Nossos especialistas investigaram a atividade de Andariel, um suposto subgrupo parte do Lazarus APT Group. Os cibercriminosos usam o malware DTrack e o ransomware Maui para atacar empresas em todo o mundo. Como é típico de Lazarus, o grupo ataca para obter ganhos financeiros – desta vez por meio de pedidos de resgate.
Os alvos de ataque do Andariel
Nossos especialistas concluíram que, em vez de focar em um setor específico, o grupo Andariel está pronto para atacar qualquer empresa. Em junho, a Agência de Cibersegurança e Infraestrutura dos EUA (CISA) informou que o ransomware Maui tem como alvo principalmente empresas e organizações governamentais do setor de saúde dos EUA. No entanto, nossa equipe também detectou pelo menos um ataque a uma empresa de habitação no Japão, bem como várias vítimas na Índia, no Vietnã e na Rússia.
As ferramentas do Andariel
A principal ferramenta do grupo Andariel é o conhecido malware DTrack. Ele coleta informações sobre uma vítima e as envia para um host remoto. Entre outras coisas, o DTrack coleta o histórico do navegador e o salva em um arquivo separado. A variante usada nos ataques Andariel é capaz não apenas de enviar as informações coletadas para o servidor dos cibercriminosos via HTTP, mas também de armazená-las em um host remoto na rede da vítima.
Quando os invasores encontram dados dignos de nota, o ransomware Maui entra em ação. Geralmente é detectado em hosts atacados 10 horas após a ativação do malware DTrack. Nossos colegas da Stairwell estudaram suas amostras e concluíram que o ransomware é controlado manualmente pelos operadores — ou seja, eles especificam quais dados criptografar.
Outra ferramenta que os invasores parecem estar usando é o 3Proxy. Esse servidor proxy legítimo, gratuito e multiplataforma provavelmente é do interesse dos invasores devido ao seu tamanho compacto (apenas algumas centenas de kilobytes). Esse tipo de ferramenta pode ser usado para manter o acesso remoto a um computador comprometido.
Como o Andariel espalha seu malware
Os cibercriminosos exploram versões não corrigidas de serviços públicos online. Em um desses casos, o malware foi baixado de um HFS (servidor de arquivos HTTP): os invasores usaram um exploit desconhecido que lhes permitiu executar um script Powershell a partir de um servidor remoto. Em outro, eles conseguiram comprometer um servidor WebLogic por meio de um exploit para a vulnerabilidade CVE-2017-10271, que finalmente permitiu que eles executassem um script.
Para uma descrição técnica mais detalhada do ataque e das ferramentas envolvidas, juntamente com indicadores de comprometimento, consulte nossa postagem no Securelist.
Como ficar protegido?
Em primeiro lugar, certifique-se de que todos os dispositivos corporativos, incluindo servidores, estejam equipados com soluções de segurança robustas. Além disso, seria inteligente elaborar uma estratégia anti-ransomware e adotar medidas com antecedência, caso você acabe sendo infectado.