Categoria: Inteligência do adversárioIndústria: MúltiploRegião: ÍndiaFonte*: E2

Sumário executivo

• CloudSEKA equipe de inteligência de ameaças da Stormous identificou campanhas de ransomware Stormous direcionadas a várias organizações em todo o mundo. O grupo de ameaças tem motivação financeira e sua última cadeia de ataques também foi direcionada a entidades indianas.
• CloudSEKs Relatório de atribuição de ransomware Stormous publicado anteriormente, identifica o ransomware Stormous como um grupo árabe que opera no Telegram e em seu site Onion.
• Os dados vazados permitem que os agentes de ameaças obtenham acesso não autorizado a dados pessoais, proprietários e de propriedade intelectual (IP).

[caption id="attachment_19960" align="aligncenter” width="394"] Postagem do ator ameaçador no canal Telegram [/caption]

Análise e atribuição

Informações do site Storumus e do canal Telegram

• Os pesquisadores da CloudSEK observaram que o grupo de ransomware Stormous geralmente está interessado no código-fonte e nos documentos confidenciais de seus alvos.
• Desde 11 de abril de 2022, o grupo de ransomware Stormous tem como alvo ativo entidades indianas. Algumas de suas vítimas recentes incluem:

DataEntidade afetadaIndústriaDetalhes da violação de dados11 de abril de 2022Delhi Heights SchoolEducationOs dados violados incluem arquivos confidenciais e dados publicados em seu site Onion.11 de abril de 2022Success NeetiService89 GB de dados, incluindo dados financeiros, dados de funcionários, dados organizacionais, arquivos e documentos.15 de abril de 2022Software Fycis para Nidhi BankingIT e SoftwareBreached Os dados incluem banco de dados e código-fonte.15 de abril de 2022Os dados do Fycis Software for Nidhi BankingIT and SoftwareBreached incluem banco de dados e código-fonte.15 de abril de 2022O software Fycis para Nidhi BankingIT e SoftwareBreached data incluem banco de dados e código-fonte.15 de abril de 2022Astusit banco de dados e código fonte.17 de abril de 2022Primeiro disquete Os dados violados do aluguel contêm o código-fonte.17 de abril de 2022Hugel InfratelecommunicationOs dados violados contêm código-fonte.

• Além disso, o grupo de ransomware Stormous divulgou uma lista de domínios indianos que podem ser seus alvos potenciais:

• • http://jwfhr(.)com/indexSTM(.)html

• • http://rsmps(.)in/indexSTM(.)html

• • http://helpme(.)net(.)in/indexSTM(.)html

• • http://universalkids(.)co(.)in/indexSTM(.)html

• • http://allahabadnidhi(.)in/indexSTM(.)html

• • http://sgpsdelhi(.)com/indexSTM(.)html

• • http://daskumars(.)com/indexSTM(.)html

• • http://indiacounty(.)com/indexSTM(.)html

• • http://acms(.)manokamnaa(.)in/indexSTM(.)html

• • http://vnpsnanakpura(.)in/indexSTM(.)html

• • http://mapleapple(.)in/indexSTM(.)html

• • http://sigssitamarhi(.)com/indexSTM(.)html

• • https://svmfoundation(.)in/indexSTM(.)html

• • http://gvips(.)co(.)in/indexSTM(.)html

• • http://bbsitm(.)in/indexSTM(.)html

• • http://macnnareladelhi(.)com/indexSTM(.)html

• • http://besthost(.)co(.)in/indexSTM(.)html

• • http://prgmotors(.)com/indexSTM(.)html

• • http://krystalpay(.)com/indexSTM(.)html

• • http://umakantjha(.)com/indexSTM(.)html

• • http://avikalpa(.)in/indexSTM(.)html

• • http://rebssports(.)com/indexSTM(.)html

• • http://punchassociates(.)in/indexSTM(.)html

Como o Stormus Group seleciona as vítimas

• O grupo ameaçador realiza pesquisas de rotina em seu canal do Telegram para assinantes, especulando sobre quem deve ser seu próximo alvo.
• Com base em sua última pesquisa, o grupo anunciou que o First Floppy é sua próxima vítima. A First Floppy é uma empresa de aluguel de bens e serviços com sede em Delhi.
• Eles também afirmam ter comprometido o código-fonte e os dados do First Floppy.
• As operadoras compartilharam os dados em seu site.

Entidades indianas alvo do Stormous Group

• O grupo já teve como alvo várias organizações indianas no passado, incluindo:

DataNome da empresaLocalizaçãoDetalhes da violação10 de janeiro de 2022IDFC First BankIndia Informações confidenciais de clientes, como passaportes e extratos bancários, foram afetadas. 16 de novembro de 2021CCI (Cement Corporation of India) LimitedIndiana31 de janeiro de 2022GodrejIndiaO grupo alegou que violou sete regiões da empresa e exigiu um resgate de USD 700.000.

Próximos alvos do Grupo Strormous

• No momento em que escrevo este relatório, os pesquisadores da CloudSEK descobriram que o grupo de ameaças está planejando atacar mais cinco organizações e organizou uma pesquisa para que seus assinantes votem e escolham seu próximo alvo. E 46 inscritos participaram desta última pesquisa até agora.

[caption id="attachment_19962" align="aligncenter” width="348"] Última enquete do grupo de ransomware Stormous no canal Telegram [/caption]

O ator da ameaça

• Os pesquisadores da CloudSEK notaram que as organizações que o grupo Stormous afirma ter comprometido já foram alvo de outros grupos no passado. Portanto, a confiabilidade de suas reivindicações não pode ser verificada.
• O canal Telegram do grupo de ransomware Stormous foi marcado como 'Fraude'e seu site Onion também está fora do ar no momento. Portanto, nossos pesquisadores não conseguiram obter acesso a amostras que possam fundamentar suas afirmações.

Classificação da fonte

• O grupo compartilhou vários bancos de dados e acessos no passado. No entanto, o grupo de ransomware Stormous não é confiável.

Portanto,

• A confiabilidade do grupo pode ser avaliada Não confiável (E).
• A credibilidade do anúncio pode ser avaliada Provavelmente é verdade (2).
• Dando credibilidade geral à fonte de E2.

Indicadores de compromisso

MD5dd3f51f042c2a6aedc02866e96c08f049b63bfe7993f4b65c868b05d7f536506a6702587d940588f3fddc6d3143a17819589cebb076a8eb0a984c5f53c1bb729d9114965fe3c2b3b15f7c0872dd4cdd058db3daacef0eb37bd486fa23dbd67ac72cfd996957bde06a02b0adb2d66d8aa9c25bf37e8b55d9aeff124df4008b0d372bf2d3e5e5ae79c622b39521183dd71ed2a174031ca159beb6479a90921c182cb90807102ef402719ee8060910345b3098f99db1f80e27aec0c9a5a625aedaab5899a78d28072fdabf0b5aac5e8f337dc768d07b63e1e7fbb5a2e46facd3ee0c945f324414210c2199ffbdae7faa1725db8192ad711d759b13f8195a18821def0a554f19134a5db3d2ae949f9500ce3dd2f9500ce3dd2f19134a5db3d2ae949f9500ce3dd2f2CE3814EEC8C45FC4313A9 C7f65ce882a7899cf040514beeb0fc5c8c887d0435009730b6370bf94bc93b49fad3e5e6787e96373ac37ed58083f7572d72a55318328511961ec339dfddca0443068dcce9cd25a452e7e248a8d3745ef53cf2b1f3d7d8479546b9e338a57c35a4732bbb5f738e2387c1671a002bcbIPv466 [.] 96 [.] 141 [.] 50178 [.] 62 [.] 193 [.] 12569 [.] 172 [.] 201 [.] 20869 [.] 195 [.] 129 [.] 72193 [.] 143 [.] 0 [.] 0/4498 [.] 136 [.] 48 [.] 105 (Sem registros maliciosos) 98 [.] 136 [.] 48 [.] 113 (Sem registros maliciosos) 98 [.] 136 [.] 48 [.] 115 (Sem registros maliciosos) 98 [.] 136 [.] 48 [.] 81 (Sem registros maliciosos) 98 [.] 136 [.] 48 [.] 102 (Sem registros maliciosos) 98 [.] 136 [.] 48 [.] 77 (Sem registros maliciosos) 98 [.] 136 [.] 48 [.] 77 (Sem registros maliciosos) 98 [.] 136 [.])Domínioshxxp: //200 [.] 106 [.] 145 [.] 122hxxp: //70 [.] 85 [.] 221 [.] 20hxxp: //200 [.] 74 [.] 244 [.] 118hxxp: //70 [.] 85 [.] 221 [.] 10

Impacto e mitigação

ImpactoMitigação

• Os códigos-fonte publicados podem permitir o acesso às redes das vítimas.
• Se o vazamento de dados expuser informações de identificação pessoal (PII), isso poderá permitir que os agentes de ameaças orquestrem esquemas de engenharia social, ataques de phishing e roubo de identidade.
• Endereços IP e credenciais de login expostos podem levar a possíveis aquisições de contas.
• Os detalhes confidenciais expostos podem revelar práticas comerciais e propriedade intelectual.
• Como a reutilização de senhas é uma prática comum, os atores podem aproveitar as credenciais expostas para acessar outras contas de usuários.

• Redefina as credenciais de login do usuário comprometidas e implemente uma política de senha forte para todas as contas de usuário.
• Verifique possíveis soluções alternativas e patches enquanto mantém as portas abertas.
• Corrija todos os endpoints vulneráveis e exploráveis.
• Monitore anomalias, em contas e sistemas de usuários, que possam ser indicadores de possíveis aquisições.
• Use MFA (autenticação multifator) em todos os logins.

Referências

• *https://en.wikipedia.org/wiki/Intelligence_source_and_information_reliability
• ^#https://en.wikipedia.org/wiki/Traffic_Light_Protocol

Apêndice

[caption id="attachment_19963" align="aligncenter” width="303"] Postagem do ator da ameaça no canal Telegram anunciando vários acessos de login [/caption] [caption id="attachment_19964" align="aligncenter” width="748"] Enquete organizada pelo grupo de ransomware Stormous [/caption]