Raindrop Malware

O Raindrop Malware é um Trojan backdoor que permite que os atacantes acessem o sistema infectado para espionagem. Devido aos seus métodos de instalação usando cadeias de atualização oficiais sequestradas, os usuários em locais de trabalho em risco devem considerar a desativação do software relacionado à sua campanha, como a Plataforma Orion da SolarWinds. Os usuários também podem proteger seus sistemas por meio de soluções de segurança dedicadas que devem detectar e excluir o Raindrop Malware e ameaças relacionadas por padrão.

Condições Climáticas Adversas Recentes em Situações de Espionagem Cibernética

Até agora, o fenômeno conhecido como compromisso da cadeia de fornecimento da SolarWinds 2019, levando à distribuição do Sunburst e do Teardrop nas mãos do SUNSPOT Malware, é bem compreendido. No entanto, uma análise mais aprofundada das vítimas fornece pistas valiosas sobre a profundidade das atividades dos hackers possivelmente russos para espionagem. Além das ferramentas anteriores, sua espionagem usa o que parece ser um substituto especializado para o Teardrop: um quarto Trojan, o Raindrop Malware.

O Raindrop Malware é muito semelhante ao Teardrop: ambos são Trojans baseados em um backdoor de último estágio que oferecem acesso à rede para sistemas comprometidos por meio do servidor C&C do ator da ameaça. Embora seus recursos e ataques tenham poucas diferenças, os especialistas em malware podem apontar alguns detalhes técnicos que são pontos divergentes. Por exemplo, o Raindrop Malware utiliza esteganografia (código oculto dentro das imagens) que o Teardrop evita, tem uma segunda camada de criptografia para discrição e inclui diferentes elementos internos, como código "falso" ofuscante. O Raindrop Malware não é uma variante ou fork do Teardrop, apesar de seu uso ser quase idêntico na prática.

A técnica de instalação que o Raindrop Malware usa também é um pouco diferente. Comparando as inúmeras vítimas do Teardrop, as amostras do Raindrop Malware somam apenas quatro até agora. Além da seletividade das infecções, os invasores também instalam o Raindrop Malware com um mecanismo diferente e desconhecido que deixa menos evidências no disco rígido para análise. No entanto, é definitivo que o Raindrop Malware faz parte da estratégia geral de infecção do SUNSPOT Malware, que sequestra o processo de construção de software nos servidores SolarWinds e contamina as atualizações oficiais para comprometer os clientes que usam a plataforma Orion.

Enxugando a Umidade Indesejada em um PC

A campanha do Raindrop Malware ainda é um excelente sinal de alerta de que até mesmo os usuários que seguem as atualizações oficiais de empresas conceituadas estão em risco, supondo que as apostas sejam altas o suficiente para os hackers. Embora os pesquisadores de malware observem semelhanças no código e nos métodos operacionais entre esta campanha e algumas operações de espionagem russa, a confirmação do ator da ameaça permanece não definitiva. Por enquanto, os usuários domésticos correm baixo risco, mas os administradores de rede e servidores governamentais e corporativos devem tomar nota do risco.

Como o Raindrop Malware usa táticas de infecção que implicam em técnicas sem geração de arquivos, os usuários apresentam ainda menos sintomas do que o normal para identificar possíveis infecções. Além de desativar o software relevante e as conexões de Internet, os usuários podem proteger seus sistemas por meio das etapas de segurança padrão. Suas opções incluem corrigir vulnerabilidades conhecidas publicamente, usando senhas fortes e limitando a acessibilidade dos recursos da Área de Trabalho Remota.

As infecções pelo Raindrop Malware vêm com uma presunção inerente de perda de privacidade, em que os invasores podem coletar senhas e outras informações confidenciais, deixando poucos rastros ou sintomas. Os usuários ainda devem empregar serviços de segurança dedicados e, esperançosamente, atualizados para excluir o Raindrop Malware, após o que eles podem proteger novamente seus PCs e dados por qualquer meio necessário.

Os Trojans tendem a vir em lotes, mas esse tema se mantém ainda mais gritante do que o normal com operações de inteligência. O Raindrop Malware pode estar em quarto lugar na lista oficial de ferramentas dd Black Hat de sua campanha, mas mais podem estar por vir - apesar de anos de atividade contra os clientes do Orion.