O primeiro incidente possivelmente envolvendo a família de ransomware conhecida como Maui ocorreu em 15 de abril de 2021, visando uma empresa de habitação japonesa sem nome.
A divulgação da Kaspersky chega um mês depois que as agências de cibersegurança e inteligência dos EUA emitiram um aviso sobre o uso da cepa de ransomware por hackers apoiados pelo governo norte-coreano para atingir o setor de saúde desde pelo menos maio de 2021.
Muitos dos dados sobre seu modus operandi vieram de atividades de resposta a incidentes e análise do setor de uma amostra de Maui que revelou a falta de “vários recursos-chave” normalmente associados a operações de ransomware como serviço (RaaS).
O Maui não é apenas projetado para ser executado manualmente por um ator remoto por meio de uma interface de linha de comando, mas também é notável por não incluir uma nota de resgate para fornecer instruções de recuperação.
Posteriormente, o Departamento de Justiça anunciou a apreensão de US$ 500.000 em Bitcoin que foram extorquidos de várias organizações, incluindo duas unidades de saúde nos estados americanos de Kansas e Colorado, usando a cepa de ransomware.
Embora esses ataques tenham sido direcionados a grupos de ameaças persistentes avançadas da Coreia do Norte, a empresa russa de segurança cibernética vinculou o cibercrime com confiança baixa a média a um subgrupo Lazarus conhecido como Andariel , também conhecido como Operação Troy, Silent Chollima e Stonefly.
“Aproximadamente dez horas antes de implantar Maui no sistema alvo inicial [em 15 de abril], o grupo implantou uma variante do conhecido malware Dtrack no alvo, precedido por 3proxy meses antes”, disseram os pesquisadores da Kaspersky Kurt Baumgartner e Seongsu Park . .
Dtrack, também chamado de Valefor e Preft, é um trojan de acesso remoto usado pelo grupo Stonefly em seus ataques de espionagem para exfiltrar informações confidenciais.
Vale ressaltar que o backdoor, juntamente com o 3proxy, foi implantado pelo agente da ameaça contra uma empresa de engenharia que atua nos setores de energia e militar em fevereiro de 2022, explorando a vulnerabilidade Log4Shell .
“A Stonefly é especializada na montagem de ataques direcionados altamente seletivos contra alvos que podem gerar inteligência para auxiliar setores estrategicamente importantes, como energia, aeroespacial e equipamentos militares”, disse a Symantec, uma divisão da Broadcom Software, em abril.
Além disso, a Kaspersky disse que a amostra Dtrack usada no incidente japonês de Maui também foi usada para violar várias vítimas na Índia, Vietnã e Rússia de dezembro de 2021 a fevereiro de 2021.
Fonte: The Hacker News.
Gostou? Compartilhe.