Segurança

WannaCry: ransomware teria forte ligação com grupo que roubou US$ 81 milhões do BC de Blangadesh

As ferramentas e infraestrutura usadas nos ataques do ransomware WannaCry têm forte ligação com o Lazarus, grupo responsável pelos ataques destrutivos na Sony Pictures e roubo de US$ 81 milhões do Banco Central de Bangladesh, revela estudo da Symantec. De acordo com a empresa de segurança, antes do surto global em 12 de maio, uma versão anterior do WannaCry (Ransom.Wannacry) foi usada em um pequeno número de ataques direcionados em fevereiro, março e abril.

A análise dessa investida inicial pela Equipe de Investigação de Ataques da Symantec revelou semelhanças substanciais entre as ferramentas, técnicas e infraestrutura usadas pelo esse grupo de cibercriminosos e aquelas vistas em ataques anteriores do Lazarus, indicando uma alta probabilidade de que o Lazarus tenha sido responsável pela disseminação do WannaCry.

Apesar das ligações com o Lazarus, os ataques WannaCry não têm as características de uma campanha liderada por uma nação, porém, são características comuns em campanhas de cibercrime. Essas versões anteriores do WannaCry usavam credenciais roubadas para se espalhar por redes infectadas, invés de utilizar o exploit Eternal Blue, responsável pela rápida proliferação do WannaCry pelo mundo a partir de 12 de maio.

Após o primeiro ataque do WannaCry em fevereiro, três instâncias de malware ligadas ao Lazarus foram descobertas na rede da vítima: Trojan.Volgmer e duas variantes de Backdoor.Destover, a ferramenta que apaga o conteúdo de discos usada nos ataques da Sony Pictures.

·Trojan.Alphanc, que foi usado para distribuir o WannaCry nos ataques de março e abril, é uma versão modificada do Backdoor.Duuzer, que já foi ligado ao Lazarus.


·Trojan.Bravonc usou para comando e controle os mesmos endereços de IP do Backdoor.Duuzer e Backdoor.Destover, que foram relacionados ao Lazarus.

·Backdoor.Bravonc tem ofuscação de código semelhante ao WannaCry e Infostealer.Fakepude (que foi ligado ao Lazarus).

. Há código compartilhado entre WannaCry e Backdoor.Contopee, que tem ligação anterior com o Lazarus.

Ataque em fevereiro

A primeira evidência do uso do WannaCry identifica pela Symantec ocorreu em 10 de fevereiro de 2017, quando uma única organização foi comprometida. Após dois minutos da infecção inicial, mais de 100 computadores na organização foram contaminados. Os ciberatacantes deixaram várias ferramentas na rede da vítima que forneceram provas substanciais sobre a distribuição do WannaCry.

Dois arquivos, mks.exe e hptasks.exe, foram encontrados em um computador afetado. O arquivo mks.exe é uma variante do Mimikatz (Hacktool.Mimikatz), uma ferramenta de dumping de senha que é amplamente utilizada em ataques direcionados. O segundo arquivo, hptasks.exe, foi usado, então, para copiar e executar WannaCry em outros computadores da rede usando as senhas roubadas pelo mks.exe.

A propagação do WannaCry pelo hptasks.exe foi um processo de duas etapas. Na primeira, quando executado, o hptasks pode receber uma lista de alvos com seus endereços IP como um argumento. Ao receber este comando, hptasks lê as credenciais roubadas anteriormente de um arquivo chamado cg.wry e as usa para conectar-se a cada computador no intervalo de endereços IP. Todas as tentativas de conexão são registradas no arquivo log.dat.

Se uma conexão bem-sucedida ocorrer em um computador remoto e não houver arquivo com extensão .res nas pastas Admin $ ou C$\\Windows, o hptasks.exe copiará os arquivos para o computador remoto. Depois do hptasks.exe executar WannaCry no computador remoto, a segunda etapa começa. Hptasks pode passar vários argumentos para a instalação do WannaCry no computador remoto, incluindo um novo conjunto de endereços IP. Se o WannaCry é executado com esses endereços IP como argumentos, ele não criptografa os arquivos no computador local. Em vez disso, ele se conecta aos endereços IP informados, acessa o compartilhamento Admin$ e C$ nesses computadores usando as credenciais incluídas na seção de recursos em um arquivo chamado c.wry e, em seguida, criptografa remotamente esses arquivos.

Além do hptasks.exe e mks.exe, cinco outras instâncias de malware foram descobertas em um segundo computador na rede da vítima. Três dessas ferramentas estão ligadas ao Lazarus. Duas eram variantes do Destover (Backdoor.Destover), uma ferramenta usada nos ataques da Sony Pictures. A terceira era o Trojan.Volgmer, um malware que já foi usado pelo Grupo Lazarus em ataques contra alvos sul-coreanos.

Ataques em março e abril

A partir de 27 de março, pelo menos cinco organizações foram infectadas com uma nova amostra de WannaCry. Não parece haver um padrão para estabelecer os alvos, com uma abrangência de organizações com diferentes setores e localizações. Esses ataques revelaram mais evidências de ligações entre os responsáveis pelo WannaCry e o Grupo Lazarus.

Dois backdoors diferentes foram usados ​​para implantar o WannaCry nesses ataques: Trojan.Alphanc e Trojan.Bravonc. Alphanc foi usado para inserir o WannaCry em computadores pertencentes a pelo menos duas das vítimas conhecidas, com uma versão levemente modificada do malware implantada em cada vítima.

Alphanc compartilha uma quantidade significativa de código com Backdoor.Duuzer, uma subfamília da ferramenta Destover usada nos ataques contra a Sony e que apaga o conteúdo de discos. Na verdade, os investigadores da Symantec acreditam que Alphanc é uma evolução do Duuzer. O Duuzer também foi ligado anteriormente às atividades do Backdoor.Joanap e Trojan.Volgmer, sendo que ambos possuem ligações anteriores com o Lazarus.

Além das semelhanças nas ferramentas usadas para espalhar o WannaCry, há também um número de ligações entre o próprio WannaCry e o Grupo Lazarus. O ransomware compartilha parte do código com Backdoor.Contopee, malware que possui ligação anterior ao Lazarus. Uma variante do Contopee usa uma implementação SSL customizada, com um cipher suite idêntico, também usado pelo WannaCry.

O cipher suite em ambas as amostras tem o mesmo conjunto de 75 ciphers diferentes para escolha (ao contrário do OpenSSL, onde há mais de 300). Além disso, segundo os especialistas da Symantec, o WannaCry usa ofuscação de código semelhante ao Infostealer.Fakepude, malware que já foi ligado ao Lazarus; e Trojan.Alphanc, malware que foi usado para distribuir o WannaCry nos ataques de março e abril e que possui ligação anterior ao Lazarus.

 

Botão Voltar ao topo