blank

blank

  • O Cisco Talos descobriu um agente de ameaça desconhecido, aparentemente de origem vietnamita, conduzindo uma operação de ransomware que começou pelo menos em 4 de junho de 2023.
  • Esse ataque em andamento usa uma variante do ransomware Yashma que provavelmente visa várias áreas geográficas, imitando as características do WannaCry.
  • O agente da ameaça usa uma técnica incomum para entregar a nota de resgate. Em vez de incorporar as strings da nota de resgate no binário, eles baixam a nota de resgate do repositório GitHub controlado pelo ator executando um arquivo de lote incorporado.

Análise do agente de ameaças

A Talos avalia com grande confiança que esse ator de ameaça tem como alvo vítimas em países de língua inglesa, Bulgária, China e Vietnã, já que a conta do GitHub do ator, “nguyenvietphat”, tem notas de ransomware escritas nos idiomas desses países. A presença de uma versão em inglês pode indicar que o ator pretende atingir uma ampla variedade de áreas geográficas.

A Talos avalia com confiança moderada que o agente da ameaça pode ser de origem vietnamita porque o nome da conta do GitHub e o contato de e-mail nas notas do ransomware falsificam o nome de uma organização vietnamita legítima. A nota de resgate também pede que as vítimas entrem em contato entre 19h e 23h UTC + 7, que coincide com o fuso horário do Vietnã. Também detectamos uma pequena diferença na nota de resgate do idioma vietnamita, pois começa com “Desculpe, seu arquivo está criptografado!” em contraste com os outros que começam com “Oops, seus arquivos estão criptografados!” Ao dizer “desculpe”, o agente da ameaça pode ter a intenção de mostrar uma maior sensibilidade em relação às vítimas no Vietnã, o que pode indicar que os próprios atacantes são vietnamitas.

Avaliamos ainda que o agente da ameaça iniciou esta campanha por volta de 4 de junho de 2023, porque se juntou ao GitHub e criou um repositório público chamado “Ransomware” nessa data, que se sobrepõe à data de compilação do binário do ransomware. No repositório, eles adicionaram arquivos de texto de notas de resgate em cinco idiomas: inglês, búlgaro, vietnamita, chinês simplificado e chinês tradicional.

blank
Repositório GitHub que contém notas de resgate.

Bilhete de resgate

O ator exige o pagamento do resgate em Bitcoins para o endereço da carteira “bc1qtd4qv0wmgtu2rdr0wr8tka2jg44cgmz04z5mc7” e dobra o preço do ransomware se a vítima não pagar em três dias, de acordo com nossa análise de notas de ransomware. O ator tem um endereço de e-mail, “nguyenvietphat[.]n[at]gmail[.]com”, para que as vítimas possam contatá-los. No momento de nossa análise, não tínhamos observado nenhum Bitcoin na carteira, e a nota de resgate não especificava um valor, indicando que a operação de ransomware ainda pode estar em um estágio inicial.

O texto da nota de resgate lembra a conhecida nota de resgate WannaCry, possivelmente para ofuscar a identidade do agente da ameaça e confundir os respondentes do incidente.

blank
A nota de resgate do ransomware WannaCry.

Ransom observa amostras da variante Yashma.

blank blank blank blank

Após a criptografia, a variante do ransomware Yashma define o papel de parede na máquina da vítima, como pode ser visto na imagem abaixo. Parece que o operador baixou esta imagem de www[.]FXXZ[.]com e a incorporou no binário da variante Yashma. O papel de parede definido pela variante Yashma na máquina da vítima também imita o ransomware WannaCry.

blank blank

Papel de parede variante Yashma (esquerda) e papel de parede WannaCry (direita).

Variante personalizada do ransomware Yashma

O ator implantou uma variante do ransomware Yashma, que eles compilaram em 4 de junho de 2023. Yashma é um executável de 32 bits escrito em .Net e uma versão renomeada do Chaos ransomware V5, que apareceu em maio de 2022. Nesta variante, a maioria dos Os recursos do Yashma permaneceram inalterados e foram descritos pelos pesquisadores de segurança do Blackberry, com exceção de algumas modificações notáveis.

Normalmente, o ransomware armazena o texto da nota de resgate como strings no binário. No entanto, esta variante do Yashma executa um arquivo de lote incorporado, que possui os comandos para baixar a nota de resgate do repositório GitHub controlado pelo ator. Essa modificação evita soluções de detecção de endpoint e software antivírus, que geralmente detectam sequências de notas de resgate incorporadas no binário.

blank
Conteúdo do arquivo em lote.

Versões anteriores do Yashma ransomware estabeleceram persistência na máquina da vítima na chave de registro Run e descartando um arquivo de atalho do Windows apontando para o caminho executável do ransomware na pasta de inicialização. A variante que observamos também estabeleceu persistência na chave de registro Run. Ainda assim, ele foi modificado para criar um arquivo de favoritos “.url” na pasta de inicialização que aponta para o executável localizado em “%AppData%\Roaming\svchost.exe”.

blank
Uma função que cria o arquivo de favoritos.

Um recurso notável que o agente da ameaça optou por manter nessa variante é a capacidade antirrecuperação do Yashma. Depois de criptografar um arquivo, o ransomware limpa o conteúdo dos arquivos originais não criptografados, escreve um único caractere “?” e, em seguida, exclui o arquivo. Essa técnica torna mais difícil para os respondentes de incidentes e analistas forenses recuperar os arquivos excluídos do disco rígido da vítima.

blank
O trecho de código mostra o recurso anti-recuperação do ransomware.

Cobertura

blank

O Cisco Secure Endpoint (anteriormente AMP para Endpoints) é ideal para impedir a execução do malware detalhado neste post. Experimente o Secure Endpoint gratuitamente aqui.

A varredura na Web do Cisco Secure Web Appliance impede o acesso a sites mal-intencionados e detecta malware usado nesses ataques.

O Cisco Secure Email (anteriormente Cisco Email Security) pode bloquear e-mails maliciosos enviados por agentes de ameaças como parte de sua campanha. Você pode experimentar o Secure Email gratuitamente aqui.

Dispositivos Cisco Secure Firewall (anteriormente Next-Generation Firewall e Firepower NGFW), como Threat Defense VirtualAdaptive Security Appliance e Meraki MX, podem detectar atividades maliciosas associadas a essa ameaça.

O Cisco Secure Malware Analytics (Threat Grid) identifica binários maliciosos e cria proteção em todos os produtos Cisco Secure.

O Umbrella, o gateway de internet seguro (SIG) da Cisco, impede que os usuários se conectem a domínios, IPs e URLs maliciosos, estejam os usuários dentro ou fora da rede corporativa. Inscreva-se para uma avaliação gratuita do Umbrella aqui.

O Cisco Secure Web Appliance (antigo Web Security Appliance) bloqueia automaticamente sites potencialmente perigosos e testa sites suspeitos antes que os usuários os acessem.

Proteções adicionais com contexto para seu ambiente específico e dados de ameaças estão disponíveis no Firewall Management Center.

O Cisco Duo fornece autenticação multifator para usuários para garantir que apenas aqueles autorizados acessem sua rede.

Os clientes do Snort Subscriber Rule Set de código aberto podem se manter atualizados baixando o pacote de regras mais recente disponível para compra no Snort.org. Snort SIDs para esta ameaça são 62131 – 62143 e 300633 – 300638.

As detecções do ClamAV estão disponíveis para esta ameaça:

Win.Ransomware.Hydracrypt-9878672-0

Os usuários do Cisco Secure Endpoint podem usar o Orbital Advanced Search para executar consultas de sistema operacional complexas para ver se seus terminais estão infectados com essa ameaça específica. Para OSqueries específicos sobre esta ameaça, clique aqui.

IOCs

Indicadores de comprometimento associados a esta ameaça podem ser encontrados aqui.

 

Fonte: Cisco Talos

Descubra mais sobre DCiber

Assine para receber os posts mais recentes por e-mail.

ARTIGOS RELACIONADOSMais do autor