O Axxes Ransomware Group parece ser a versão renomeada do Midas Group Categoria: Inteligência do adversárioIndústria: MúltiploPaís/Região: GlobalFonte*: F6

Sumário executivo

• CloudSEKA principal plataforma digital de monitoramento de risco da xVigil descobriu um grupo de agentes de ameaças com motivação financeira, chamado ransomware Axxes, que é considerado uma reformulação da marca de um grupo de ransomware anteriormente conhecido.
• O site de relações públicas do grupo de ransomware Axxes lista The H Dubai como sua última vítima.
• Suas regiões-alvo incluem EUA, Oriente Médio, França e China.

[caption id="attachment_19347" align="alignnone” width="1086"] Atividades recentes do grupo de ransomware Axxes [/caption]

Análise e atribuição

Sobre o Axxes Ransomware

• Axxes é um ransomware que criptografa arquivos e anexa o .axxes extensão para eles.
• O Axxes cria um arquivo chamado “Restore_files_info.hta”, que inclui uma nota de resgate. Ele também cria um arquivo chamado “RESTORE_FILES_INFO.txt”.
• O ransomware executa várias tarefas, como:
  • Procurando a localização geográfica do dispositivo
  • Modificando o Firewall do Windows
  • Modificando a extensão dos arquivos no dispositivo da vítima.
  • Eliminando os processos com taskkill.exe

>> O que aconteceu? Arquivos importantes em sua rede foram CRIPTOGRAFADOS e agora eles têm a extensão “Axxes”. Para recuperar seus arquivos, você precisa seguir as instruções abaixo. > > Dados confidenciais Dados confidenciais em sua rede foram BAIXADOS. Mais de 70 GB. Se você NÃO QUER QUE seus dados confidenciais sejam PUBLICADOS, você precisa agir rapidamente. Os dados incluem: - Dados pessoais dos funcionários, currículos, DL, SSN. - Mapa de rede completo, incluindo credenciais para serviços locais e remotos. - Informações financeiras privadas, incluindo: dados de clientes, contas, orçamentos, relatórios anuais, extratos bancários. > > CUIDADO NÃO MODIFIQUE OS ARQUIVOS CRIPTOGRAFADOS SOZINHO. NÃO USE SOFTWARE DE TERCEIROS PARA RESTAURAR SEUS DADOS. VOCÊ PODE DANIFICAR SEUS ARQUIVOS, ISSO RESULTARÁ EM PERDA PERMANENTE DE DADOS. > > O que devo fazer a seguir? 1) Baixe e instale o Navegador Tor em: https://torproject.org/ 2) ymnbqd5gmtxc2wepkesq2ktr5qf4uga6wwrsbtktq7n5uvhqmbyaq4qd.onion/link.php? id=htjndkb5ocr74qyyii8r5987lafscfNota sobre ransomware Axxes

• Depois de criptografado, o grupo de ransomware deixa um link com o ID da vítima. O link direciona a vítima para uma página de bate-papo na qual uma conta é criada usando o ID de autorização.

• As organizações vítimas listadas no site de relações públicas do grupo incluem detalhes sobre a organização, como endereço, informações de contato, número de visualizações, site e data da próxima atualização.

Grupo de Ransomware Axxes

• Com base no logotipo do grupo de ransomware, parece ser uma versão renomeada do grupo de ransomware Midas.
• O ransomware Midas usou o mesmo logotipo e listou as mesmas vítimas, exceto pelas recentes adições. Esse grupo de ransomware Midas foi observado pela primeira vez em outubro de 2021.
• Acreditava-se que o próprio grupo Midas fosse uma versão renomeada do ransomware Haron. E o Haron era uma versão renomeada do grupo de ransomware Avvadon.
• Alguns pesquisadores também afirmaram que Midas é uma variante de Thanos.

[caption id="attachment_19349" align="alignnone” width="546"] Postagem no Twitter discutindo o ransomware Midas [/caption]

• Embora o grupo de ransomware Haron ainda esteja operando como Haron Ransomware2, o site de vazamento do grupo de ransomware Midas não está mais ativo.

Indicadores de compromisso (IOCs)

Com base nos resultados do VirusTotal e do Triage, a seguir estão os IOCs do ransomware Axxes. MD5063a4b2fb6f7bd96710dd054d03a8668ac2e9f9f84f98a1c7514fcf2e81eaa88SHA-1b82bc6b886672606672bf58e84625fafeebf09cc8dfb08d755a31fdd40bfc624983113e2b0a4c0adSHA-2565b1d1e8d4d93d360b044101d6c5835b4ac4cb0ef0d19e83d93cafbbd22e708abec7fbdf548bd27bb5076dd9589e1b87f3c5740da00e77c127eb4cd4541d7d6f7IPv48 [.] 240 [.] 24 [.] 1248 [.] 249 [.] 245 [.] 252192 [.] 168 [.] 0 [.] 668 [.] 252 [.] 36 [.] 1248 [.] 252 [.] 68 [.] 2528 [.] 253 [.] 253 [.] 151 [.] 2458 [.] 253 [.]] 208 [.] 1088 [.] 253 [.] 208 [.] 1098 [.] 253 [.] 208 [.] 1168 [.] 253 [.] 254 [.] 124

Impacto e mitigação

ImpactoMitigação

• Os códigos-fonte publicados podem permitir que outros agentes de ameaças tenham acesso às redes das organizações.
• Se ele contiver qualquer informação de identificação pessoal (PII) exposta, poderá permitir que os agentes de ameaças orquestrem esquemas de engenharia social, ataques de phishing e até mesmo roubo de identidade.
• Endereços IP e credenciais de login expostos podem levar a possíveis aquisições de contas.
• Os detalhes confidenciais expostos podem revelar práticas comerciais e propriedade intelectual.
• Como a reutilização de senhas é uma prática comum, os atores podem aproveitar as credenciais expostas para acessar outras contas do usuário.

• Redefina as credenciais de login do usuário comprometidas e implemente uma política de senha forte para todas as contas de usuário.
• Verifique possíveis soluções alternativas e patches enquanto mantém as portas abertas.
• Corrija todos os endpoints vulneráveis e exploráveis.
• Monitore anomalias, em contas e sistemas de usuários, que possam ser indicadores de possíveis aquisições.
• Use MFA (autenticação multifator) em todos os logins.

Referências

• * https://en.wikipedia.org/wiki/Intelligence_source_and_information_reliability
• ^#https://en.wikipedia.org/wiki/Traffic_Light_Protocol