Grande interrupção no pagamento: ransomware atinge a infraestrutura bancária indiana

Categoria: Inteligência adversária

Indústria: BFSI

Região: Ásia

Motivação: Financeiro

TOPO: ÂMBAR

‍

Sumário executivo

A equipe de pesquisa de ameaças da CloudSek está monitorando de perto um significativo ataque de ransomware que interrompeu o ecossistema bancário da Índia, afetando bancos e provedores de pagamento. Este relatório tem como objetivo dissecar a cadeia de ataques, descobrir táticas adversárias e oferecer insights acionáveis para que as organizações melhorem sua postura de segurança. À medida que a situação ainda está se desenrolando, este relatório fornecerá atualizações e recomendações contínuas para lidar com o cenário de ameaças em evolução.

A entidade afetada neste caso é a Brontoo Technology Solutions, uma colaboradora importante da C-EDGE, uma joint venture entre a TCS e a SBI. Este relatório visa explorar as implicações mais amplas desse ataque ao ecossistema.

‍

Entendendo a potencial cadeia de ataque

De acordo com o relatório apresentado pela Brontoo Technology Solutions com a CerTiN (Indian Computer Emergency Response Team), foi mencionado que a cadeia de ataque começou em um servidor Jenkins mal configurado. A equipe de pesquisa de ameaças do CloudSEK conseguiu identificar o servidor Jenkins afetado e, posteriormente, a cadeia de ataque.

Na história recente, publicamos extensivamente sobre a exploração do Jenkins usando uma vulnerabilidade local de inclusão de arquivos, leia sobre o estudo de caso aqui e a cadeia de exploração completa aqui

‍

• Vulnerabilidade: CVE-2024-23897: A instância Jenkins usada pela Brontoo Technology foi afetada pelo mesmo LFI CVE, que pode ser aproveitado para ler código interno ou, nesse caso, quando a porta 22 foi aberta, obter acesso seguro ao shell lendo as chaves privadas.
• A principal parte do mundo do ransomware é a corretora de acesso inicial. Suspeitamos (com pouca confiança), analisando o histórico e as recentes cadeias de ataque exploradas, esse acesso poderia ter sido vendido por IntelBroker (um ator/moderador de ameaças de fóruns de violações) ao grupo RansomEXX para posterior exploração.

‍

‍

Análise e atribuição

Por meio de nossa investigação e aproveitando fontes confidenciais, confirmamos que o grupo de ransomware responsável por esse ataque é o RansomEXX. Essa determinação foi facilitada por nosso amplo envolvimento com o setor bancário afetado na Índia.

‍

‍

O RansomEXX v2.0 é uma variante sofisticada do ransomware RansomEXX, conhecida por atingir grandes organizações e exigir pagamentos de resgate significativos. Esse grupo opera como parte de uma tendência mais ampla em que os desenvolvedores de ransomware desenvolvem continuamente seu malware para contornar as defesas de segurança e maximizar seu impacto.

‍

Abaixo está uma análise detalhada do grupo de ransomware RansomEXX v2.0:

‍

1. Antecedentes e evolução

• Emergência inicial: RansomEXX, inicialmente conhecido como Defray777, apareceu pela primeira vez em 2018. Ele foi renomeado para RansomEXX em 2020.
• Evolução para a v2.0: A variante v2.0 surgiu como uma resposta ao aumento da eficácia das medidas defensivas. Essa evolução indica aprimoramentos nas técnicas de criptografia, táticas de evasão e métodos de entrega de carga útil.

‍

2. Vetores e táticas de infecção

• Acesso inicial: os vetores comuns incluem e-mails de phishing, exploração de vulnerabilidades em protocolos de desktop remoto (RDP) e aproveitamento de pontos fracos em VPNs e outros serviços de acesso remoto.
• Movimento lateral: após o acesso inicial, o grupo emprega ferramentas como Cobalt Strike, Mimikatz e outras ferramentas administrativas legítimas para se mover lateralmente dentro de uma rede.
• Aumento de privilégios: utilização de explorações conhecidas e roubo de credenciais para obter maiores privilégios no ambiente comprometido. (Consulte o Apêndice para ver a tabela completa)

‍

3. Carga útil e criptografia

• Algoritmo de criptografia: O RansomEXX v2.0 usa algoritmos de criptografia fortes, como RSA-2048 e AES-256, tornando a recuperação de arquivos sem a chave de decodificação praticamente impossível.
• Criptografia de arquivos: visa arquivos e backups críticos, tornando-os inacessíveis. O grupo geralmente exfiltrava dados antes da criptografia para usá-los como alavanca (extorsão dupla).

‍

4. Pedidos de resgate e negociação

• Notas de resgate: As vítimas recebem notas de resgate detalhadas com instruções de pagamento, normalmente em Bitcoin ou outras criptomoedas.
• Táticas de negociação: Sabe-se que o RansomEXX se envolve em negociações, às vezes reduzindo os pedidos de resgate com base na resposta da vítima e na percepção da capacidade de pagamento.

‍

5. Incidentes notáveis

• Ataques de alto perfil: A RansomEXX tem como alvo uma série de organizações de alto perfil em vários setores, incluindo agências governamentais, provedores de saúde e corporações multinacionais.
• Impacto e resposta: os ataques resultaram em interrupções operacionais significativas, violações de dados e perdas financeiras. Muitas vítimas recorreram ao pagamento do resgate para restaurar as operações rapidamente.

‍

6. Desenvolvimentos recentes

• Técnicas adaptativas: O RansomEXX v2.0 continua evoluindo, incorporando novas técnicas para contornar as medidas de segurança. Relatórios recentes indicam o uso de certificados digitais roubados para assinar malware, aumentando a confiança e reduzindo as taxas de detecção.
• Colaboração com outros atores de ameaças: há evidências de colaboração com outros grupos de cibercriminosos, compartilhando ferramentas, técnicas e infraestrutura.

‍

Histórico de ataques

Ao analisar o histórico de ataques, encontramos as seguintes informações:

‍

1. Distribuição por região: O grupo Ransomware tem estado ativo principalmente na região da Europa, Ásia e América. Eles têm como alvo continentes e regiões com chances máximas de pagamento

‍

2. Distribuição setorial: Podemos ver que os setores mais visados são o governo, seguido pela tecnologia, depois pela manufatura, pelas telecomunicações e pela saúde. Todos esses setores são essenciais para os negócios e têm a chance máxima de um pagamento ou aumento de reputação.

‍

3. Cronograma dos ataques: Desde que o grupo de ransomware foi renomeado, ele teve um total de 58 vítimas. O cronograma a seguir representa o número de ataques por ano:

‍

4. Alguns truques notáveis: Conforme mencionado acima, o RansomEXX é conhecido por ter como alvo organizações de alto valor. A seguir estão algumas das organizações notáveis que eles atacaram.

1. Serviços de telecomunicações de Trinidad e Tobago
2. Ministério da Defesa do Perú
3. Kenya Airways
4. Ferrari
5. Viva Air
6. LITEON

‍

Maior impacto e análise da situação atual

• Esse ataque destaca uma vulnerabilidade significativa em nossos sistemas atuais e práticas de modelagem de ameaças. Grandes organizações com orçamentos de segurança substanciais são mais difíceis de violar, fazendo com que os invasores explorem o caminho de menor resistência. Consequentemente, os ataques à cadeia de suprimentos se tornaram cada vez mais predominantes. A principal conclusão desse relatório não é apenas que a organização principal deve manter um servidor Jenkins atualizado, mas todos os fornecedores essenciais também devem garantir que seus servidores Jenkins estejam sempre atualizados.
• Essa situação ainda está evoluindo, com negociações em andamento com o grupo de ransomware, e os dados ainda não foram publicados em seu site de relações públicas.
• O grupo de ransomware tem um histórico de pedidos extravagantes de resgate, e prevemos uma abordagem semelhante neste caso.
• Esses grupos são meticulosos ao avaliar as capacidades de pagamento da vítima e a natureza dos dados criptografados, que eles usam como alavanca.

‍

Atividade e classificação do ator de ameaças

Perfil do ator de ameaças

Ativo desde: Grupo original (Defray777) ativo desde 2018

Site de relações públicas: hxxp [:] //rnsm777cdsjrsdlbs4v5qoeppu3px6sb2igmh53jzrx7ipcrbjz5b2ad.onion

Status atual: Ativo e um aumento repentino na atividade

História: Tem como alvo organizações de alto valor

‍

Referências

• *Fonte de inteligência e confiabilidade da informação - Wikipedia
• ^#Protocolo de semáforo - Wikipedia
• https://www.cloudsek.com/blog/born-group-supply-chain-breach-in-depth-analysis-of-intelbrokers-jenkins-exploitation
• https://www.cloudsek.com/blog/xposing-the-exploitation-how-cve-2024-23897-led-to-the-compromise-of-github-repos-via-jenkins-lfi-vulnerability

‍

Apêndice

Estrutura MITRE mapeada para TTPs

‍

Acesso inicial

-Phishing: Spear Phishing Attachment (T1566.001): os atacantes usam e-mails de phishing direcionados com anexos maliciosos.

- Explorar aplicativos voltados para o público (T1190): explorando vulnerabilidades em aplicativos voltados para o público.

- Contas válidas (T1078): usando credenciais roubadas ou forçadas à força bruta.

‍

Execução

- Intérprete de comandos e scripts: PowerShell (T1059.001): Utilizando scripts do PowerShell para executar comandos maliciosos.

- Intérprete de comandos e scripts: Windows Command Shell (T1059.003): Usando o prompt de comando para executar comandos maliciosos.

- Serviços do sistema: execução do serviço (T1569.002): usando os serviços do Windows para executar a carga útil do ransomware.

‍

Persistência

- Execução de inicialização ou login automático: chaves de execução do registro/pasta de inicialização (T1547.001): modificando chaves do registro ou adicionando arquivos à pasta de inicialização.

- Criar ou modificar o processo do sistema: Windows Service (T1543.003): Criando ou modificando serviços do Windows para persistência.

‍

Escalação de privilégios

- Exploração para escalonamento de privilégios (T1068): explorando vulnerabilidades para aumentar privilégios.

- Contas válidas: Contas locais (T1078.003): Usando contas de administrador local.

‍

Evasão de defesa

- Arquivos ou informações ofuscadas (T1027): Usando técnicas de ofuscação para evitar a detecção.

- Desofuscar/decodificar arquivos ou informações (T1140): descriptografar ou decodificar arquivos para executar cargas úteis.

- Desativando as ferramentas de segurança (T1562.001): Desativando o antivírus e outras ferramentas de segurança.

‍

Acesso à credencial

- Despejo de credenciais do sistema operacional: Memória LSASS (T1003.001): Despejo de credenciais do processo LSASS.

- Despejo de credenciais do sistema operacional: NTDS (T1003.003): Despejo de credenciais do Active Directory.

‍

Descoberta

- Network Service Discovery (T1046): enumerando serviços de rede.

- System Information Discovery (T1082): coleta de informações sobre o sistema operacional e o hardware.

- Process Discovery (T1057): enumerando processos em execução.

‍

Movimento lateral

- Serviços remotos: Remote Desktop Protocol (T1021.001): usando RDP para se mover lateralmente dentro da rede.

- Serviços remotos: compartilhamentos SMB/Windows Admin (T1021.002): usando compartilhamentos SMB para se mover lateralmente e implantar cargas úteis de ransomware.

‍

Coleção

- Dados do sistema local (T1005): coleta de dados do sistema local.

- Preparação de dados: Preparação de dados local (T1074.001): Preparação dos dados coletados localmente antes da criptografia ou exfiltração.

‍

Exfiltração

- Exfiltração pelo canal C2 (T1041): Exfiltração de dados por um canal de comando e controle (C2) estabelecido.

- Exfiltração por serviço web (T1567.002): usando serviços da web para exfiltrar dados.

‍

Impacto

- Dados criptografados para impacto (T1486): criptografando arquivos no sistema da vítima.

- Service Stop (T1489): interrompendo serviços para facilitar a criptografia e impedir os esforços de recuperação.

- Inibir a recuperação do sistema (T1490): excluindo ou desativando sistemas de backup e recuperação.

‍

‍

Indicadores de compromisso:

SHA256

62e9d5b3b4d5654d6ec4ffdcd7a64dfe5372e209b306d07c6c7d8a883e01bead

6962e408aa7cb3ce053f569415a8e168a4fb3ed6b61283c468f6ee5bbea75452

981e6f2584f5a4efa325babadcb0845528e8147f3e508c2a1d60ada65f87ce3c

98266835a238797f34d1a252e6af0f029c7823af757df10609f534c4f987e70f

ad635630ac208406cd28899313bef5d4e57dba163018dfb8924de90288e8bab3

b6ed0a10e1808012902c1a911cf1e1b6aa4ad1965e535aebcb95643ef231e214

b89742731932a116bd973e61628bbe4f5d7d92b53df3402e404f63003bac5104

d931fe8da243e359e9e14f529eafe590b8c2dd1e76ca1ad833dd0f927648f88b

ec2a22d92dd78e37a6705c8116251fabdae2afecb358b32be32da58008115f77

f9c6dca22e336cf71ce4be540905b34b5a63a7d02eb9bbd8a40fc83e37154c22

09c99e37121722dd45a2c19ff248ecfe2b9f1e082381cc73446e0f4f82e0c468

4cae449450c07b7aa74314173c7b00d409eabfe22b86859f3b3acedd66010458

78147d3be7dc8cf7f631de59ab7797679aba167f82655bcae2c1b70f1fafc13d

cb408d45762a628872fa782109e8fcfc3a5bf456074b007de21e9331bb3c5849

259670303d1951b6b11491ddf8b76cad804d7a65525eac08a5b6b4473b42818b

48301f37e92a9d5aa29710bda4eee034dd888a3edd79e2f74990300ffd8eb3b6

48460c9633d06cad3e3b41c87de04177d129906610c5bbdebc7507a211100e98

4b8103cd9fbb0efb472cbf39715becacf098f7ee44bf98f6672278e4e741542b

5c3569c166654eed781b9a2a563adec8e2047078fdcbafcdef712fabf2dd3f57

5ccf8c6bf9c39ccb54c5ebabd596a1335da522d70985840036e50e3c87079ab4

335d1c6a758fcce38d0341179e056a471ca84e8a5a9c9d6bf24b2fb85de651a5

452c219223549349f3b2c4fe25dfef583900f8dac7d652a4402cf003bf5ecf46

URLs

hxxp: //iq3ahijcfeont3xx.sm4i8smr3f43.com

hxxps: //iq3ahijcfeont3xx.tor2web.blutmagie.de

hxxp: //iq3ahijcfeont3xx.fenaow48fn42.com

hxxp: //iq3ahijcfeont3xx.sm4i8smr3f43.com

‍