EncryptRAT
O autor de ameaças com motivação financeira conhecido como EncryptHub tem orquestrado ativamente campanhas avançadas de phishing para implantar ladrões de informações e ransomware. Além disso, o grupo está trabalhando em uma nova ferramenta ameaçadora chamada EncryptRAT, sinalizando sua evolução contínua no cenário do crime cibernético.
Índice
Segmentação de Aplicativos Populares e Uso de Serviços PPI
O EncryptHub foi observado distribuindo versões trojanizadas de aplicativos amplamente usados para se infiltrar nos sistemas das vítimas. O grupo também alavanca serviços de Pay-Per-Install (PPI) de terceiros, como LabInstalls, para ampliar o alcance de suas campanhas de malware.
Erros de Segurança Operacional e Utilização de Explorações
Pesquisadores de segurança cibernética identificaram o EncryptHub como um grupo de hackers que frequentemente comete erros de segurança operacional. Apesar desses erros, o grupo integra com sucesso explorações de vulnerabilidades de segurança amplamente conhecidas em seus ataques, tornando-os uma ameaça persistente.
Uma Ameaça Emergente: O LARVA-208 e Ataques Multicanal
Também rastreado por uma empresa suíça de segurança cibernética como LARVA-208, acredita-se que o EncryptHub tenha se tornado ativo em junho de 2024. O grupo emprega vários vetores de ataque, incluindo phishing por SMS (smishing) e phishing por voz (vishing), para enganar as vítimas e fazê-las instalar software de monitoramento e gerenciamento remoto (RMM).
Afiliações com os Principais Grupos de Ransomware
O EncryptHub tem fortes laços com os grupos RansomHub e Blacksuit Ransomware. Nos últimos nove meses, ele comprometeu mais de 618 alvos de alto valor em vários setores usando técnicas avançadas de engenharia social. Uma tática comum envolve sites de phishing projetados para roubar credenciais de VPN, seguidos por uma chamada que se passa por suporte de TI para persuadir as vítimas a inserir seus detalhes. Em casos em que as chamadas não são usadas, links falsos do Microsoft Teams servem como isca.
Hospedagem à Prova de Balas e Implantação de Malware
Para evitar a detecção, o EncryptHub hospeda sites de phishing em provedores de hospedagem à prova de balas como o Yalishand. Uma vez que o acesso é obtido, o invasor executa scripts do PowerShell para instalar malwares de roubo, como Fickle, StealC e Rhadamanthys. Na maioria dos casos, o objetivo final é implantar ransomware e extorquir um pagamento de resgate.
Aplicações Trojanizadas como um Ponto de Entrada Chave
Outro método comumente usado envolve disfarçar malware como software legítimo. O EncryptHub tem distribuído versões falsas de aplicativos como QQ Talk, QQ Installer, WeChat, DingTalk, VooV Meeting, Google Meet, Microsoft Visual Studio 2022 e o Palo Alto Global Protect. Uma vez instalados, esses aplicativos falsificados iniciam um processo de vários estágios, eventualmente entregando cargas úteis inseguras como o Kematian Stealer para coletar cookies do navegador e outros dados confidenciais.
LabInstalls: Um Elemento Crucial na Distribuição de Malware
Desde pelo menos 2 de janeiro de 2025, o EncryptHub conta com o LabInstalls, um serviço PPI que oferece instalação de malware em massa por uma taxa. Os preços variam de US$10 para 100 cargas a US$450 para 10.000 cargas. O EncryptHub confirmou seu uso do serviço deixando um feedback positivo em um fórum underground de língua russa, até mesmo compartilhando uma captura de tela como evidência. Isso sugere que o ator está terceirizando a distribuição para dimensionar suas operações de forma mais eficiente.
EncryptRAT: A Próxima Evolução do Crime Cibernético
O EncryptHub está desenvolvendo ativamente o EncryptRAT, um painel de Comando e Controle (C2) projetado para gerenciar sistemas infectados, executar comandos remotos e acessar dados roubados. Algumas evidências sugerem que o grupo pode estar planejando comercializar essa ferramenta, aumentando potencialmente sua ameaça a empresas e indivíduos.
A Necessidade de Vigilância e Defesa Proativa
A adaptação e evolução contínuas do EncryptHub destacam a necessidade urgente de as organizações adotarem estratégias de segurança multicamadas. Monitoramento constante, medidas de defesa proativas e treinamento de conscientização do usuário são essenciais para mitigar os riscos impostos por essa crescente ameaça cibernética.
