Alerta para malware que ataca por motivações financeiras no Brasil

14/11/2024 mindsecblog Notícias 0

Cisco Talos alerta para malware que ataca por motivações financeiras no Brasil e outros países da América Latina

Um novo levantamento da Cisco Talos – braço de inteligência da Cisco em nível global – aponta para a descoberta de uma variante do ransomware MedusaLocker. Conhecido como “BabyLockerKZ”, esse malware foi criado com motivações financeiras e registrou um aumento significativo no número de ataques na Europa, entre final de 2022 e início de 2023. Durante o segundo trimestre de 2023, o volume de ataques por mês quase dobrou, e os cibercriminosos mudaram seu foco para países da América Latina, como México, Brasil, Argentina e Colômbia.

O levantamento da Cisco Talos aponta que os ataques mantiveram um volume estável de aproximadamente 200 endereços de IP exclusivos comprometidos por mês até o primeiro trimestre de 2024. Depois disso, esse tipo de ocorrência diminuiu.

Ainda segundo a Cisco Talos, esse malware tem comprometido muitas corporações de forma consistente. Geralmente foram mais de 100 vítimas por mês, desde 2022. Para o braço de inteligência da Cisco, isso revela a natureza profissional e altamente agressiva dos ataques.

 

Característica do malware
Segundo o estudo, uma característica dessa variante é o fato de ser compilada com um caminho PDB que tem a presença da palavra “paid_memes”. O “BabyLockerKZ” tem diferenças significativas se comparadas à versão clássica do “MedusaLocker”.

Entre elas, estão as modificações na execução automática e a utilização de chaves adicionais armazenadas no registro. Esse fator, em especial, reforça o profissionalismo e a precisão dos cibercriminosos em seus ataques.

Na avaliação da Cisco Talos, o objetivo principal dos cibercriminosos com esse malware é puramente financeiro. Para isso, esse invasor utiliza várias ferramentas de ataque publicamente conhecidas e binários living-off-the-land (LoLBins). Neste último caso, trata-se de um conjunto criado pelo mesmo desenvolvedor do “BabyLockerKZ” para auxiliar no roubo de credenciais e movimentação lateral em organizações comprometidas.

 

Pasta de usuários usadas nos ataques

O estudo da Cisco Talos destaca ainda que o ataque responsável pela implantação desse malware usou várias ferramentas publicamente conhecidas e outras supostamente exclusivas. Os cibercriminosos utilizaram pastas de usuário “Music”, “Pictures” ou “Documents” de sistemas comprometidos para armazenar os mecanismos de ataque.

A seguir, os caminhos adotados:

– c:\usuários\<usuário>\música\scanner_de_portas_avançado_2.5.3869.exe
– c:\usuários\<usuário>\música\hrsword\hrsword install.bat
– c:\usuários\<usuário>\music\killav\build.004\disabler.exe
– c:/usuários/<usuário>/music/checker/checker(222).exe

– c:/users/<usuário>/music/checker/invoke-thehash.ps1
– c:/usuários/<usuário>/music/checker/checker (222).exe
– c:/users/<usuário>/music/checker/invoke-smbexec.ps1
– c:/users/<usuário>/music/checker/invoke-wmiexec.ps1
– c:/users/<usuário>/appdata/roaming/ntsystem/ntlhost.exe.exe
– c:/users/<usuário>/appdata/local/temp/advanced port scanner 2/advanced_port_scanner.exe
– c:/users/<usuário>/appdata/local/temp/is-juad3.tmp/advanced_port_scanner_2.5.3869.tmp

 

Conheça mais sobre esse malware o estudo completo realizado pela Cisco Talos neste link (clique aqui).

Sobre a Cisco

A Cisco (NASDAQ: CSCO) é líder mundial em tecnologia, que conecta tudo com segurança para tornar tudo possível. O objetivo da Cisco é capacitar um futuro inclusivo para todos, ajudando os clientes a reimaginarem seus aplicativos, potencializar o trabalho híbrido, proteger sua empresa, transformar sua infraestrutura e atingir suas metas de sustentabilidade.

Veja também:

About mindsecblog 2766 Articles
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.
Website Facebook Twitter YouTube LinkedIn

Related Articles

Be the first to comment

Deixe sua opinião!