Um grupo hacktivista conhecido como Twelve foi observado usando um arsenal de ferramentas disponíveis publicamente para realizar ataques cibernéticos destrutivos contra alvos russos.
“Em vez de exigir um resgate para descriptografar dados, o Twelve prefere criptografar os dados das vítimas e depois destruir sua infraestrutura com um limpador para evitar a recuperação,” disse a Kaspersky em uma análise na sexta-feira.
“O método indica o desejo de causar o máximo de danos às organizações-alvo sem obter benefícios financeiros diretos.”
O grupo de hackers, acredita-se ter sido formado em abril de 2023 após o início da guerra russo-ucraniana, tem um histórico de realizar ataques cibernéticos que visam paralisar redes de vítimas e interromper operações comerciais.
Também foi observado realizando operações de hack-and-leak que exfiltram informações sensíveis, que são então compartilhadas em seu canal no Telegram.
A Kaspersky afirmou que o Twelve compartilha sobreposições infraestruturais e táticas com um grupo de ransomware chamado DARKSTAR (também conhecido como COMET ou Shadow), levantando a possibilidade de que os dois conjuntos de intrusões estejam provavelmente relacionados entre si ou façam parte do mesmo cluster de atividades.
“Ao mesmo tempo, enquanto as ações do Twelve são claramente de natureza hacktivista, o DARKSTAR segue o padrão clássico de dupla extorsão,” disse o fornecedor russo de cibersegurança. “Essa variação de objetivos dentro do sindicato destaca a complexidade e diversidade das ameaças cibernéticas modernas.”
As cadeias de ataque começam com a obtenção de acesso inicial abusando de contas locais ou de domínio válidas, após as quais o Protocolo de Área de Trabalho Remota (RDP) é usado para facilitar o movimento lateral. Alguns desses ataques também são realizados por meio de contratados da vítima.
“Para fazer isso, eles obtiveram acesso à infraestrutura do contratado e usaram seu certificado para se conectar à VPN do cliente,” observou a Kaspersky. “Tendo obtido acesso a isso, o adversário pode se conectar aos sistemas do cliente via Protocolo de Área de Trabalho Remota (RDP) e, em seguida, penetrar na infraestrutura do cliente.”
Destacam-se entre as outras ferramentas usadas pelo Twelve o Cobalt Strike, Mimikatz, Chisel, BloodHound, PowerView, adPEAS, CrackMapExec, Advanced IP Scanner e PsExec para roubo de credenciais, descoberta, mapeamento de rede e escalonamento de privilégios. As conexões RDP maliciosas para o sistema são tuneladas através do ngrok.
Também são implantadas shells web PHP com capacidade para executar comandos arbitrários, mover arquivos ou enviar e-mails. Esses programas, como o WSO web shell, estão disponíveis no GitHub.
Em um incidente investigado pela Kaspersky, os atores de ameaças teriam explorado vulnerabilidades de segurança conhecidas (por exemplo, CVE-2021-21972 e CVE-2021-22005) no VMware vCenter para entregar um web shell que foi usado para baixar um backdoor chamado FaceFish.
“Para conseguir uma posição na infraestrutura de domínio, o adversário usou o PowerShell para adicionar usuários e grupos de domínio e para modificar ACLs (Listas de Controle de Acesso) para objetos do Active Directory,” disse a Kaspersky. “Para evitar a detecção, os atacantes disfarçaram seu malware e tarefas com os nomes de produtos ou serviços existentes.”
Alguns dos nomes usados incluem “Atualização Microsoft,” “Yandex,” “YandexUpdate” e “intel.exe.”
As etapas finais envolvem o uso do Agendador de Tarefas do Windows para lançar ransomware e limpadores, mas não antes de coletar e exfiltrar informações sensíveis sobre suas vítimas via um serviço de compartilhamento de arquivos chamado DropMeFiles em forma de arquivos ZIP.
“Os atacantes usaram uma versão do popular ransomware LockBit 3.0, compilado a partir de código-fonte publicamente disponível, para criptografar os dados,” disseram os pesquisadores da Kaspersky. “Antes de começar a trabalhar, o ransomware encerra processos que possam interferir na criptografia de arquivos individuais.”
O limpador, idêntico ao malware Shamoon, reescreve o registro mestre de inicialização (MBR) nos discos conectados e sobrescreve todo o conteúdo dos arquivos com bytes gerados aleatoriamente, impedindo efetivamente a recuperação do sistema.
“O grupo adere a um arsenal de ferramentas de malware disponíveis publicamente e familiares, o que sugere que ele não faz nenhum de seus próprios,” observou a Kaspersky. “Isso torna possível detectar e prevenir os ataques do Twelve a tempo.”
