Pesquisa da Sophos aponta que grupo Conti criptografou mensagens de extorsão do Karma em ataque duplo de ransomware

A Sophos, empresa líder global em cibersegurança de próxima geração, divulgou as descobertas de um ataque duplo de ransomware em que notas de extorsão deixadas pelo grupo de ransomware Karma foram criptografadas 24 horas depois pelo Conti, outro grupo de ransomware que estava na rede do alvo ao mesmo tempo. A Sophos detalhou os ataques duplos no artigo “Conti and Karma Actors Attack Healthcare Provider at Same Time Through ProxyShell Exploits”, e explicou como ambos operadores obtiveram acesso à rede por meio de um servidor do Microsoft Exchange desatualizado, mas usaram táticas diferentes para implementar cada ataque.

“Ser atingido por um ataque duplo de ransomware é um cenário desafiador para qualquer organização. Ao longo da linha do tempo, houve um período de cerca de quatro dias em que os invasores Conti e Karma estavam ativos simultaneamente na rede do alvo, movendo-se entre si, baixando e executando scripts, instalando beacons Cobalt Strike, coletando e exfiltrando dados, entre outras ações”, explica Sean Gallagher, pesquisador sênior de ameaças da Sophos. “O Karma inicialmente implantou o estágio final de seu ataque, lançando um aviso de extorsão em computadores que exigia um pagamento em bitcoin em troca de não publicar os dados roubados. O Contim então atacou, criptografando os dados do alvo em um ataque de ransomware mais tradicional. Em uma reviravolta incomum, o ransomware Conti criptografou as mensagens de extorsão do Karma", completa.

“Pudemos observar diversos casos recentemente nos quais afiliados de ransomware, incluindo os do próprio Conti, usaram funcionalidades do ProxyShell para penetrar as redes dos alvos. Também vimos exemplos de vários agentes explorando a mesma vulnerabilidade para obter acesso a uma vítima. No entanto, muito poucos desses casos envolveram dois grupos de ransomware atacando simultaneamente um alvo e isso mostra, literalmente, como o cenário de ransomware se tornou lotado e competitivo”, reitera Gallagher.

O ataque duplo

De acordo com a Sophos, o primeiro incidente começou em 10 de agosto de 2021, quando invasores, possivelmente corretores de acesso inicial (Initial Access Brokers), usaram uma aplicação do ProxyShell para obter acesso à rede e estabelecer uma posição no servidor comprometido. A investigação da Sophos mostrou que cerca de quatro meses se passaram antes que o Karma aparecesse, em 30 de novembro de 2021, e exfiltrasse mais de 52 gigabytes de dados para a nuvem.

Já em 3 de dezembro de 2021, ocorreram três ações:

Os invasores do Karma lançaram uma mensagem de extorsão em 20 computadores, na qual exigiram um resgate e explicaram que não criptografaram os dados porque o alvo era um profissional de saúde;
O Conti operou silenciosamente em segundo plano, também exfiltrando dados;
O alvo do ataque passou a integrar a equipe de resposta a incidentes da Sophos para ajudar com o Karma.

Enquanto a Sophos fazia a integração, o Conti implantou seu ransomware em 4 de dezembro de 2021. Posteriormente, a companhia rastreou o início do ataque do Conti por meio de outra funcionalidade consolidada do ProxyShell em 25 de novembro de 2021.

“Independentemente se o corretor de acesso inicial deu acesso a dois grupos de ransomware diferentes, ou se o servidor Exchange vulnerável foi apenas um alvo azarado para múltiplos operadores de ransomware, a possibilidade de um possível ataque duplo é um lembrete importante para corrigir vulnerabilidades da internet na primeira oportunidade”, diz Gallagher. “A defesa em profundidade é vital para identificar e bloquear invasores em qualquer estágio da cadeia de ataque, enquanto a busca proativa de ameaças liderada por pessoas deve investigar todos os comportamentos potencialmente suspeitos, como logins inesperados de serviços de acesso remoto ou uso de ferramentas fora do padrão normal, pois esses podem ser os primeiros sinais de alerta de um ataque de ransomware", complementa o executivo.

Os produtos de endpoint da Sophos, como o Intercept X, protegem os usuários detectando as ações e comportamentos de ransomware e outros ataques, como os descritos nesta pesquisa da Sophos.

Para mais informações, leia o artigo “Conti and Karma Actors Attack Healthcare Provider at Same Time Through ProxyShell Exploits”.

Imagens do SophosLabs detalhando os ataques Karma e Conti estão disponíveis aqui.

Informações adicionais

Mais detalhes sobre o cenário de ameaças cibernéticas em evolução podem ser encontrados no Relatório de Ameaças Sophos 2022;
Táticas, técnicas e procedimentos (TTPs) e muito mais para diferentes tipos de ameaças estão disponíveis no SophosLabs Uncut, que fornece a mais recente inteligência de ameaças da Sophos;
Informações sobre comportamentos de invasores, relatórios de incidentes e conselhos para profissionais de operações de segurança estão disponíveis no Sophos News SecOps;
Saiba mais sobre o Serviço de Rapid Response da Sophos que contém, neutraliza e investiga ataques 24 horas por dia, sete dias por semana;
As quatro principais dicas para responder a um incidente de segurança do Sophos Rapid Response e do Managed Threat Response Team;
Leia as últimas notícias e perspectivas de segurança no premiado site de notícias da Sophos Naked Security e no Sophos News.

Sobre a Sophos

A Sophos é líder mundial em cibersegurança de próxima geração, protegendo mais de 500.000 organizações e milhões de consumidores em mais de 150 países contra as ameaças cibernéticas mais avançadas da atualidade. Impulsionada por inteligência de ameaças, IA e machine learning da SophosLabs e SophosAI, oferece um amplo portfólio de produtos e serviços avançados para proteger usuários, redes e endpoints contra ransomware, malware, exploits, phishing e uma ampla gama de outros ataques cibernéticos. A Sophos fornece um único console de gerenciamento baseado em nuvem integrado, Sophos Central – a peça central de um ecossistema de segurança cibernética adaptável que apresenta um data lake centralizado que alavanca um conjunto rico de APIs abertas disponíveis para clientes, parceiros, desenvolvedores e outros fornecedores de cibersegurança. A Sophos vende seus produtos e serviços por meio de parceiros revendedores e provedores de serviços gerenciados (MSPs) em todo o mundo. A Sophos está sediada em Oxford, Reino Unido.