top of page
Buscar

Ransomware Megazord

  • Foto do escritor: Diego Arantes
    Diego Arantes
  • 26 de set. de 2024
  • 3 min de leitura

Introdução

Em meados de agosto de 2023, uma nova variante do ransomware Akira emergiu, chamada "Megazord". Essa versão evoluída trouxe mudanças significativas no comportamento do malware e nos métodos de ataque. O ransomware Megazord adiciona a extensão ".Powerrangers" aos arquivos criptografados, refletindo uma referência cultural na sua nomenclatura. Este artigo detalha os aspectos técnicos dessa variante, suas táticas de ataque, indicadores de compromisso e medidas de mitigação com base em análises feitas por especialistas em segurança cibernética.

1. Surgimento do Megazord

O ransomware Megazord é uma evolução direta do Akira, possuindo várias semelhanças em termos de código e TTPs (Táticas, Técnicas e Procedimentos). Criado em Rust, a nova versão se diferencia da original, desenvolvida em C++. O uso dessa linguagem é uma tendência crescente entre grupos de ransomware como o Alphv/BlackCat, devido à sua robustez e capacidades. Uma característica distintiva do Megazord é a necessidade de um "Build ID" fornecido em tempo de execução, sem o qual a criptografia não é executada. Isso impede que analistas e pesquisadores examinem a amostra sem a chave correta.


2. Cadeia de Ataque

A cadeia de ataque do ransomware Megazord segue um padrão tradicional, composto pelas seguintes fases:

Acesso Inicial:O Megazord aproveita vulnerabilidades em produtos como o Cisco ASA SSL VPN ou AnyConnect sem MFA habilitado, explorando falhas conhecidas, como CVE-2023-20269 e CVE-2020-3259. Outra técnica comum é o uso de credenciais obtidas na dark web ou ataques de brute force. O uso de spearphishing também é frequente para comprometer sistemas, além de ataques por RDP (Remote Desktop Protocol).

Acesso a Credenciais:Após o acesso inicial, o Megazord utiliza diversos métodos para coletar credenciais, incluindo o despejo da memória do processo LSASS, extração de credenciais do Active Directory com o NTDSUtil, e o uso do script "Veeam-Get-Creds" para coletar informações de backup. Ferramentas como Mimikatz e WebBrowserPassView são usadas para roubar credenciais armazenadas localmente e em navegadores.

Movimentação Lateral e Persistência:Os atacantes usam RDP, juntamente com o SMB, para se mover lateralmente entre máquinas comprometidas. Comandos como "net localgroup administrators" permitem identificar contas de administradores. O grupo também cria contas de domínio com privilégios administrativos para manter a persistência no ambiente.


3. Exfiltração e Criptografia

Antes de iniciar a criptografia dos arquivos, os atores frequentemente exfiltram dados sensíveis usando ferramentas como WinRAR, rclone, WinSCP e MEGA. O Megazord prioriza a extração de grandes volumes de dados e os transfere para servidores controlados pelos invasores. Após a exfiltração, o ransomware adiciona a extensão ".Powerrangers" aos arquivos e gera uma nota de resgate, exigindo pagamento em criptomoedas.


4. Tabela MITRE ATT&CK

O Megazord segue as táticas descritas na estrutura MITRE ATT&CK, abordando diversas técnicas em diferentes fases do ataque, como:

  • Initial Access (T1190): Exploração de vulnerabilidades em aplicativos públicos.

  • Credential Dumping (T1003): Extração de credenciais do LSASS e Active Directory.

  • Lateral Movement (T1078): Uso de contas válidas e RDP para se mover lateralmente.

  • Command and Control (T1071): Uso de ferramentas como AnyDesk e DWAgent para manter controle sobre o ambiente comprometido.


5. Recomendações de Mitigação

Para mitigar o impacto do Megazord e outros ransomwares, as seguintes medidas são recomendadas:

  1. Segmentação de Redes: Segmente as redes para evitar a propagação lateral do ransomware e limitar o acesso entre sub-redes.

  2. Autenticação Multifator (MFA): Implemente MFA para todos os serviços críticos, como VPNs e e-mails corporativos.

  3. Backups Seguros: Realize backups regulares e mantenha cópias offline. Assegure-se de que os backups sejam criptografados e imutáveis.

  4. Monitoramento Ativo: Use ferramentas de monitoramento de rede para detectar comportamentos anômalos e sinais de comprometimento.

  5. Atualizações Regulares: Mantenha sistemas e softwares atualizados para reduzir a exposição a vulnerabilidades conhecidas.

  6. Princípio do Menor Privilégio: Audite e limite as permissões de acesso para contas de usuários e administradores.


6. Indicadores de Compromisso

A análise dos artefatos do Megazord revelou diversos indicadores de compromisso (IOCs), incluindo hashes SHA256 de arquivos maliciosos e endereços IP utilizados para exfiltração de dados:

Artefatos:

  • 337d21f964091417f22f35aee35e31d94fc3f35179c36c0304eef6e4ae983292

  • 3c92bfc71004340ebc00146ced294bc94f49f6a5e212016ac05e7d10fcb3312c


Endereços IP:

  • 45[.]227.254.26

  • 104[.]200.72.33


Conclusão

O ransomware Megazord é uma evolução perigosa e sofisticada do Akira, com novas capacidades e táticas para contornar defesas e maximizar danos. O uso de linguagens como Rust, aliado a estratégias de exfiltração e dupla extorsão, torna-o uma ameaça significativa para organizações ao redor do mundo. A implementação de medidas preventivas e a pronta detecção de indicadores de comprometimento são cruciais para minimizar os impactos dessa ameaça.

 
 
 

Comments

Contate-nos

Obrigado(a)

Logo DMZ CAST
bottom of page