Nesta segunda-feira (04), a Sophos publicou uma nova pesquisa, “Atom Silo ransomware actors use Confluence exploit, DLL side-Load for stealthy attack”, descrevendo novas técnicas e ferramentas usadas pelo Atom Silo, um grupo de ransomware recém-surgido. O relatório recapitula um ataque sofisticado que ocorreu ao longo de dois dias e se aproveitou de uma vulnerabilidade revelada recentemente no software de colaboração Confluence, da Atlassian.
Os pesquisadores da Sophos também descobriram que, simultaneamente ao ataque de ransomware, a vulnerabilidade do Confluence foi explorada por um criptominerador.
O ransomware que o grupo Atom Silo usou é virtualmente idêntico ao LockFile, mas seu estágio de invasão envolveu diversas técnicas novas e manobras complexas para evitar a detecção e completar o ataque.
• Por exemplo, depois que obtiveram acesso inicial ao servidor Confluence por meio de um backdoor, os criminosos foram capazes de derrubar e instalar um segundo backdoor furtivo. Este usava um executável de um produto de software de terceiros legítimo que era vulnerável a ataques de “side-load” de DLL, para executar o código backdoor;
• A carga útil do ransomware incluía um driver de kernel malicioso projetado para interromper o software de proteção de endpoint;
• O backdoor conectou-se a um servidor de comando e controle remoto pela porta 80 do TCP/IP e permitiu a execução de comandos do shell do Windows por meio da Interface de Gerenciamento do Windows (WMI).
Os invasores, então, se moveram lateralmente pela rede e comprometeram servidores adicionais, instalando novos backdoors por meio da interface WMI, usando uma conta administrativa comprometida. Na maioria das vezes, os criminosos evitaram instalar esses backdoors como serviços. Os pesquisadores da Sophos acreditam que eles fizeram isso para evitar a detecção pelos controles de segurança.
Além disso, os criminosos usaram serviços de desktop remoto (RDP) para localizar, copiar (usando RClone) e exfiltrar dados para o Dropbox. O executável do ransomware foi lançado após a exfiltração, simultaneamente ao lançamento de outro arquivo projetado para interromper a proteção do endpoint.
“O incidente investigado pela Sophos mostra a rapidez com que o panorama do ransomware pode evoluir. Este adversário ultra-furtivo era desconhecido até algumas semanas atrás. Embora semelhante a outro grupo de ransomware recentemente descoberto, o LockFile, o Atom Silo surgiu com seu próprio pacote de novas e sofisticadas táticas, técnicas e procedimentos que eram cheios de reviravoltas e desafios de detecção — provavelmente de forma intencional”, comenta Sean Gallagher, Pesquisador Sênior de Ameaças da Sophos.
