{"id":19335,"date":"2022-04-26T21:25:40","date_gmt":"2022-04-27T00:25:40","guid":{"rendered":"https:\/\/www.ethicalhacker.com.br\/site\/?p=19335"},"modified":"2022-04-26T21:31:05","modified_gmt":"2022-04-27T00:31:05","slug":"malware-gold-ulrick","status":"publish","type":"post","link":"https:\/\/www.ethicalhacker.com.br\/site\/2022\/04\/basico\/malware-gold-ulrick\/","title":{"rendered":"Malware Gold Ulrick"},"content":{"rendered":"\n

Hackers <\/span>Gold Ulrick\u00a0 ainda em a\u00e7\u00e3o apesar do vazamento maci\u00e7o do <\/span>Ransomware <\/span>Conti
<\/span><\/h1>\n

\u00a0<\/p>\n

O infame grupo de ransomware conhecido como Conti <\/span><\/span>continuou<\/span><\/span> seu ataque contra entidades, apesar de sofrer um enorme vazamento de dados no in\u00edcio deste ano, de acordo com uma nova pesquisa.<\/span><\/span><\/p>\n

\u00a0<\/p>\n

Conti, atribu\u00eddo a um agente de amea\u00e7as baseado na R\u00fassia conhecido como <\/span>Gold Ulrick , \u00e9 uma das variedades de malware mais prevalentes no cen\u00e1rio de ransomware, respondendo por <\/span>19% de todos os ataques<\/span> durante o per\u00edodo de tr\u00eas meses entre outubro e dezembro de 2021.<\/span><\/p>\n

\u00a0<\/p>\n

Um dos grupos de ransomware mais prol\u00edficos do ano passado, como LockBit 2.0, PYSA e Hive, Conti bloqueou as redes de hospitais, empresas e ag\u00eancias governamentais, enquanto recebia um pagamento de resgate em troca de compartilhar a chave de descriptografia como parte de seu esquema de intimida\u00e7\u00e3o e nome.<\/span><\/p>\n

\u00a0<\/p>\n

Mas depois que o cartel de criminosos cibern\u00e9ticos saiu em apoio \u00e0 R\u00fassia por sua invas\u00e3o da Ucr\u00e2nia em fevereiro, um pesquisador de seguran\u00e7a ucraniano an\u00f4nimo sob o nome de Twitter <\/span>C<\/span>ontiLeaks<\/span> come\u00e7ou a vazar o c\u00f3digo-fonte, bem como conversas privadas entre seus membros, oferecendo uma vis\u00e3o sem precedentes sobre o funcionamento do grupo.<\/span><\/p>\n

\n
\u00a0<\/div>\n<\/div>\n
\n
\"\"<\/a><\/div>\n
\u00a0<\/div>\n<\/div>\n

\u201cOs bate-papos revelam um ecossistema maduro de crimes cibern\u00e9ticos em v\u00e1rios grupos de amea\u00e7as com colabora\u00e7\u00e3o e suporte frequentes\u201d, <\/span><\/span>disse<\/span><\/span> a Secureworks em um relat\u00f3rio publicado em mar\u00e7o. <\/span>Os grupos incluem Gold Blackburn (TrickBot e <\/span>Diavol<\/span> ), Gold Crestwood ( <\/span>Emotet<\/span> ), Gold Mystic (LockBit) e Gold Swathmore ( <\/span>IcedID<\/span> ).<\/span><\/p>\n

\u00a0<\/p>\n

De fato, o monitoramento t\u00e9cnico<\/span> das campanhas Emotet da Intel 471 entre 25 de dezembro de 2021 e 25 de mar\u00e7o de 2022, identificou que mais de uma d\u00fazia de alvos de ransomware Conti foram, de fato, v\u00edtimas de ataques de malspam Emotet, destacando como as <\/span>duas opera\u00e7\u00f5es est\u00e3o interligadas<\/span> .<\/span><\/p>\n

\u00a0<\/p>\n

Dito isto, os vazamentos n\u00e3o parecem ter abafado as atividades do sindicato, com o n\u00famero de v\u00edtimas de Conti postadas em mar\u00e7o subindo para o segundo maior total mensal desde janeiro de 2021, de acordo com a empresa de seguran\u00e7a cibern\u00e9tica com sede em Atlanta.<\/span><\/p>\n

\u00a0<\/p>\n

Al\u00e9m disso, diz-se que o grupo adicionou 11 v\u00edtimas nos primeiros quatro dias de abril, mesmo que os operadores continuem a “evoluir seu ransomware, m\u00e9todos de intrus\u00e3o e abordagens” em resposta \u00e0 divulga\u00e7\u00e3o p\u00fablica de seu arsenal.<\/span><\/p>\n

\u00a0<\/p>\n

As descobertas tamb\u00e9m foram corroboradas pelo <\/span>NCC Group<\/span> no final do m\u00eas passado, que disse que “as operadoras da Conti continuam seus neg\u00f3cios como de costume, comprometendo redes, exfiltrando dados e, finalmente, implantando seu ransomware”.<\/span><\/p>\n

\u00a0<\/p>\n

Uma teia de conex\u00f5es entre Conti e Karakurt<\/span><\/span><\/h3>\n

O desenvolvimento ocorre quando sobreposi\u00e7\u00f5es financeiras e <\/span>t\u00e1ticas<\/span> foram descobertas entre Conti e o grupo de extors\u00e3o de dados <\/span>Karakurt<\/span> com base em informa\u00e7\u00f5es publicadas durante a saga ContiLeaks, semanas ap\u00f3s os operadores do TrickBot terem sido <\/span>inclu\u00eddos<\/span> no cartel de ransomware.<\/span><\/p>\n

\u00a0<\/p>\n

Uma an\u00e1lise das transa\u00e7\u00f5es de blockchain associadas a endere\u00e7os de criptomoedas pertencentes a Karakurt mostrou que \u201ccarteiras Karakurt enviando quantias substanciais de criptomoeda para carteiras Conti\u201d, de acordo com uma <\/span><\/span>investiga\u00e7\u00e3o conjunta<\/span><\/span> de pesquisadores da Arctic Wolf e Chainalysis.<\/span><\/span><\/p>\n

\u00a0<\/p>\n

\"\"<\/a><\/div>\n
\u00a0<\/div>\n

A hospedagem de carteira compartilhada tamb\u00e9m envolve o agora extinto ransomware Diavol da gangue TrickBot, com um “endere\u00e7o de extors\u00e3o Diavol hospedado por uma carteira contendo endere\u00e7os usados \u200b\u200bem ataques de ransomware Conti”, indicando que Diavol est\u00e1 sendo implantado pelo mesmo conjunto de atores por tr\u00e1s Conti e Karakurt.<\/span><\/span><\/p>\n

\u00a0<\/p>\n

Um exame forense adicional de um cliente n\u00e3o identificado que foi atingido por uma onda subsequente de ataques de extors\u00e3o ap\u00f3s uma infec\u00e7\u00e3o por ransomware Conti revelou que o segundo grupo usou o mesmo backdoor Cobalt Strike deixado para tr\u00e1s por Conti, implicando uma forte associa\u00e7\u00e3o entre atores de crimes cibern\u00e9ticos aparentemente d\u00edspares.<\/span><\/p>\n

\u00a0<\/p>\n

“Se Karakurt \u00e9 um trabalho paralelo elaborado por agentes da Conti e Diavol ou se esta \u00e9 uma empresa sancionada pela organiza\u00e7\u00e3o geral, ainda n\u00e3o se sabe”, informou Arctic Wolf.<\/span><\/p>\n

\u00a0<\/p>\n

\u201cEssa conex\u00e3o talvez explique por que Karakurt est\u00e1 sobrevivendo e prosperando, apesar de alguns de seus concorrentes apenas de exfiltra\u00e7\u00e3o estarem morrendo\u201d, informaram\u00a0 os pesquisadores, acrescentando: \u201cOu, alternativamente, talvez este tenha sido o teste de uma diversifica\u00e7\u00e3o estrat\u00e9gica autorizada pelo grupo principal. “<\/span><\/p>\n

\u00a0<\/p>\n

Este artigo \u00e9 uma tradu\u00e7\u00e3o de: https:\/\/thehackernews.com\/2022\/04\/gold-ulrick-hackers-still-in-action.html<\/a>\u00a0 (Autor: Ravie Lakshmanan<\/span>)<\/p>\n

\u00a0<\/p>\n

\u00a0<\/p>\n\n\n","protected":false},"excerpt":{"rendered":"

Hackers Gold Ulrick\u00a0 ainda em a\u00e7\u00e3o apesar do vazamento maci\u00e7o do Ransomware Conti \u00a0 O infame grupo de ransomware conhecido como Conti continuou seu ataque contra entidades, apesar de sofrer um enorme vazamento de dados no in\u00edcio deste ano, de acordo com uma nova pesquisa. \u00a0 Conti, atribu\u00eddo a um agente de amea\u00e7as baseado na […]<\/p>\n","protected":false},"author":2,"featured_media":19337,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[89,100,105],"tags":[],"class_list":["post-19335","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-basico","category-diversos","category-noticias"],"_links":{"self":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/19335","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/comments?post=19335"}],"version-history":[{"count":4,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/19335\/revisions"}],"predecessor-version":[{"id":19340,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/19335\/revisions\/19340"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/media\/19337"}],"wp:attachment":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/media?parent=19335"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/categories?post=19335"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/tags?post=19335"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}