Inicialmente divulgado em 2022, esta subclasse de ransomware conhecida como “vírus da encriptação”, continua a ser uma ameaça. Na sequência de um incidente recente, a equipa de Resposta a Emergências Globais da Kaspersky está a investigar um ataque em que os cibercriminosos criaram a sua própria variante de malware de encriptação equipado com capacidades de auto-propagação. Os cibercriminosos violaram infraestruturas através da exploração de credenciais de administrador privilegiado roubadas. Este incidente aconteceu na África Ocidental, mas outras regiões do globo também sofreram ataques de ransomware baseado em construtores, embora nenhum deles tenha as características sofisticadas observadas neste caso.
O último incidente ocorreu na Guiné-Bissau e revelou que o ransomware personalizado utiliza técnicas invisíveis e indetetáveis, criando um efeito de avalanche descontrolado através dos anfitriões infetados que propagam o malware para a rede da vítima.
Após este incidente, a Kaspersky está a fornecer a análise detalhada.
Falsificação de identidade. Aproveitam as credenciais adquiridas ilicitamente e fazem-se passar pelo administrador do sistema com direitos privilegiados. Este cenário é crítico, uma vez que as contas privilegiadas oferecem amplas oportunidades para executar o ataque e obter acesso às áreas mais críticas da infraestrutura empresarial.
Auto-propagação. O ransomware personalizado pode também espalhar-se autonomamente pela rede, utilizando credenciais de domínio altamente privilegiadas para realizar atividades maliciosas, tais como desativar o Windows Defender, encriptar partilhas de rede e apagar os registos de eventos do Windows para encriptar dados e ocultar as suas ações.
O comportamento do malware resulta num cenário em que cada anfitrião infetado tenta infetar outros anfitriões na rede.
Características adaptativas. Os ficheiros de configuração personalizados, juntamente com as características acima mencionadas, permitem que o malware se adapte às configurações específicas da arquitetura da empresa vítima. Por exemplo, o atacante pode configurar o ransomware para infetar apenas ficheiros específicos, como todos os ficheiros .xlsx e .docx, ou apenas um conjunto de sistemas específicos.
Ao executar esta compilação personalizada, a Kaspersky observou este ransomware a realizar atividades maliciosas e a gerar notas de resgate personalizadas no ambiente de trabalho. Em cenários reais, esta nota inclui detalhes sobre como é que a vítima deve contactar os atacantes para desencriptar o ataque.
“O construtor LockBit 3.0 foi divulgado em 2022, mas os atacantes ainda o utilizam ativamente para criar versões personalizadas que nem sequer requerem conhecimentos avançados de programação. Esta flexibilidade oferece muitas oportunidades para aumentar a eficácia dos ciberataques, como mostra o caso mais recente. Isso torna esses tipos de ataques ainda mais perigosos, considerando a frequência crescente de credenciais corporativas divulgadas ilicitamente”, afirma Cristian Souza, especialista em Resposta a Incidentes da Equipe Global de Resposta a Emergências da Kaspersky.
A Kaspersky também descobriu que os atacantes utilizaram o script SessionGopher para localizar e extrair passwords guardadas para ligações remotas nos sistemas afetados.
Os incidentes que envolvem vários tipos de técnicas baseadas no LockBit 3.0, um construtor que foi divulgado, ocorrem regularmente em vários setores e regiões, mas sem as capacidades de auto propagação e personificação encontradas na Guiné-Bissau. Os ataques foram observados na Rússia, no Chile e em Itália, sendo que a tendência é que a geografia dos ataques se expanda ainda mais.
A Kaspersky detetou as ameaça com os seguintes veredictos:
- Trojan-Ransom.Win32.Lockbit.gen
- Trojan.Multi.Crypmod.gen
- Trojan-Ransom.Win32.Generic
O SessionGopher script é detetado como:
- HackTool.PowerShell.Agent.l
- HackTool.PowerShell.Agent.ad
O LockBit é um grupo cibercriminoso que oferece ransomware como um serviço (RaaS). Em fevereiro de 2024, uma operação policial internacional adquiriu o controlo do grupo. Contudo, esse controlo não durou muito. Poucos dias após a operação, o grupo de ransomware anunciou que estava de volta à ação.