Uma plataforma que torna mais fácil para os criminosos cibernéticos estabelecerem servidores de comando e controle (C2) já atraiu 3.000 usuários desde o lançamento no início deste ano e provavelmente expandirá sua lista de clientes nos próximos meses.
Chamado Dark Utilities, o serviço fornece uma gama completa de recursos C2 para fornecer aos invasores uma plataforma mais fácil e barata para iniciar acesso remoto, execução de comandos, mineração de criptomoedas e negação de ataques de serviços (DDoS). Os operadores do serviço também fornecem suporte técnico e ajuda para usuários da plataforma por meio de comunidades criadas nos aplicativos de mensagens Discord e Telegram.
Dark Utilities é o exemplo mais recente de malware como serviço (MaaS) e ransomware-as-a-service (RaaS) que diversificam a receita dos criminosos cibernéticos, permitindo que eles lucrem com programadores menos qualificados em cima de suas próprias explorações.
Também ecoa outras tendências, incluindo o surgimento de corretores de acesso inicial, que comprometem os sistemas e, em seguida, vendem esse acesso a outros que o utilizam para lançar ataques. permitindo que eles gerenciem seu malware enviando comandos e cargas úteis e recebendo dados que são exfiltrados de sistemas infectados. Por meio do Dark Utilities, os adversários obtêm uma plataforma que suporta cargas úteis para ataques baseados em Windows, Linux e Python sem ter que criar canais para um servidor C2.
“É um componente chave para agilizar o desenvolvimento e redução do nível de infraestrutura RaaS e MaaS”, disse Andrew Hay, COO da LARES Consulting, “Com uma plataforma tão fácil de usar, os desenvolvedores só precisam se preocupar em construir ou modificar os componentes de malware de seu ataque.”
Também é barato e parece ser um jogo de volume. De acordo com pesquisadores da organização de inteligência de ameaças Talos da Cisco, os usuários podem obter acesso à plataforma – que está hospedada na Internet e na rede Tor – juntamente com as cargas úteis associadas e os terminais de API por € 9,99 (US$ 10,17). Em uma postagem no blog, os pesquisadores do Talos escreveram que nos meses desde que a plataforma C2 foi estabelecida, ela gerou cerca de € 30.000 – mais de US$ 30.500.
“Dado o custo relativamente baixo em comparação com a quantidade de funcionalidade que a plataforma oferece, é provável que seja atraente para os adversários que tentam comprometer os sistemas sem exigir que eles criem sua própria implementação C2 dentro de suas cargas de malware”, escreveram os pesquisadores do Talos. “Esperamos que esta plataforma continue a expandir rapidamente sua base de usuários. Isso provavelmente resultará em um aumento no volume de amostras de malware na natureza tentando estabelecer o C2 usando a plataforma.”
Hay disse que “se um serviço puder ser modificado para fornecer recursos a um público maior e a um preço consumível, a evolução da oferta de serviços continuará.”
- Oi, eu serei seu negociador de ransomware hoje – mas não diga aos bandidos que
- Aviso! Falhas críticas encontradas no Sistema de Alerta de Emergência dos EUA
- A Microsoft amplia o acesso corporativo ao seu pool de inteligência de ameaças
Como os cibercriminosos adotam aplicativos de mensagens para espalhar malware, se comunicar
Os pesquisadores da Talos escreveram que quase imediatamente após o Dark Utilities ter sido estabelecido, eles viram amostras de malware usando o serviço para estabelecer canais de comunicação C2 e recursos de acesso remoto em sistemas Windows e Linux infectados.
O C2-as -a-service (C2aaS) mais recentemente adicionou suporte para outras arquiteturas, incluindo ARM64 e ARMV71, que podem ser aproveitadas para direcionar dispositivos incorporados como roteadores, telefones e dispositivos de Internet das Coisas (IoT).
A plataforma usa a rede peer-to-peer do InterPlanetary File System (IPFS) para hospedar as cargas úteis para torná-las mais persistentes, mais fáceis de ocultar e mais difíceis de derrubar. O fornecedor de segurança cibernética Trustwave escreveu no mês passado sobre como os grupos de ameaças estão aproveitando cada vez mais a natureza descentralizada do IPFS para seus ataques de phishing, por esses motivos.
O IPFS é “explicitamente projetado para impedir que autoridades centralizadas agindo no conteúdo hospedado lá”, escreveram os pesquisadores do Talos. “Observamos cada vez mais adversários fazendo uso dessa infraestrutura para hospedagem e recuperação de carga útil, pois ela efetivamente fornece ‘hospedagem à prova de balas’.”
A Dark Utilities usa o Discord para autenticação. Depois de autenticados, os usuários veem um painel para gerar cargas úteis destinadas a um sistema operacional que são implantados em hosts direcionados. Depois de criar um canal C2, o invasor obtém acesso total aos sistemas para executar as cargas úteis.
Uma vez que o sistema operacional é escolhido, é criada uma string de comando que os invasores incorporarão no PowerShell ou Bash , de acordo com Talos. Para ganhar persistência, a carga útil cria uma chave de registro para sistemas Windows ou uma entrada Crontab ou um serviço Systemd em máquinas Linux.
Os pesquisadores escreveram que o Dark Utilities provavelmente foi criado e está sendo gerenciado por uma persona que usa o apelido Inplex-sys. A persona não tem muita história no mundo do crime cibernético – embora logo após o lançamento do Dark Utilities, ele foi anunciado no canal Telegram do Lapsus$ Group. Eles acreditam que a Inplex-sys está localizada na França.
Dada a rapidez com que a Dark Utilities conseguiu coletar usuários em um curto período de tempo – e a probabilidade de atrair muitos mais próximos meses – “as organizações devem estar cientes dessas plataformas C2aaS e garantir que tenham controles de segurança para ajudar a proteger seus ambientes”, escreveram os pesquisadores. e-mails enviados por invasores. As empresas também precisam de dispositivos de firewall de última geração para detectar atividades maliciosas associadas à ameaça dos usuários do Dark Utilities e uma ferramenta de análise de malware para identificar binários maliciosos.
Eles também devem usar autenticação multifator, ferramentas para bloquear o acesso a sites possivelmente maliciosos e testar sites suspeitos antes que os usuários possam acessá-los.
Hay da LARES também defende a educação.
“Se uma organização não não expandir continuamente seu conhecimento sobre ameaças e ferramentas em evolução, pode ser pego de surpresa se o ataque for direcionado a ele”, disse ele. “Saber como as ferramentas funcionam e detectar sua presençaatividade deve ser um objetivo de qualquer monitoramento de segurança operacional e programa de resposta a incidentes.”
