Cotação de desconto para licenças múltiplas
Banco de Dados de Ameaças Ransomware Ransomware LeakNet

Ransomware LeakNet

Por Mezo em Ransomware, Ameaça Persistente Avançada (APT)
Traduzir Para:

A operação de ransomware LeakNet introduziu uma evolução notável nas táticas de intrusão ao utilizar a técnica de engenharia social ClickFix como seu principal vetor de entrada. Essa abordagem manipula os usuários para que executem comandos maliciosos sob o pretexto de resolver erros de sistema fabricados. Ao contrário dos métodos de acesso tradicionais, como a compra de credenciais roubadas de intermediários de acesso inicial, essa tática explora diretamente a confiança e o comportamento rotineiro do usuário.

Sites comprometidos, mas legítimos, são explorados para exibir solicitações falsas de verificação CAPTCHA. Essas solicitações instruem os usuários a copiar e executar um comando malicioso msiexec.exe por meio da caixa de diálogo Executar do Windows. Como a interação imita a atividade cotidiana do sistema, o ataque parece rotineiro e não levanta suspeitas imediatas. Essa estratégia ampla e oportunista permite atingir diversos setores sem discriminação.

Mudança estratégica: Independência dos intermediários de acesso inicial

A transição da LeakNet para o ClickFix representa uma mudança operacional calculada. Ao eliminar a dependência de fornecedores terceirizados de credenciais, o grupo reduz tanto os custos quanto os atrasos associados à obtenção de acesso. Essa independência remove um gargalo crucial, permitindo que as campanhas sejam escaladas com mais rapidez e eficiência.

Além disso, o uso de infraestrutura legítima comprometida em vez de sistemas controlados por atacantes reduz significativamente os indicadores de rede detectáveis. Isso torna as defesas tradicionais baseadas em perímetro menos eficazes, já que a atividade maliciosa se mistura perfeitamente ao tráfego confiável.

Execução sem arquivos: o carregador baseado em Deno em ação.

Uma característica técnica fundamental desses ataques é a implantação de um carregador de comando e controle em etapas, construído sobre o ambiente de execução JavaScript Deno. Esse carregador executa JavaScript codificado em Base64 diretamente na memória, evitando gravações em disco e minimizando artefatos forenses.

Uma vez ativado, o carregador executa diversas funções críticas:

  • Analisa o sistema comprometido para coletar informações ambientais.
  • Estabelece comunicação com um servidor externo para recuperar cargas úteis secundárias.
  • Mantém a persistência por meio de um mecanismo de polling que busca e executa continuamente código adicional.

Esse modelo de execução sem arquivos aumenta o sigilo e complica os esforços de detecção por ferramentas de segurança tradicionais.

Manual de Estratégias Consistentes para Pós-Exploração

Apesar das variações no acesso inicial, as operações do LeakNet convergem para um fluxo de trabalho previsível após a invasão. Essa consistência oferece aos defensores oportunidades valiosas de detecção e interrupção antes da implantação do ransomware.

A sequência típica de ataque inclui:

  • Carregamento lateral de DLLs para executar bibliotecas maliciosas fornecidas pelo carregador.
  • Movimentação lateral utilizando ferramentas como o PsExec para expandir o acesso à rede.
  • Reconhecimento de credenciais via cmd.exe /c klist para identificar sessões de autenticação ativas
  • Preparação e exfiltração de dados por meio de buckets S3, mascarando a atividade como tráfego legítimo na nuvem.
  • Fase final de criptografia para implantação de ransomware

O uso de ferramentas nativas do Windows e serviços comuns em nuvem permite que ações maliciosas se misturem ao comportamento normal do sistema e da rede.

Perfil da Ameaça: Origens e Escopo de Alvos

Surgida em novembro de 2024, a LeakNet inicialmente se posicionou como uma "organização de vigilância digital", promovendo temas como transparência e liberdade na internet. No entanto, as atividades observadas revelam um escopo operacional mais amplo e agressivo, incluindo ataques contra organizações industriais.

A estratégia de segmentação indiscriminada da campanha, combinada com métodos de infecção escaláveis, reforça sua intenção de maximizar o alcance em vez de se concentrar em setores específicos.

Implicações defensivas: a previsibilidade como vantagem

Embora as técnicas de entrada do LeakNet tenham evoluído, sua dependência de uma cadeia de exploração repetível introduz uma vulnerabilidade crítica. Cada etapa do ataque, da execução à movimentação lateral e à exfiltração de dados, segue padrões de comportamento identificáveis.

Essa consistência permite que os defensores:

  • Detectar uso anômalo de ferramentas legítimas do sistema.
  • Monitore padrões incomuns de execução na memória.
  • Identificar interações suspeitas de armazenamento em nuvem
  • Interrompa o avanço do ataque antes que a criptografia ocorra.

A principal conclusão é clara: embora os métodos de acesso inicial possam variar, o plano operacional subjacente permanece estável, oferecendo múltiplas oportunidades para detecção e resposta precoces.

 

Tendendo

Mais visto

Carregando...