Pesquisadores registraram 12 dias de atividade do grupo em um ambiente controlado. Operadores humanos assumiram o comando da rede após um acesso inicial via anúncio fraudulento.
Um grupo de cibercriminosos conhecido como Velvet Tempest está explorando anúncios maliciosos e uma falsa verificação de segurança para obter acesso a redes corporativas e implantar um conjunto avançado de malwares.
O alerta foi divulgado em março pela empresa de cibersegurança MalBeacon, que monitorou as ações dos criminosos por 12 dias em um ambiente que simulava uma organização sem fins lucrativos com mais de 3.000 computadores.
Quem é o Velvet Tempest
Identificado também como DEV-0504, o Velvet Tempest é um grupo ativo há pelo menos cinco anos no universo do ransomware. Esse tipo de software malicioso criptografa os arquivos da vítima, tornando-os inacessíveis até que um pagamento seja efetuado.
O grupo opera como um afiliado, utilizando ferramentas criadas por outros desenvolvedores de malware e recebendo uma porcentagem do resgate obtido.
Assim, o Velvet Tempest deixou sua marca em diversas campanhas de ransomware nos últimos anos, incluindo Ryuk, REvil, Conti, BlackCat/ALPHV, LockBit e RansomHub.
A porta de entrada
Os ataques começam com malvertising, onde os criminosos pagam por anúncios online que direcionam as vítimas para páginas fraudulentas. É uma abordagem que não exige ações extraordinárias da vítima.
A página maliciosa utiliza duas camadas de engano. A primeira é um falso CAPTCHA, um sistema de verificação utilizado para identificar se o visitante é humano ou um robô. A segunda é a técnica ClickFix, que instruí a vítima a abrir a janela de execução do Windows e colar um comando copiado automaticamente.
Isso é apresentado como uma etapa de verificação comum. Quando a vítima cola o comando, sem perceber, executa um código malicioso em seu sistema.
Como o ataque avança sem ser detectado
O comando colado é ofuscado, o que torna sua leitura difícil, tanto para ferramentas de segurança quanto para humanos. Sua execução inicia uma série de processos que utilizam ferramentas legítimas do Windows.
Essa abordagem é conhecida como Living off the Land, onde o uso de ferramentas que o sistema já considera confiáveis reduz significativamente a chance de detecção por antivírus.
Um utilitário antigo abusado nesse processo é o finger.exe, originalmente desenhado para consultar informações sobre usuários em redes remotas.
Pela raridade de monitoramento, foi usado para baixar loaders que são programas maliciosos que, embora não causem dano direto, baixam e executam outros malwares mais complexos. Um dos primeiros arquivos baixados era disfarçado de PDF.
O que os criminosos fazem depois de entrar
Ao obter acesso, operadores humanos assumem o controle diretamente, o que é especialmente perigoso, pois um ser humano pode se adaptar a obstáculos e tomar decisões em tempo real, o que scripts automatizados não conseguem fazer.
Durante a invasão, o grupo realizou um reconhecimento do Active Directory, sistema da Microsoft que gerencia usuários, computadores e permissões em redes corporativas. Identificar o Active Directory fornece um “mapa de poder” da estrutura organizacional, revelando quais contas possuem mais privilégios.
Além disso, os criminosos utilizaram um script em PowerShell para roubar senhas salvas no navegador Google Chrome, o qual estava hospedado em um IP relacionado à infraestrutura do ransomware Termite, indicando que diferentes grupos criminosos trocam ferramentas e estruturas entre si.
Os dois malwares implantados
No estágio final do ataque, o Velvet Tempest implantou dois softwares maliciosos no sistema invadido. O primeiro, DonutLoader, injeta código diretamente na memória dos processos em execução, utilizando uma técnica chamada execução fileless.
Com essa abordagem, as ferramentas de segurança tradicionais, que se concentram na análise de arquivos, têm dificuldades em detectar a atividade maliciosa.
O segundo software, CastleRAT, é um trojan de acesso remoto que permite ao atacante controlar o computador da vítima à distância, monitorando a tela, executando comandos, transferindo arquivos e capturando tudo o que é digitado.
O CastleRAT está associado ao CastleLoader, que distribui diversas famílias de malware, incluindo LummaStealer, um software dedicado a roubar credenciais e informações de carteiras de criptomoeda.
Para garantir que os malwares permanecessem ativos mesmo após reinicializações, componentes baseados em Python foram instalados em pastas comuns do Windows, o que ajuda a disfarçar sua presença maliciosa.
O golpe que não foi aplicado
O modelo de ataque padrão do Velvet Tempest é o de dupla extorsão, onde, após roubar os dados da organização, eles os criptografam, ameaçando também a publicação dos dados, mesmo que a vítima tenha backups.
No entanto, nesta intrusão específica, o ransomware Termite não foi implantado. Não se estabeleceu se o atraso foi devido à detecção do ataque ou se o grupo ainda estava em fase de reconhecimento antes do golpe final.
Acompanhe a TecMania nas redes sociais. Para mais novidades sobre segurança e tecnologia, inscreva-se em nossa newsletter e canal do YouTube.