.
O malware mais recente da gangue criminosa Hunters International parece ter como alvo administradores de rede, usando código malicioso disfarçado como a popular ferramenta de rede Angry IP Scanner.
O software malicioso, apelidado de SharpRhino por conta do uso de C#, está escondido em uma versão falsa da ferramenta de varredura publicada em sites com erros de digitação — que para um olhar casual parecem legítimos, mas têm URLs com pequenos erros de ortografia para enganar as vítimas e fazê-las executar o código.
O malware foi descoberto pela empresa de segurança escocesa Quorum Cyber e parece estar presente desde meados de junho.
O executável do trojan é chamado de “ipscan-3.9.1-setup.exe” e consiste em um instalador Nullsoft de 32 bits contendo um arquivo 7z protegido por senha. Os caçadores de malware da Quorum Cyber identificaram a senha para o arquivo e, uma vez lá dentro, encontraram um aplicativo chamado Microsoft.AnyKey.exe.
Quando executado, o SharpRhino altera o registro RunUpdateWindowsKey para direcionar para o arquivo Microsoft.AnyKey.exe, que foi adaptado de uma ferramenta Node JS do Microsoft Visual Studio 2019. Ele também configura para conversar com dois sistemas de comando e controle: o primeiro abriga a carga útil inicial e os canais de comunicação de volta para o operador, enquanto o outro é usado para investigar a máquina do alvo e estabelecer persistência.
Uma vez que seu malware esteja firmemente incorporado ao sistema, a Hunters International pode usar seu acesso remoto para se espalhar pela rede e, de lá, implantar mais malware e código de roubo de informações. O SharpRhino usa um criptografador baseado em Rust para bloquear arquivos como .locked – além de um único arquivo README chamado Contact Us.txt, que direciona a vítima para uma página de pagamento de ransomware na rede Tor.
Novatos no pedaço ou os mesmos canalhas de sempre?
Com base no código, nas táticas que ele usa e no vetor de ataque, os analistas da Quorum Cyber suspeitam fortemente que esse malware seja obra da Hunters International, uma gangue de ransomware como serviço que foi identificada pela primeira vez em outubro do ano passado.
Desde então, a gangue subiu para o top dez dos mobs de ransomware mais detectados. Sua rápida ascensão – e seu uso do ransomware Hive nos primeiros dias – levou muitos a suspeitar que os Hunters são simplesmente a equipe Hive renomeada. Este lote específico de ransomware compartilha cerca de 60 por cento de seu código com o malware original do Hive.
A equipe também gosta do ataque de extorsão dupla. Primeiro os dados são copiados e roubados – um processo que pode levar semanas para ajudar os criminosos a evitar a detecção – antes que os servidores corporativos sejam criptografados. Se a vítima não pagar pela chave de descriptografia, os criminosos recorrem a ameaças de que as informações serão tornadas públicas se o pagamento não for feito. Táticas de chantagem desse tipo também foram empregadas pela Hive.
Hunters ainda não é conhecido por ser um extorsionário triplo, então não há registros de tentativas de extorquir dinheiro de clientes de um alvo usando os dados roubados.
“Até agora, a Hunters International assumiu a responsabilidade por 134 ataques nos primeiros sete meses de 2024”, escreveu Michael Forret, analista de inteligência de ameaças cibernéticas da Quorum.
“O grupo se posicionou como um provedor de Ransomware-as-a-Service (RaaS), permitindo assim que outros agentes de ameaças potencialmente menos sofisticados com ferramentas conduzam ataques adicionais. Ser um provedor de RaaS é muito provavelmente uma das principais causas de sua rápida ascensão à notoriedade.”
De forma reveladora, mas não incomum no jogo de ransomware, a Hunters International assumiu a responsabilidade por ataques ao redor do mundo – exceto na Rússia. Os operadores de ransomware operam na presunção de que, se não forem atrás de alvos russos, as autoridades daquele país os deixarão em paz ou até mesmo os resgatarão da custódia estrangeira. ®
.
