Normalmente, quando se trata de ransomware, pesquisadores e empresas de segurança cibernética correm atrás de ataques para entender a origem do malware que infectou sistemas e bloqueou dados cruciais.
Mas pesquisadores da Censys, uma empresa que indexa dispositivos conectados à internet, disseram na quinta-feira que mudaram o script típico e descobriram o que parece ser uma rede de comando e controle de ransomware capaz de lançar ataques, incluindo um host localizado nos EUA.
Matt Lembright, diretor de aplicativos federais da Censys e autor do relatório, disse à CyberScoop que eles se depararam com a rede depois de fazer uma pesquisa nos dados da empresa pelos 1.000 principais produtos de software atualmente observáveis em hosts russos. Depois de ver o Metasploit – software de teste de penetração frequentemente usado para fins legítimos – em apenas nove hosts de mais de 7,4 milhões, a equipe fez algumas escavações adicionais.
A equipe finalmente encontrou dois hosts baseados na Rússia contendo uma combinação de Acunetix, um testador de vulnerabilidades da Web, e DeimosC2, uma ferramenta de comando e controle para usar em máquinas comprometidas após a exploração.
Análises adicionais que incluíram dados históricos vinculados a esses hosts levaram os pesquisadores a hosts e conexões adicionais à variante do ransomware MedusaLocker, que foi objeto de um alerta de 1º de julho da Agência de Segurança Cibernética e Segurança de Infraestrutura do Departamento de Segurança Interna.
A empresa compartilhou as descobertas na esperança de que a comunidade de pesquisa e segurança mais ampla pesquise mais sobre essa rede, disse Matt Lembright, diretor de aplicativos federais da Censys.
“Para as pessoas que vivem e respiram isso todos os dias, pode haver algo para eles se agarrarem aqui”, disse Lembright.
A informação foi compartilhada com o FBI, acrescentou ele, para determinar se está conectada a algum ataque conhecido.
Um dos hosts da rede está localizado em Ohio, de acordo com os dados, e estava executando a ferramenta DeimosC2 em 6 de julho. Outro software presente no host indicou que ele pode estar servindo como proxy na rede e um histórico A revisão do host revelou que ele hospedou malware por um curto período em outubro de 2021, mais tarde vinculado à cepa de ransomware Karma.
Allan Liska, analista de inteligência de ameaças da Recorded Future, disse na quinta-feira que os dados “descobertos pelo Censys parecem indicar uma campanha de ransomware em andamento, provavelmente ligada ao MedusaLocker ou a um de seus derivados”.
O MedusaLocker “tem sido um grupo de ransomware ativo, mas menor, nos últimos anos”, acrescentou. “Eles não operam um site de extorsão, por isso é difícil identificar o número real de vítimas que atingiram.”
Lembright disse à CyberScoop que as descobertas não explicam exatamente o que é essa rede ou o que ela faz, mas espero que possa ajudar.
“Não posso dizer definitivamente que esses hospedeiros ainda não atacaram ninguém, mas definitivamente são capazes disso”, disse ele. A ideia é compartilhar os dados históricos e atuais associados aos hosts para descompactar uma rede em potencial e evitar danos futuros. “Esta é uma espécie de chance de sair para o mundo e fazer uma caça ativa.”
Fonte: CyberScoop
Descubra mais sobre DCiber
Assine para receber os posts mais recentes por e-mail.
