Hack ‘Sabbath’: novo ransomware indescritível é detectado
Uma operação de ransomware recém-descoberta, apelidada de UNC2190 ou “Sabbath”, tem raízes em um grupo de ransomware anterior, mas até agora tem sido capaz de operar sem ser detectada.
Uma operação de ransomware pequena, mas eficaz, tem conduzido ataques sem ser detectados, graças ao seu tamanho e técnicas inovadoras.
Mandiant informou na segunda-feira que a operação, designada UNC2190 ou “Sabbath”, foi lançada em setembro e começou os ataques em outubro. Desde então, o grupo afirma ter infectado várias organizações e ameaçou divulgar os dados roubados caso seu pedido de resgate não fosse atendido. De acordo com uma postagem no blog da Mandiant, o grupo de ransomware Sabbath atacou e extorquiu pelo menos um distrito escolar dos Estados Unidos.
Tal como acontece com outras operações de ransomware, acredita-se que o Sabbath opere amplamente no modelo de ransomware como serviço , em que os operadores contratam hackers “afiliados” individuais para fazer o trabalho local de infiltrar redes e instalar o ransomware.
Parte do perigo representado pela operação de ransomware do Sabbath é que o grupo conseguiu escapar da detecção devido a vários fatores. Primeiro, o grupo modificou suas ferramentas, incluindo a ferramenta de controle remoto Cobalt Strike Beacon , para evitar a detecção.
Também ajudando a manter os ataques fora do radar, estava o tamanho da operação em relação a outras marcas de ransomware. Mandiant acredita que o Sabbath tem suas raízes em uma campanha anterior de ransomware chamada Arcane. Ambos são executados pelo mesmo grupo UNC2190. Mas, ao contrário de equipes de ransomware maiores e mais conhecidas, o pivô do UNC2190 de Arcane para Sabbath não foi escolhido imediatamente.
Tyler McLellan, analista principal da Mandiant e co-autor da postagem do blog, disse ao SearchSecurity que, embora não seja incomum que grandes grupos de ransomware reformulem suas operações, uma equipe pequena e relativamente desconhecida como Arcane geralmente não muda de marca.
“Nós vimos alguns dos grupos maiores como DarkSide e Babuk mudarem de nome quando a pressão do público e do governo era muito grande”, explicou McLellan. “No caso de grupos menores como o Sabbath, poderia ser renomeado por motivos muito mais mundanos, como uma disputa de pagamento entre os membros do grupo e um rebranding é uma tentativa de começar do zero sem os membros do grupo problemáticos.”
Mesmo que não seja tão grande quanto DarkSide ou Babuk, o Sabbath ainda pode ter alguma influência sobre a cena do ransomware. McLellan disse que algumas das técnicas do Sabbath, particularmente o uso de várias cargas úteis de malware modificadas, podem ser usadas por outras equipes de ransomware que procuram ficar fora do radar dos fornecedores de segurança e da aplicação da lei.
“À medida que a detecção de intrusões de ransomware melhora nos estágios iniciais de pré-ransomware, esperamos que os agentes de ameaça continuem a se adaptar para ficar à frente da curva de detecção e aumentar o ritmo para implantar ransomware mais rápido após uma intrusão inicial”, disse McLellan.
Fonte: https://www.techtarget.com/