro trimestre.
Carta de nosso cientista-chefe
Bem-vindo ao nosso mais recente relatório de ameaças.
Estamos pouco a pouco saindo da pandemia, mas a incerteza em torno dos recentes conflitos na região da Eurásia domina nossas conversas e o nosso cotidiano. Antes de tudo, a Trellix defende a paz. Não importa quem esteja envolvido em qualquer conflito, nossa missão é proteger nossos clientes e cumprir as leis internacionais.
Leia maisAtaques cibernéticos contra a Ucrânia
Análises da equipe do Trellix Threat Labs sobre a atividade de “wipers” distribuídos na Ucrânia levam-nos a crer que provavelmente há uma conexão entre o Whispergate e o recém-identificado HermeticWiper.
Leia maisRansomware
No último trimestre de 2021, o cenário do ransomware continuou mudando. Em vez dos grandes ataques que descrevemos em nosso relatório anterior, os perpetradores de ransomware tiveram de encontrar um novo abrigo clandestino e as autoridades policiais começaram a desmantelar vários grupos de ransomware proeminentes.
Leia maisCarta de nosso cientista-chefe
Bem-vindo ao nosso mais recente relatório de ameaças.
Decorrido quase um trimestre do ano novo, não se pode dizer que tivemos um início de ano fácil. Estamos pouco a pouco saindo da pandemia, mas a incerteza em torno dos recentes conflitos na região da Eurásia domina nossas conversas e o nosso cotidiano.
Antes de tudo, a Trellix defende a paz. Não importa quem esteja envolvido em qualquer conflito, nossa missão é proteger nossos clientes e cumprir as leis internacionais. Nossa pesquisa e vigilância continuou enquanto preparávamos este relatório. Por exemplo, o grupo Lapsus$ atacou grandes corporações do mundo todo com um foco inicial em vítimas da América do Sul, vazando dados confidenciais, inclusive código-fonte e certificados.
Observamos que houve abuso desses certificados. Por exemplo, para assinar binários de malware, um método para parecer confiável para sistemas operacionais e produtos de segurança. Detalhes desse grupo, sua violação mais recente e contramedidas podem ser encontrados aqui.
Em nosso segundo relatório de ameaças desde a inauguração de nossa nova empresa, reconhecemos os eventos (cibernéticos) que dominaram as manchetes globais. Dos ataques contra a infraestrutura ucraniana ao malware HermeticWiper destruindo os setores de inicialização de qualquer máquina infectada, a segurança cibernética foi prioritária para muitos no novo ano. Também recapitulamos o quarto trimestre de 2021, no qual a vulnerabilidade Log4shell afetou centenas de milhões de dispositivos. Muitos agora estão se preparando para as novas ameaças do novo ano.
Há muitos anos a equipe do Trellix Threat Labs está na linha de frente, analisando e pesquisando ransomware. Trabalhando conjuntamente com o setor público, tivemos o orgulho de comemorar nosso sucesso quando, em dezembro de 2021, prisões foram decretadas e operações de ransomware foram interrompidas. Os recentes vazamentos de chats do grupo de ransomware Conti e do grupo de malware Trickbot revelaram o profissionalismo com que essas operações são conduzidas. Isso demonstra a necessidade de uma resposta unificada entre os setores público e privado para evitar as perturbações causadas por esses ataques.
Além disso, o blog do Trellix Threat Labs onde você encontra nosso conteúdo mais recente sobre ameaças, vídeos e links para o boletim de segurança.
Este relatório também destaca outros ataques e ameaças predominantes observados na Internet.
— Christiaan Beek
cientista-chefe
Análises da Trellix sobre ataques cibernéticos contra a Ucrânia, além do HermeticWiper
Análises da equipe da Trellix sobre a atividade de “wipers” distribuídos na Ucrânia levam-nos a crer que provavelmente há uma conexão entre o Whispergate e o recém-identificado HermeticWiper.
Veja mais de nossa inteligência e análise de atividades de ameaças na região da Ucrânia
Recomendações de como evitar o acesso inicial
As organizações devem analisar as táticas, técnicas e procedimentos (TTPs) de acesso inicial associadas a atividades do governo russo para proteger proativamente seu ambiente contra infiltração.
- Ataques de phishing/spearphishing utilizando URLs encurtados de domínios maliciosos.
- Monitoramento de atividades de força bruta que visam identificar credenciais de contas válidas e contas do Microsoft 365.
- Ativação de autenticação por múltiplos fatores (MFA) para todos os usuários, sem exceção.
- Exploração de sistemas acessíveis publicamente – a CISA mantém uma lista completa de CVEs notórias por serem exploradas.
- Desativação de todos os protocolos e portas não essenciais, especialmente os relacionados a serviços remotos.
- Caça e bloqueio de ferramentas de código aberto não relacionadas a atividades da empresa e que tenham sido utilizadas em ataques anteriores – UltraVNC, AdvancedRun, wget e impacket.
Outros grupos e campanhas de ameaças que visam a Ucrânia:
ACTINIUM APT
Agent Tesla
CaddyWiper
CERT-AU 4109
Ataques DDoS
Gamaredon APT
GlowSpark
IsaacWiper
NOBELIUM APT
OutSteel
RURansom Wiper
SaintBot
Shuckworm APT
UAC-0056
ACTINIUM APT
Agent Tesla
CaddyWiper
CERT-AU 4109
Ataques DDoS
Gamaredon APT
GlowSpark
IsaacWiper
NOBEpUM APT
OutSteel
RURansom Wiper
SaintBot
Shuckworm APT
UAC-0056
Visite o Centro de ameaças da Trellix para ter uma prévia e se manter à frente de ameaças emergentes, o que inclui o HermeticWiper.
Trellix Threat Labs descobre atividade suspeita da APT DarkHotel (atualização)
Em março, a Trellix descobriu uma campanha maliciosa de primeiro estágio visando hotéis de luxo em Macao, China, desde a segunda metade de novembro de 2021. O ataque começou com um e-mail de spear phishing direcionado para a equipe de administração do hotel, em cargos como vice-presidente de RH, gerente adjunto e gerente de front-office. Com base nos cargos, supomos que as pessoas visadas têm acesso suficiente à rede do hotel, incluindo os sistemas para reservas. Como funciona:
- O e-mail utilizado para esse ataque de spearphishing contém um anexo com uma planilha do Excel. A planilha do Excel é utilizada para enganar a vítima e ativar macros maliciosas incorporadas quando aberta.
- Essas macros ativam vários mecanismos detalhados na parte sobre análise técnica e resumidos abaixo no gráfico de fluxo de infecção.
- No início, as macros criam uma tarefa agendada para fazer reconhecimento, listagem de dados e vazamento de dados.
- Em seguida, para viabilizar a comunicação com o servidor de comando e controle utilizado para vazar os dados da vítima, as macros utilizam uma técnica conhecida de “lolbas” (“Living Off the Land Binaries and Scripts”, ou seja, binários e scripts que se aproveitam da funcionalidade existente) para executar linhas de comando do PowerShell como um script confiável.
Leia nosso blog para saber mais sobre antecedentes, atribuição, campanha e análise técnica da APT DarkHotel.
Trellix Threat Labs identifica comprometimento do gabinete do primeiro-ministro
Em janeiro, nossa equipe anunciou ter identificado uma campanha de espionagem em vários estágios visando funcionários de alto escalão do governo que supervisionam a política de segurança nacional e indivíduos no setor de defesa na Ásia Ocidental. A Trellix fez uma divulgação prévia para as vítimas e forneceu todo o conteúdo necessário para remover dos ambientes todos os componentes conhecidos do ataque.
A análise do processo geral de ataque começa com a execução de um arquivo do Excel contendo uma exploração da vulnerabilidade de execução remota de código MSHTML (CVE-2021-40444). Ela é usada para executar um arquivo DLL malicioso agindo como um downloader para o malware do terceiro estágio que chamamos de Graphite. O Graphite é uma amostra de malware recém-descoberta com base em um stager OneDrive Empire que usa contas do OneDrive como servidor de comando e controle através da API do Microsoft Graph.
As últimas fases deste ataque em vários estágios, que acreditamos estar associado a uma operação APT, inclui a execução de diferentes preparadores Empire para finalmente fazer download de um agente Empire nos computadores das vítimas e envolver o servidor de comando e controle para controlar remotamente os sistemas.
O diagrama a seguir mostra o processo geral do ataque.
Leia nosso blog para uma análise mais detalhada, incluindo estágios, infraestrutura e atribuição.
Metodologia
Os sistemas de back-end da Trellix fornecem a telemetria que utilizamos como fonte de dados para nossos relatórios trimestrais de ameaças. Nós combinamos nossa telemetria com inteligência de fontes abertas sobre ameaças e nossas próprias investigações sobre ameaças predominantes, como ransomware, atividades de governos etc.
Quando falamos em telemetria, referimo-nos a detecções, e não infecções. Uma detecção ocorre quando um arquivo, URL, endereço IP ou outro indicador é detectado por um de nossos produtos e relatado para nós.
A privacidade de nossos clientes é fundamental. Ela também é importante no que se refere à telemetria e ao mapeamento com os setores e países de nossos clientes. A base de clientes difere conforme o país e os números podem mostrar aumentos que exijam análises mais detalhadas dos dados para serem explicados. Um exemplo é o setor de telecomunicações, que sempre se destaca em nossos dados. Isso não significa, necessariamente, que esse setor é altamente visado. O setor de telecomunicações também inclui provedores de serviços de Internet, os quais possuem espaços de endereços IP que podem ser comprados por empresas. O que isso significa? Denúncias associadas ao espaço de endereços IP do provedor aparecem como detecções de telecomunicações, mas podem ser de clientes do provedor que atuam em um setor diferente.
Ransomware
No último trimestre de 2021, o cenário do ransomware continuou mudando. Em vez dos grandes ataques que descrevemos em nosso relatório anterior, os perpetradores de ransomware tiveram de encontrar um novo abrigo clandestino e as autoridades policiais começaram a desmantelar vários grupos de ransomware proeminentes. Um desses grupos foi o REvil/Sodinokibi, que ainda figurava entre as maiores famílias de ransomware no terceiro trimestre. Porém, o REvil saiu de cena após uma derrubada coordenada de sua infraestrutura, várias disputas internas e prisões de seus integrantes. A Trellix orgulha-se de ter auxiliado na investigação do REvil fornecendo análises de malware, localizando infraestruturas cruciais e identificando diversos suspeitos.
Os três primeiros lugares no quarto trimestre de 2021 foram do ransomware Lockbit, Cuba e Conti. Suspeitamos que os integrantes remanescentes do REvil provavelmente encontraram um novo abrigo nessas famílias de ransomware.
Este relatório nem bem havia sido concluído e o cenário de ameaças mudou mais uma vez. O Conti, que havia crescido a ponto de se tornar uma das maiores famílias de ransomware, teve milhares de chats internos vazados na Internet, essencialmente expondo seus segredos internos. Apelidamos esse vazamento de “Panama Papers do ransomware” e certamente daremos destaque a nossas descobertas no próximo relatório trimestral.
Para ajudar as empresas a compreender e a se defender melhor contra ataques de ransomware no cenário vigente, a equipe do Trellix Threat Labs apresenta pesquisas e descobertas sobre o predomínio de uma ampla variedade de ameaças de ransomware, incluindo famílias, técnicas, países, setores e vetores do quarto trimestre de 2021.
289%
Aumento na categoria de mídia e comunicações entre o terceiro e o quarto trimestre de 2021.
61
As detecções de ransomware em clientes baseados nos EUA diminuíram do terceiro para o quarto trimestre de 2021.
Técnicas MITRE ATT&CK de ransomware mais relatadas
1.
Dados criptografados para maior impacto
2.
Descoberta de arquivos e diretórios
3.
Arquivos ou informações ocultadas
4.
Descoberta de processos
5.
Injeção de processos
Detecções de famílias de ransomware
Lockbit
Cuba
Conti
Ryuk
BlackMatter
T3
4%
8%
6.7%
7%
N/D
T4
23%
19%
17%
11%
7%
T3
T4
Lockbit
4%
23%
Cuba
8%
19%
Conti
6,7%
17%
Ryuk
7%
11%
BlackMatter
N/D
7%
Atividades de governos
Nossa equipe rastreia e monitora campanhas de governos e seus indicadores e técnicas associados. Nossa pesquisa reflete perpetradores de ameaças, ferramentas, países dos clientes, setores dos clientes e técnicas MITRE ATT&CK desde o quarto trimestre de 2021. Todos os dados relacionados a esses eventos, inclusive indicadores, regras YARA e lógica de detecção, estão disponíveis no Insights.
Técnicas MITRE ATT&CK de governos mais relatadas
1.
PowerShell
2.
Tarefa agendada
3.
Arquivos ou informações ocultadas
4.
Windows
5.
Protocolos da Web
95
Cobalt Strike em primeiro lugar entre as ferramentas de ameaças perpetradas por governos observadas no quarto trimestre de 2021.
30
APT 29 em primeiro lugar no total de observações relacionadas a governos no quarto trimestre de 2021, um aumento de 35% em relação ao terceiro trimestre.
26
Atividades de governos na Turquia representaram 26% do total de detecções no quarto trimestre de 2021.
Estatísticas sobre ameaças predominantes
Nossa equipe rastreou as categorias das ameaças no quarto trimestre de 2021. A pesquisa reflete percentuais de detecções no tipo de famílias de malware predominantes observadas, países dos clientes em questão, setores corporativos dos clientes e técnicas MITRE ATT&CK.
75
RedLine Stealer (20%), Raccoon Stealer (17%), Remcos RAT (12%), LokiBot (12%) e Formbook (12%) responderam por quase 75% das ameaças envolvendo ferramentas de famílias de malware observadas no quarto trimestre de 2021.
62
Os clientes do setor de transportes foram os mais visados (62%) de todos os setores no quarto trimestre de 2021 mais do que todos os dez maiores setores restantes juntos.
80
Aumento nas observações que afetaram clientes dos EUA desde o terceiro trimestre de 2021.
Técnicas MITRE ATT&CK mais relatadas
1.
Arquivos ou informações ocultadas
2.
Credenciais de navegadores da Web
3.
Descoberta de arquivos e diretórios
4.
Pasta de inicialização/chaves de execução do Registro
5.
Descoberta de informações do sistema
Detecções de famílias de ransomware
RedLine Stealer
Raccoon Stealer
Remcos RAT
LokiBot
Formbook
T3
1,2%
N/D
24%
19%
36%
T4
20%
17%
12%
12%
12%
T3
T4
RedLine Stealer
1,2%
20%
Raccoon Stealer
N/D
17%
Remcos RAT
6,7%
12%
LokiBot
19%
12%
Formbook
36%
12%
Ameaças a países, continentes, setores e vetores
Aumentos notáveis em incidentes contra países e continentes relatados publicamente em fontes abertas no quarto trimestre de 2021:
150
A Alemanha registrou o maior aumento (150%) de incidentes relatados no quarto trimestre de 2021.
38
Os Estados Unidos sofreram a maioria dos incidentes relatados no quarto trimestre de 2021: 38% do total de incidentes relatados.
Aproveitamento da funcionalidade existente
Os criminosos cibernéticos continuam desenvolvendo ferramentas personalizadas, mas frequentemente recorrem a técnicas de aproveitamento da funcionalidade existente (LotL ou “Living off the Land”) para aproveitar binários legítimos e utilitários administrativos para entregar cargas maliciosas a um sistema-alvo. Com base nos eventos do quarto trimestre de 2021, a Trellix identificou uma leve mudança na tendência das ferramentas utilizadas por adversários que tentam continuar não sendo detectados.
As táticas, técnicas e procedimentos mudam conforme as defesas são reforçadas e a comunidade de segurança compartilha indicadores de comprometimento entre seus integrantes. Em nosso relatório sobre o terceiro trimestre, destacamos alguns dos binários de Windows comuns que estão presentes em um sistema de produção, bem como alguns que são utilizados pelo pessoal administrativo para realizar tarefas cotidianas. Também foi recomendado distribuir o software necessário para as máquinas, monitorar anomalias e manter as eficiências dos sistemas. Os perpetradores de ameaças aproveitaram-se da necessidade desses utilitários para realizar atividades nefastas. Por isso, dando continuidade ao relatório do terceiro trimestre, examinamos os utilitários aproveitados pelos perpetradores de ameaças no quarto trimestre e vimos uma leve mudança em seu uso. O fato persiste: os perpetradores de ameaças tentam não ser detectados e aproveitam-se do que já está presente no sistema para entregar cargas virais, inclusive ransomware, beacons, software para roubo de informações e ferramentas de reconhecimento.
Para identificar tais binários ou ferramentas de uso administrativo durante a fase de reconhecimento, os adversários podem coletar informações sobre as tecnologias utilizadas em anúncios de emprego, testemunhos de usuários anunciados por fornecedores ou um cúmplice dentro da empresa.
Windows Command Shell (CMD) (53,44%)
T1059.003
O shell de comandos do Windows é o principal utilitário de linha de comando do Windows e é frequentemente utilizado para executar arquivos e comandos em um fluxo de dados alternativo.
PowerShell (43,92%)
T1059.001
O PowerShell é frequentemente utilizado para executar scripts e comandos de PowerShell
WMI/WMIC (33,86%)
T1218 T1564.004
WMIC é uma interface de linha de comando para WMI que pode ser utilizada por adversários para executar comandos ou cargas virais localmente, em fluxos de dados alternativos ou em um sistema remoto.
Rundll32 (24.34%)
T1218.011 T1564.004
Rundll32 pode ser utilizado para executar arquivos DLL locais, arquivos DLL de um compartilhamento, arquivos DLL obtidos na Internet e fluxos de dados alternativos.
Regsvr32 (14.29%)
T1218.010
Regsvr32 pode ser utilizado por adversários para registrar arquivos DLL, executar código malicioso e contornar listas brancas de aplicativos.
Schtasks (12,70%)
T1053.005
Um adversário pode agendar tarefas que mantenham persistência, executem malware adicional ou realizem tarefas automatizadas.
MSHTA (10,05%)
T1218.005
MSHTA pode ser utilizado por adversários para executar arquivos de JavaScript, JScript e VBScript que podem estar escondidos em arquivos HTA localmente e em fluxos de dados alternativos ou que tenham sido carregados de uma localização remota.
Excel (8,99%)
T1105
Embora não seja instalado nativamente, muitos sistemas contêm software de planilhas e os adversários podem enviar para o usuário anexos contendo código malicioso ou scripts que, quando executados, podem ser utilizados para carregar cargas virais de uma localização remota.
Net.exe (7.94%)
T1087 e subtécnicas
Utilitário de linha de comando do Windows que permite a um adversário realizar tarefas de reconhecimento, como identificar usuários, rede e funcionalidade de serviços na máquina da vítima.
Certutil (4,23%)
T1105, 1564.004 T1027
Utilitário de linha de comando do Windows utilizado para obter informações sobre autoridade de certificação e para configurar serviços de certificados. Os adversários também podem utilizar o certutil para obter ferramentas e conteúdo remotos, codificar e decodificar arquivos e também acessar fluxos de dados alternativos.
Reg.exe (3.70%)
1003.002 1564.004
Reg.exe pode ser utilizado por adversários para adicionar, modificar, excluir e exportar valores do Registro que podem ser salvos em fluxos de dados alternativos. reg.exe também pode ser utilizado para descarregar credenciais de um arquivo SAM.
Serviços remotos (35,98%)
T1021.001 T1021.004 T1021.005
AnyDesk, ConnectWise Control, RDP, UltraVNC, PuTTY
Ferramentas de serviços remotos WinSCP, tanto nativas do Windows quanto software de terceiros, podem ser utilizadas por adversários em conjunto com contas válidas para obter acesso a uma máquina ou infraestrutura remotamente, efetuar a implantação de ferramentas e malware, bem como vazar dados.
Utilitários de compactação (6,35%)
T1560.001
7-Zip, WinRAR
Os adversários de WinZip podem utilizar utilitários de compactação para compactar os dados coletados antes de transferi-los para fora, bem como para descompactar arquivos e executáveis.
BITSAdmin (3,70%)
T1105 T1218 T1564.004
BiTSAdmin é frequentemente utilizado para proporcionar persistência, limpar vestígios e invocar ações adicionais quando determinados critérios predefinidos são satisfeitos.
ADFind (2,65%)
T1016, T1018, T1069 e subtécnicas, T1087 e subtécnicas T1482
Utilitário de linha de comando que pode ser utilizado por adversários para descobrir informações do Active Directory, como confiabilidade de domínios, grupos de permissões, sistemas remotos e configurações de rede.
PsExec (2,12%)
T1569.002
PsExec é uma ferramenta utilizada para executar comandos e programas em um sistema remoto.
fodhelper.exe (0.05%)
T1548.002
Fodhelper.exe é um utilitário para Windows que pode ser utilizado por adversários para executar arquivos maliciosos com privilégios elevados na máquina da vítima.
Redação e pesquisa
Alfred Alvarado
Douglas McKee
Christiaan Beek
Tim Polzer
Marc Elias
Steve Povolny
John Fokker
Thibault Seret
Tim Hux
Leandro Velasco
Max Kersten
Alfred Alvarado
Christiaan Beek
Marc Elias
John Fokker
Tim Hux
Max Kersten
Douglas McKee
Tim Polzer
Steve Povolny
Thibault Seret
Leandro Velasco
Recursos
Para acompanhar as mais recentes ameaças e pesquisas, consulte os recursos de nossa equipe:
Centro de ameaças: as ameaças mais impactantes da atualidade foram identificadas por nossa equipe.
