O que é Quantum Ransomware?
Índice:
Ransomware Quantum, uma cepa que ganhou atenção significativa desde sua descoberta em julho de 2021, provou ser uma forma especialmente maliciosa e em rápida evolução de ransomware. Enquanto os profissionais de cibersegurança se esforçam para ficar um passo à frente dos criminosos cibernéticos, é imperativo entender as complexidades e o impacto potencial do ransomware Quantum. É uma sub-variante do ransomware MountLocker, juntamente com AstroLocker e XingLocker. Apesar de ser menos ativo que suas cepas irmãs, exige resgates que variam de $150,000 a milhões, o que está no mesmo nível da cepa original.
Uma das características mais marcantes do ransomware Quantum é que ele é usado em ataques excepcionalmente rápidos. As vítimas geralmente têm apenas algumas horas entre a infecção inicial e a criptografia de seus arquivos. Explorando o elemento surpresa, os atacantes frequentemente atacam durante as horas fora do expediente. O grupo Quantum inclui membros do Conti, outro notório grupo de cibercrime que recentemente encerrou voluntariamente suas operações de ransomware para ressurgir como parte de outros subgrupos de ransomware com motivações e estratégias operacionais distintas.
Os adversários estabeleceram uma plataforma operacional TOR especificamente projetada para negociação de resgates juntamente com uma plataforma de vazamento de dados chamada “Quantum Blog.”
Um alvo principal do ransomware Quantum no ano passado foram atores na indústria de saúde. O grupo conseguiu infiltrar-se em uma rede de 657 provedores de saúde, resultando no roubo de informações pessoais de mais de 1,9 milhão de vítimas.
Como parte de seus métodos iniciais de infiltração, os adversários empregaram o malware IcedID (entregue via e-mail) como um meio de obter acesso, aproveitando o Cobalt Strike para controle remoto. Isso resultou na aquisição ilícita de informações sensíveis e na implementação do Quantum Locker para criptografar dados.
O que é Quantum Locker?
Ao longo dos últimos dois anos, o ransomware Quantum Locker ganhou notoriedade por seus ataques rápidos e decisivos, concedendo às equipes dos centros de operações de segurança um tempo limitado para implementar medidas de resposta eficazes. Em certos casos, os adversários conseguiram implantar o ransomware em apenas quatro horas após o ataque.
Ao ser vítima da violação, as empresas e indivíduos visados têm um prazo limitado de 72 horas para estabelecer comunicação com os perpetradores. A falha em fazê-lo resulta na disponibilização dos dados roubados em um site público mencionado acima neste artigo, acessível para downloads gratuitos por qualquer pessoa.
Para agilizar o processo de criptografia, o ransomware Quantum identifica e interrompe os processos de serviço do banco de dados, eliminando suas restrições de acesso ao valioso conteúdo do banco de dados e permitindo que o ransomware o criptografe. O procedimento de criptografia primária do Quantum emprega um executável .dll ou .exe, utilizando um esquema de criptografia híbrida que emprega ChaCha20 para criptografia simétrica de arquivos e uma chave pública RSA-2048 para criptografar a única chave de criptografia simétrica ChaCha20.
Usando IcedID como Acesso Inicial
O ransomware Quantum é distribuído através de campanhas de phishing por e-mail direcionadas, utilizando malwares de estágio inicial, como IcedID ou BumbleBee loader. Escrito em C++, o BumbleBee opera como um loader, englobando uma função singular responsável pela inicialização, manipulação de respostas e transmissão de solicitações. Após a execução em um dispositivo comprometido, o malware coleta diligentemente os dados da vítima e os comunica ao servidor de comando e controle (C2). IcedID (também conhecido como BokBot) representa uma variante relativamente recente de malware classificado como trojan bancário e trojan de acesso remoto (RAT). Notável por suas capacidades, o IcedID está no mesmo nível de outros trojans bancários avançados como Zeus, Gozi e Dridex. Como um malware de segundo estágio, o IcedID depende de malware de primeiro estágio precedente para estabelecer acesso inicial e facilitar sua implantação. Descobertas recentes revelaram novas variantes do IcedID que se desviam de sua funcionalidade típica de fraude bancária online. Em vez disso, essas variantes priorizam a instalação de malware adicional em sistemas comprometidos. Em uma notável partida de seu modus operandi tradicional, o IcedID passou por uma evolução significativa, mostrando uma mudança em seus objetivos. Em vez de apenas visar fraudes bancárias online, essas novas iterações colocam uma ênfase maior em estabelecer uma presença em sistemas comprometidos para facilitar a implantação de outros pacotes maliciosos.
Esses pacotes importam o ransomware principal Quantum Locker e ferramentas suplementares em sistemas comprometidos.
O e-mail malicioso compreende um arquivo de imagem .iso, hospedando o loader IcedID no formato de uma DLL (dar.dll). Além disso, o e-mail inclui um arquivo de atalho .LNK enganoso projetado para parecer um documento legítimo enquanto na verdade tem como alvo o pacote do IcedID.
Subsequentemente, os atacantes se envolvem em um rápido reconhecimento de rede, visando particularmente obter acesso remoto ao desktop (RDP) para outros hosts na rede. Se o acesso a sistemas adjacentes for obtido, os atacantes transferem manualmente o binário de criptografia Quantum, ttsel.exe, para a pasta compartilhada de cada host.
Durante os estágios iniciais de um ataque Quantum, uma variedade de ferramentas é empregada, incluindo Cobalt Strike Beacon, Rclone, a ferramenta de tunelamento Ligolo, ProcDump, ADFind e o Serviço de Subsistema de Autoridade de Segurança Local (Lsass.exe), para reconhecimento de rede e movimento lateral. O NPPSpy é usado para roubar dados sensíveis enquanto ferramentas LOTL (vivendo fora da terra) como WMI, PsExec e PowerShell são aproveitadas. É importante notar que os ataques Quantum dependem principalmente de explorações manuais realizadas por operadores humanos em vez de confiarem em scripts ou ferramentas automatizadas complexas. Uma das técnicas mais sofisticadas do Quantum, conhecida como “ocultação de processo”, envolve iniciar um processo cmd.exe e injetar CobaltStrike na memória do processo para evitar a detecção. Para manter operações encobertas, o Quantum detecta e termina ativamente processos associados à análise de malware, como ProcMon, Wireshark, CND e gerenciador de tarefas.
Ransomware Quantum Visto Implantado em Ataques de Rede Rápidos
O que distingue o ransomware Quantum Locker é sua velocidade de execução incomparável. Dentro de algumas horas, os adversários executam com sucesso o ransomware, deixando os profissionais de segurança com tempo mínimo para responder efetivamente. As consequências podem ser graves, com dados críticos mantidos como reféns e operações comerciais parando. Ao contrário de muitos ataques de ransomware automatizados, o ransomware Quantum é operado predominantemente por operadores humanos qualificados. Essa abordagem manual permite que os atacantes adaptem suas técnicas e evitem medidas de segurança tradicionais, tornando ainda mais desafiador para as organizações detectar e mitigar a ameaça.
Os adversários adotaram a velocidade como uma arma potente, explorando rapidamente vulnerabilidades e infiltrando-se em sistemas em minutos ou até segundos. O elemento surpresa combinado com a execução ultra-rápida tem se provado altamente eficaz para os cibercriminosos. As consequências de ataques cibernéticos executados rapidamente são abrangentes. As organizações encontram-se lutando com dados comprometidos, operações interrompidas e danos à reputação em tempo recorde. Além disso, o ritmo acelerado desses ataques coloca uma pressão tremenda nas equipes de segurança, que devem rapidamente identificar e conter a violação para minimizar o impacto.
Para ajudar as organizações a acompanhar os volumes crescentes e a sofisticação aumentada dos ataques de ransomware Quantum, a Plataforma SOC Prime oferece um conjunto de regras Sigma curadas para detecção proativa. Ao clicar no Explorar Detecções botão, as equipes podem obter a lista completa de regras Sigma relevantes mapeadas para MITRE ATT&CK® v12 e enriquecidas com um contexto abrangente de ameaças cibernéticas. Todas as regras Sigma também estão prontas para implantação em dezenas de soluções de segurança, ajudando as organizações a evitar o bloqueio de fornecedores.
Histórico do Ransomware Quantum
Embora o Quantum Locker possa não exibir o mesmo nível de atividade que outras operações de ransomware proeminentes como Conti, LockBit, e AVOS, ele continua a ser uma ameaça significativa que exige atenção dos defensores de redes. É crucial entender que o cenário de ameaças está em constante evolução, e grupos de ransomware como o Quantum podem rapidamente adaptar seus TTPs para explorar vulnerabilidades e evitar a detecção. Mantendo uma consciência das técnicas do Quantum Locker, os defensores podem antecipar melhor e responder a potenciais ataques, implementando medidas de segurança robustas, realizando backups regulares, corrigindo vulnerabilidades prontamente e educando os funcionários sobre phishing e outras técnicas de engenharia social.
A atividade reduzida do Quantum Locker pode ser atribuída a vários fatores, incluindo mudanças no foco operacional dos atacantes, prioridades em movimento ou esforços crescentes de profissionais de cibersegurança para interromper suas operações. No entanto, é importante notar que mesmo um pequeno número de ataques bem-sucedidos pode levar a perdas financeiras significativas, danos à reputação e interrupções operacionais para as entidades-alvo. Ataques cibernéticos rápidos se tornaram uma nova tendência preocupante, representando desafios significativos para organizações em todo o mundo. À medida que os adversários continuam a explorar vulnerabilidades com velocidade relâmpago, é crucial que as empresas fortaleçam suas defesas de acordo.
Explore a Plataforma SOC Prime para armar sua equipe com as melhores ferramentas que cada defensor cibernético deve ter à mão, independentemente do nível de maturidade e da pilha de tecnologia em uso. Confie no poder da expertise coletiva da indústria para se beneficiar de soluções de ponta apoiadas pela linguagem Sigma usada em combinação com a estrutura MITRE ATT&CK para habilitar uma defesa cibernética econômica e à prova de futuro.
