ToyMaker Usa Lagtoy para Vender Acesso a Gangues de Ransomware de Cacto para Dupla Extorsão – Virus Killer – Recuperação de Site Invadido por Vírus e Malware

Pesquisadores de cibersegurança detalharam as atividades de um inicial Access Broker (IAB) apelidado de ToyMaker que foi observado entregando acesso a gangues de ransomware de dupla extorsão, como CACTUS.

O IAB foi avaliado com média confiança como um ator ameaçador financeiramente motivado, vasculhando sistemas vulneráveis e implantando um malware personalizado chamado LAGTOY (também conhecido como HOLERUN).

“LAGTOY pode ser usado para criar shells reversos e executar comandos em endpoints infectados”, disseram os pesquisadores da Cisco Talos Joey Chen, Asheer Malhotra, Ashley Shen, Vitor Ventura e Brandon White.

O malware foi documentado pela primeira vez pela Mandiant, de propriedade do Google, no final de março de 2023, atribuindo seu uso a um ator de ameaça que rastreia como UNC961. O cluster de atividades também é conhecido por outros nomes, como Gold Melody e Prophet Spider.

O ator de ameaça foi observado alavancando um grande arsenal de falhas de segurança conhecidas em aplicativos voltados para a internet para obter acesso inicial, seguido por realização de reconhecimento, colheita de credenciais e implantação de LAGTOY em um espaço de uma semana.

Os atacantes também abrem conexões SSH para um host remoto para baixar uma ferramenta forense chamada Magnet RAM Capture para obter um dump de memória da máquina em uma provável tentativa de obter as credenciais da vítima.

LAGTOY é projetado para entrar em contato com um servidor de comando e controle (C2) codificado para recuperar comandos para execução subsequente no endpoint. Pode ser usado para criar processos e executar comandos sob usuários especificados com privilégios correspondentes, conforme a Mandiant.

O malware também é equipado para processar três comandos do servidor C2 com um intervalo de espera de 11000 milissegundos entre eles.

“Após uma pausa de atividade de aproximadamente três semanas, observamos o grupo de ransomware CACTUS fazer seu caminho para a empresa vítima usando credenciais roubadas pelo ToyMaker”, disse Talos.

Com base no tempo relativamente curto de permanência, na falta de roubo de dados e na subsequente entrega ao CACTUS, é improvável que o ToyMaker tivesse quaisquer ambições ou objetivos motivados por espionagem.

No incidente analisado pela Talos, afiliados de ransomware do CACTUS teriam conduzido atividades de reconhecimento e persistência próprias antes da exfiltração de dados e criptografia. Também foram observados vários métodos para configurar acesso de longo prazo usando OpenSSH, AnyDesk e Agente eHorus.

“ToyMaker é um inicial Access Broker (IAB) financeiramente motivado que adquire acesso a organizações de alto valor e em seguida transfere esse acesso para atores de ameaças secundárias que geralmente monetizam o acesso via dupla extorsão e implantação de ransomware”, disse a empresa.

Você também pode gostar

Desafio De Multiplataforma Digital Com Mais De 6 Milhões De Downloads

Grave Falha no Gerenciador Empresarial do Backup Veeam Permite Bypass de Autenticação

Abordagem Nativa Primeiro Proporciona Melhores Proteções e Uso Mais Eficiente de Recursos do que Soluções de Melhor Qualidade, Beneficiando Provedores de Serviços em Nuvem e Clientes Finais.