Hack ‘Sabbath’: novo ransomware indescritível é detectado

Uma operação de ransomware pequena, mas eficaz, tem conduzido ataques sem ser detectados, graças ao seu tamanho e técnicas inovadoras.

Mandiant informou na segunda-feira que a operação, designada UNC2190 ou “Sabbath”, foi lançada em setembro e começou os ataques em outubro. Desde então, o grupo afirma ter infectado várias organizações e ameaçou divulgar os dados roubados caso seu pedido de resgate não fosse atendido. De acordo com uma postagem no blog da Mandiant, o grupo de ransomware Sabbath atacou e extorquiu pelo menos um distrito escolar dos Estados Unidos.

Tal como acontece com outras operações de ransomware, acredita-se que o Sabbath opere amplamente no modelo de ransomware como serviço , em que os operadores contratam hackers “afiliados” individuais para fazer o trabalho local de infiltrar redes e instalar o ransomware.

Parte do perigo representado pela operação de ransomware do Sabbath é que o grupo conseguiu escapar da detecção devido a vários fatores. Primeiro, o grupo modificou suas ferramentas, incluindo a ferramenta de controle remoto Cobalt Strike Beacon , para evitar a detecção.

Também ajudando a manter os ataques fora do radar, estava o tamanho da operação em relação a outras marcas de ransomware. Mandiant acredita que o Sabbath tem suas raízes em uma campanha anterior de ransomware chamada Arcane. Ambos são executados pelo mesmo grupo UNC2190. Mas, ao contrário de equipes de ransomware maiores e mais conhecidas, o pivô do UNC2190 de Arcane para Sabbath não foi escolhido imediatamente.

Tyler McLellan, analista principal da Mandiant e co-autor da postagem do blog, disse ao SearchSecurity que, embora não seja incomum que grandes grupos de ransomware reformulem suas operações, uma equipe pequena e relativamente desconhecida como Arcane geralmente não muda de marca.

“Nós vimos alguns dos grupos maiores como DarkSide e Babuk mudarem de nome quando a pressão do público e do governo era muito grande”, explicou McLellan. “No caso de grupos menores como o Sabbath, poderia ser renomeado por motivos muito mais mundanos, como uma disputa de pagamento entre os membros do grupo e um rebranding é uma tentativa de começar do zero sem os membros do grupo problemáticos.”

Mesmo que não seja tão grande quanto DarkSide ou Babuk, o Sabbath ainda pode ter alguma influência sobre a cena do ransomware. McLellan disse que algumas das técnicas do Sabbath, particularmente o uso de várias cargas úteis de malware modificadas, podem ser usadas por outras equipes de ransomware que procuram ficar fora do radar dos fornecedores de segurança e da aplicação da lei.

“À medida que a detecção de intrusões de ransomware melhora nos estágios iniciais de pré-ransomware, esperamos que os agentes de ameaça continuem a se adaptar para ficar à frente da curva de detecção e aumentar o ritmo para implantar ransomware mais rápido após uma intrusão inicial”, disse McLellan.

Fonte: https://www.techtarget.com/