News

Log4shell: grupo de ransomware Conti desenvolveu cadeia de ataque

A cadeia começa no Emotet, passando para a ferramenta Cobalt Strike, a exploração humana, a falta de ações ADMIN$, o Kerberoasting e, por fim, pelos servidores VMWare vCenter

24/12/2021

Log4shell: grupo de ransomware Conti desenvolveu cadeia de ataque

O grupo de ransomware Conti, sediado na Rússia, tornou-se o primeiro grupo a adotar e utilizar a vulnerabilidade Log4j2 como meio de ataque, a um nível profissional, construindo uma cadeia de ataque holística. Segundo um relatório da AdvIntel partilhado com o Threatpost, o Conti estava “no lugar certo, à hora certa, com as ferramentas certas”, quando foi descoberta a vulnerabilidade Log4j. 

A Apache lançou um patch, Log4J2, mas descobriram que estava incompleto em algumas configurações não padronizadas, abrindo espaço para ataques de denial-of-service (DoS), em alguns cenários. Além dos dois bugs, foi descoberto, ainda, um terceiro, para o qual a Apache emitiu de imediato um patch. 

Yelisey Boguslavskiy, da AdvIntel, explicou que, numa primeira instância, a cadeia de ataque conta com o Emotet, botnet que reapareceu recentemente através do TrickBot, e que, agora, tem a capacidade de se instalar diretamente. Segue-se a ferramenta legítima Cobalt Strike, utilizada para testar a penetração de rede em dispositivos infetados e adotada de forma generalizada por cibercriminoso. 

De seguida, surge a exploração humana, o momento de um ataque em que os atores investigam pessoalmente a rede, à procura de dados críticos, analisando a estrutura da rede, entre outros aspetos. Depois, a falta de ações ADMIN$, ações administrativas ocultas criadas pelos sistemas operativos do Windows NT que concedem aos administradores do sistema acesso remoto a todo o sistema ligado à rede, pelo que, segundo a Microsoft, “as ações administrativas em falta normalmente indicam que o computador em questão foi comprometido por software malicioso”. 

A cadeia do Conti avança com o Kerberoasting, um ataque comum de pós-exploração que explora uma combinação de encriptação fraca e más passwords, e, a terminar, os servidores VMWare vCenter, pelo que o Conti estava à procura de redes VMWare vulneráveis para acesso inicial e movimento lateral. Os servidores VMWare fazem parte de uma lista de componentes e fornecedores afetados, cujos produtos foram considerados vulneráveis.

"Esta é a primeira vez que esta vulnerabilidade entra no radar de um grande grupo de ransomware", segundo a AdvIntel, pelo que o grupo recente de ransomware Khonsari foi o primeiro a visar o Log4Shell, ao bloquear jogadores do Minecraft através de servidores não oficiais. Contudo, é de notar que o Conti "desempenha um papel especial no panorama atual de ameaças, principalmente devido à sua escala", explicaram, – uma organização altamente sofisticada, composta por várias equipas. A AdvIntel estima que o gang tenha ganho mais de 150 milhões de dólares nos últimos seis meses.


NOTÍCIAS RELACIONADAS

RECOMENDADO PELOS LEITORES

REVISTA DIGITAL

IT SECURITY Nº8 Outubro 2022

IT SECURITY Nº8 Outubro 2022

NEWSLETTER

Receba todas as novidades na sua caixa de correio!

O nosso website usa cookies para garantir uma melhor experiência de utilização.