Grupo hacker Twelve intensifica campanha de ataques contra organizações russas

Um grupo hacktivista conhecido como Twelve foi "flagrado" utilizando um arsenal de ferramentas publicamente disponíveis para realizar ataques cibernéticos destrutivos contra alvos russos.

“Em vez de exigir um resgate para a descriptografia dos dados, o Twelve prefere criptografar os dados das vítimas e, em seguida, destruir sua infraestrutura com um limpador, impedindo a recuperação”, afirmou a Kaspersky em uma análise divulgada na sexta-feira.

“Essa abordagem reflete um desejo de causar o máximo de dano possível às organizações-alvo, sem buscar ganhos financeiros diretos.”

Acredita-se que o grupo tenha sido formado em abril de 2023, após o início da guerra entre Rússia e Ucrânia. O Twelve tem um histórico de ataques voltados para paralisar redes e interromper operações empresariais. Também foi observado conduzindo operações de "hack-and-leak", nas quais informações confidenciais são exfiltradas e posteriormente divulgadas em seu canal no Telegram.

A Kaspersky também apontou que o Twelve compartilha infraestrutura e táticas com o grupo de ransomware DARKSTAR (também conhecido como COMET ou Shadow), sugerindo que ambos podem estar relacionados ou fazer parte de um mesmo conjunto de atividades.

“Embora as ações do Twelve sejam claramente de natureza hacktivista, o DARKSTAR segue o padrão clássico de extorsão dupla”, observou a empresa russa de segurança cibernética. “Essa variação de objetivos dentro do grupo ressalta a complexidade e diversidade das ameaças cibernéticas modernas.”

Os ataques do Twelve geralmente começam com a obtenção de acesso inicial por meio do abuso de contas válidas, tanto locais quanto de domínio. O Protocolo de Área de Trabalho Remota (RDP) é então utilizado para facilitar o movimento lateral. Alguns ataques também ocorrem por meio de contratados das vítimas.

“Eles acessaram a infraestrutura da empresa contratada e usaram seu certificado para se conectar à VPN do cliente”, explicou a Kaspersky. “Após obter esse acesso, os invasores podem usar o RDP para penetrar na infraestrutura do cliente.”

Entre as ferramentas utilizadas pelo Twelve estão Cobalt Strike, Mimikatz, Chisel, BloodHound, PowerView, adPEAS, CrackMapExec, Advanced IP Scanner e PsExec, empregadas para roubo de credenciais, descoberta, mapeamento de rede e escalonamento de privilégios. As conexões RDP mal-intencionadas são encapsuladas via ngrok.

Além disso, são implantados web shells em PHP com capacidades de executar comandos arbitrários, mover arquivos ou enviar e-mails. Esses programas, como o WSO web shell, estão disponíveis no GitHub.

Em um dos incidentes investigados pela Kaspersky, os invasores exploraram vulnerabilidades conhecidas (como CVE-2021-21972 e CVE-2021-22005) no VMware vCenter para instalar um web shell, que foi usado para lançar um backdoor apelidado de FaceFish.

“Para consolidar sua presença na infraestrutura de domínio, os invasores utilizaram PowerShell para adicionar usuários e grupos ao domínio e modificar as ACLs (listas de controle de acesso) dos objetos do Active Directory”, detalhou o relatório. “Para evitar a detecção, os malwares e tarefas foram disfarçados com nomes de produtos ou serviços legítimos.”

Nomes como “Update Microsoft”, “Yandex”, “YandexUpdate” e “intel.exe” foram usados para mascarar o malware, indicando uma tentativa de enganar sistemas de segurança ao se passar por programas da Intel, Microsoft e Yandex.

Os ataques também incluíram o uso de um script PowerShell (“Sophos_kill_local.ps1”) para encerrar processos relacionados ao software de segurança Sophos no sistema comprometido.

Nas etapas finais, o Agendador de Tarefas do Windows foi utilizado para executar cargas de ransomware e limpadores, mas não antes de os atacantes coletarem e exfiltrarem informações confidenciais das vítimas através do serviço DropMeFiles, na forma de arquivos ZIP.

“Os atacantes utilizaram uma versão do popular ransomware LockBit 3.0, compilada a partir de código-fonte disponível publicamente, para criptografar os dados”, relataram os pesquisadores da Kaspersky. “Antes de iniciar a criptografia, o ransomware encerra processos que poderiam interferir na operação.”

O limpador, similar ao malware Shamoon, reescreve o registro mestre de inicialização (MBR) das unidades conectadas e sobrescreve todo o conteúdo dos arquivos com bytes aleatórios, impossibilitando a recuperação do sistema.

“O grupo se limita ao uso de ferramentas de malware amplamente conhecidas e disponíveis publicamente, o que sugere que ele não desenvolve suas próprias ferramentas”, concluiu a Kaspersky. “Isso permite que os ataques do Twelve sejam detectados e prevenidos de forma oportuna.”

Via - THN