RDP está sendo usado por iranianos em campanha internacional de ataques

Atores iranianos alavancaram o Protocolo de Área de Trabalho Remota (RDP) como parte de uma campanha internacional para atingir empresas com o ransomware Dharma.


O Grupo IB
 descobriu a campanha enquanto conduzia um compromisso de resposta a incidentes para uma empresa russa em junho de 2020.

Como parte de sua investigação, a equipe de análise forense digital do provedor de soluções de segurança digital encontrou artefatos indicando que um grupo de atores inexperientes que falam persa foi responsável por uma tentativa de distribuir Dharma na rede da empresa afetada.

O grupo ganhou uma posição na empresa depois de abusar de seu RDP voltado para a Internet, juntamente com credenciais fracas.

Uma vez dentro da rede, ele exerceu sua capacidade de escolher entre várias ferramentas com o objetivo de se mover pela rede comprometida. Essas soluções incluíam seu desinstalador. Disponível em um site de compartilhamento de software iraniano, esta ferramenta permitiu que os atores desativassem as soluções antivírus.

Os atores também tiveram a opção de baixar ferramentas adicionais dos canais do Telegram em língua persa.

Nesse ponto, os invasores usaram o Advanced Port Scanner para mapear a rede comprometida para os hosts disponíveis. É então que eles se moveram lateralmente abusando do RDP.

Em cada host para o qual eles se mudaram, os atores deixaram cair o ransomware Dharma e exigiram um resgate de 1-5 BTC.

Nota sobre o ransomware Dharma (Fonte: Bleeping Computer )

O Grupo IB descobriu que os artefatos forenses do ataque estavam presentes em redes de outras empresas na Rússia, Japão, China e Índia. Cada uma dessas redes continha hosts com RDP voltado para a Internet e credenciais fracas.

A empresa de segurança explicou que não esperava observar o uso do Dharma entre atores que estão “muito aquém do nível de sofisticação das grandes APTs iranianas”. Conforme citado em sua pesquisa:

É surpreendente que o Dharma tenha caído nas mãos de script kiddies iranianos que o usavam para obter ganhos financeiros, já que o Irã tem sido tradicionalmente uma terra de invasores patrocinados pelo Estado envolvidos em espionagem e sabotagem. Apesar disso, esses cibercriminosos usam táticas, técnicas e procedimentos bastante comuns, eles têm sido bastante eficazes.

Reconhecendo esse fato, o Group-IB recomendou que as organizações alterassem a porta padrão usada para conexões RDP, implementassem políticas de bloqueio de contas e utilizassem feeds de inteligência de ameaças.

Esta notícia chega mais de um ano depois que pesquisadores descobriram uma nova variedade de ransomware conhecida como “Phobos”, que estava usando a mesma nota de resgate empregada pela Dharma para exigir o pagamento de suas vítimas.

Fonte: https://www.tripwire.com/state-of-security/security-data-protection/rdp-used-by-iranian-actors-in-international-dharma-ransomware-attacks/
Imagem: Getty Images