[ad_1]
Quantum ransomware, uma cepa descoberta pela primeira vez em agosto de 2021, foi observada para realizar ataques rápidos que aumentam rapidamente, deixando os defensores com pouco tempo para reagir.
Os agentes de ameaças estão usando o malware IcedID como um de seus vetores de acesso inicial, que implementa o Cobalt Strike para acesso remoto e leva ao roubo e criptografia de dados usando o Quantum Locker.
Os detalhes técnicos de um ataque de ransomware Quantum foram analisados por pesquisadores de segurança no The DFIR Report, que dizem que o ataque durou apenas 3 horas e 44 minutos desde a infecção inicial até o encerramento dos dispositivos de criptografia.
Usando IcedID como acesso inicial
O ataque visto pelo The DFIR Report usou o malware IcedID como acesso inicial à máquina de destino, que eles acreditam ter vindo por meio de um e-mail de phishing contendo um anexo ISO.
O IcedID é um Trojan bancário modular que tem sido usado nos últimos cinco anos, principalmente para implantação de carga útil de segundo estágio, carregadores e ransomware.
A combinação de arquivos IcedID e ISO foi usada recentemente em outros ataques, pois esses arquivos são excelentes para passar por verificações de segurança de e-mail.
Duas horas após a infecção inicial, os agentes de ameaças injetam o Cobalt Strike em um processo C:WindowsSysWOW64cmd.exe para evitar a detecção.
Nesta fase, os invasores roubaram credenciais de domínio do Windows despejando a memória LSASS, permitindo que eles se espalhassem lateralmente pela rede.
“Na hora seguinte, o agente da ameaça começou a fazer conexões RDP com outros servidores no ambiente”, detalha o DFIR no relatório.
“Uma vez que o agente da ameaça controlou o layout do domínio, eles se prepararam para implantar o ransomware copiando-o (chamado ttsel.exe) para cada host por meio da pasta compartilhada C$.”
Eventualmente, os agentes de ameaças usaram o WMI e o PsExec para implantar a carga útil do Quantum ransomware e criptografar dispositivos.
Esse ataque levou apenas quatro horas, o que é bastante rápido, e como esses ataques geralmente ocorrem tarde da noite ou no fim de semana, ele não fornece uma grande janela para os administradores de rede e segurança detectarem e responderem ao ataque.
Para obter mais detalhes sobre os TTPs usados pelo Quantum Locker, o Relatório DFIR forneceu uma extensa lista de indicadores de comprometimento, bem como endereços C2 aos quais IcedID e Cobalt Strike se conectaram para comunicação.
Quem é o Quantum Locker?
O ransomware Quantum Locker é um rebranding da operação de ransomware MountLocker, que foi lançada em setembro de 2020.
Desde então, a gangue do ransomware renomeou sua operação para vários nomes, incluindo AstroLocker, XingLocker e agora em sua fase atual, Quantum Locker.
O rebranding para Quantum aconteceu em agosto de 2021, quando o criptografador de ransomware começou a adicionar o .quantum extensão de arquivo para nomes de arquivos criptografados e notas de resgate nomeadas README_TO_DECRYPT.html.
Essas notas incluem um link para um site de troca de resgate do Tor e um ID exclusivo associado à vítima. As notas de resgate também afirmam que os dados foram roubados durante o ataque, que os invasores ameaçam liberar se o resgate não for pago.
Fonte: BleepingComputer
Embora o relatório DFIR afirme que não viu nenhuma atividade de exfiltração de dados no ataque que analisaram, a BleepingComputer confirmou no passado que os dados são roubados durante os ataques e vazados em esquemas de extorsão dupla.
As demandas de resgate dessa gangue variam de acordo com a vítima, com alguns ataques exigindo US$ 150.000 para receber um decodificador, enquanto outros vistos pelo BleepingComputer são demandas de vários milhões de dólares, conforme mostrado abaixo.
Fonte: BleepingComputer
Felizmente, o Quantum Locker não é uma operação muito ativa como suas encarnações anteriores, com apenas alguns ataques por mês.
No entanto, embora possam não ser tão ativos quanto outras operações de ransomware, como Conti, LockBit e AVOS, ainda são um risco significativo e é importante que os defensores da rede estejam cientes dos TTPs associados a seus ataques.
[ad_2]
