Log4shell: grupo de ransomware Conti desenvolveu cadeia de ataque

O grupo de ransomware Conti, sediado na Rússia, tornou-se o primeiro grupo a adotar e utilizar a vulnerabilidade Log4j2 como meio de ataque, a um nível profissional, construindo uma cadeia de ataque holística. Segundo um relatório da AdvIntel partilhado com o Threatpost, o Conti estava “no lugar certo, à hora certa, com as ferramentas certas”, quando foi descoberta a vulnerabilidade Log4j. 

A Apache lançou um patch, Log4J2, mas descobriram que estava incompleto em algumas configurações não padronizadas, abrindo espaço para ataques de denial-of-service (DoS), em alguns cenários. Além dos dois bugs, foi descoberto, ainda, um terceiro, para o qual a Apache emitiu de imediato um patch. 

Yelisey Boguslavskiy, da AdvIntel, explicou que, numa primeira instância, a cadeia de ataque conta com o Emotet, botnet que reapareceu recentemente através do TrickBot, e que, agora, tem a capacidade de se instalar diretamente. Segue-se a ferramenta legítima Cobalt Strike, utilizada para testar a penetração de rede em dispositivos infetados e adotada de forma generalizada por cibercriminoso. 

De seguida, surge a exploração humana, o momento de um ataque em que os atores investigam pessoalmente a rede, à procura de dados críticos, analisando a estrutura da rede, entre outros aspetos. Depois, a falta de ações ADMIN$, ações administrativas ocultas criadas pelos sistemas operativos do Windows NT que concedem aos administradores do sistema acesso remoto a todo o sistema ligado à rede, pelo que, segundo a Microsoft, “as ações administrativas em falta normalmente indicam que o computador em questão foi comprometido por software malicioso”. 

A cadeia do Conti avança com o Kerberoasting, um ataque comum de pós-exploração que explora uma combinação de encriptação fraca e más passwords, e, a terminar, os servidores VMWare vCenter, pelo que o Conti estava à procura de redes VMWare vulneráveis para acesso inicial e movimento lateral. Os servidores VMWare fazem parte de uma lista de componentes e fornecedores afetados, cujos produtos foram considerados vulneráveis.

"Esta é a primeira vez que esta vulnerabilidade entra no radar de um grande grupo de ransomware", segundo a AdvIntel, pelo que o grupo recente de ransomware Khonsari foi o primeiro a visar o Log4Shell, ao bloquear jogadores do Minecraft através de servidores não oficiais. Contudo, é de notar que o Conti "desempenha um papel especial no panorama atual de ameaças, principalmente devido à sua escala", explicaram, – uma organização altamente sofisticada, composta por várias equipas. A AdvIntel estima que o gang tenha ganho mais de 150 milhões de dólares nos últimos seis meses.