{"id":19492,"date":"2022-05-18T18:16:38","date_gmt":"2022-05-18T21:16:38","guid":{"rendered":"https:\/\/www.ethicalhacker.com.br\/site\/?p=19492"},"modified":"2022-05-18T18:16:38","modified_gmt":"2022-05-18T21:16:38","slug":"pesquisadores-expoem-gangue-de-cibercrime","status":"publish","type":"post","link":"https:\/\/www.ethicalhacker.com.br\/site\/2022\/05\/basico\/pesquisadores-expoem-gangue-de-cibercrime\/","title":{"rendered":"Pesquisadores exp\u00f5em gangue de cibercrime"},"content":{"rendered":"\n

Pesquisadores exp\u00f5em o funcionamento interno da gangue de cibercrime de um bilion\u00e1rio Wizard Spider<\/span><\/h1>\n

\u00a0<\/p>\n

O funcionamento interno de um grupo cibercriminoso conhecido como Wizard Spider foi exposto, lan\u00e7ando luz sobre sua estrutura organizacional e motiva\u00e7\u00f5es.<\/span><\/p>\n

\u00a0<\/p>\n

\u201cA maior parte dos esfor\u00e7os do Wizard Spider s\u00e3o direcionados para hackear empresas europeias e norte-americanas, com uma ferramenta especial de cracking usada por alguns de seus atacantes para violar alvos de alto valor\u201d, informou<\/span><\/span> a empresa su\u00ed\u00e7a de seguran\u00e7a cibern\u00e9tica PRODAFT <\/span>em um novo relat\u00f3rio compartilhado com o The Hacker News. <\/span>“Parte do dinheiro que eles recebem \u00e9 colocado de volta no projeto para desenvolver novas ferramentas e talentos.”<\/span><\/span><\/p>\n

\u00a0<\/p>\n

Acredita-se que o Wizard Spider, tamb\u00e9m conhecido como Gold Blackburn, opere fora da R\u00fassia e se refere a um agente de amea\u00e7as com motiva\u00e7\u00e3o financeira que foi vinculado ao botnet TrickBot, um malware modular que foi oficialmente descontinuado no in\u00edcio deste ano em favor de malware aprimorado, como BazarBackdoor .<\/p>\n

\n
\u00a0<\/div>\n<\/div>\n
\n
\"\"<\/a><\/div>\n
\u00a0<\/div>\n<\/div>\n

Isso n\u00e3o \u00e9 tudo. Os operadores do TrickBot tamb\u00e9m cooperaram extensivamente com o <\/span>Conti<\/span> , outro grupo de crimes cibern\u00e9ticos ligado \u00e0 R\u00fassia not\u00f3rio por oferecer pacotes de ransomware como servi\u00e7o para suas afiliadas.<\/span><\/p>\n

\u00a0<\/p>\n

Gold Ulrick<\/span> (tamb\u00e9m conhecido como Grim Spider), como \u00e9 chamado o grupo respons\u00e1vel pela distribui\u00e7\u00e3o do ransomware Conti (anteriormente Ryuk), aproveitou historicamente o acesso inicial fornecido pelo TrickBot para implantar o ransomware em redes direcionadas.<\/span><\/p>\n

\u00a0<\/p>\n

\u201cO Gold Ulrick \u00e9 composto por alguns ou todos os mesmos operadores do Gold Blackburn, o grupo de amea\u00e7as respons\u00e1vel pela distribui\u00e7\u00e3o de malware como TrickBot, BazarLoader e Beur Loader\u201d, observa<\/span> a empresa de seguran\u00e7a cibern\u00e9tica Secureworks em um perfil do sindicato cibercriminoso.<\/span><\/p>\n

\u00a0<\/p>\n

\"\"<\/a><\/div>\n
\u00a0<\/div>\n
\n

Afirmando que o grupo \u00e9 \u201ccapaz de monetizar v\u00e1rios aspectos de suas opera\u00e7\u00f5es\u201d, o PRODAFT enfatizou a capacidade do advers\u00e1rio de expandir sua empresa criminosa, o que segundo ele \u00e9 possibilitado pela \u201clucratividade extraordin\u00e1ria\u201d da gangue.<\/span><\/p>\n

\u00a0<\/p>\n

Cadeias de ataque t\u00edpicas envolvendo o grupo come\u00e7am com campanhas de spam que distribuem malware como <\/span>Qakbot<\/span> (tamb\u00e9m conhecido como QBot) e <\/span>SystemBC<\/span> , usando-os como plataformas de lan\u00e7amento para descartar ferramentas adicionais, incluindo Cobalt Strike para movimento lateral, antes de executar o software de arm\u00e1rio.<\/span><\/p>\n

\u00a0<\/p>\n

Al\u00e9m de aproveitar uma variedade de utilit\u00e1rios para roubo e reconhecimento de credenciais, o Wizard Spider \u00e9 conhecido por usar um kit de ferramentas de explora\u00e7\u00e3o que aproveita vulnerabilidades de seguran\u00e7a conhecidas, como o <\/span>Log4Shell<\/span> , para obter uma posi\u00e7\u00e3o inicial nas redes das v\u00edtimas.<\/span><\/p>\n

\u00a0<\/p>\n<\/div>\n

Tamb\u00e9m \u00e9 colocada em uso uma esta\u00e7\u00e3o de cracking que hospeda hashes crackeados associados a credenciais de dom\u00ednio, t\u00edquetes Kerberos e arquivos KeePass, entre outros.<\/span><\/p>\n

\u00a0<\/p>\n

Al\u00e9m disso, o grupo investiu em uma configura\u00e7\u00e3o de VoIP personalizada, na qual operadoras de telefonia contratadas ligam para v\u00edtimas que n\u00e3o respondem em uma tentativa de colocar press\u00e3o adicional e obrig\u00e1-las a pagar ap\u00f3s um ataque de ransomware.<\/span><\/p>\n

\u00a0<\/p>\n

Esta n\u00e3o \u00e9 a primeira vez que o grupo recorre a tal t\u00e1tica. No ano passado, a Microsoft detalhou uma campanha BazarLoader apelidada <\/span>de BazaCall<\/span> , que empregava call centers falsos para atrair v\u00edtimas inocentes para instalar ransomware em seus sistemas.<\/span><\/p>\n

\u00a0<\/p>\n

\u201cO grupo tem um grande n\u00famero de dispositivos comprometidos sob seu comando e emprega um fluxo de trabalho profissional altamente distribu\u00eddo para manter a seguran\u00e7a e um alto ritmo operacional\u201d, informaram os pesquisadores.<\/span><\/p>\n

\u00a0<\/p>\n

\u201c\u00c9 respons\u00e1vel por uma enorme quantidade de spam em centenas de milh\u00f5es de milh\u00f5es de dispositivos, bem como por viola\u00e7\u00f5es de dados concentradas e ataques de ransomware em alvos de alto valor\u201d.<\/span><\/p>\n

\u00a0<\/p>\n

Este artigo \u00e9 uma tradu\u00e7\u00e3o de: https:\/\/thehackernews.com\/2022\/05\/researchers-expose-inner-working-of.html\u00a0<\/a> (Autor: Ravie Lakshmanan<\/span>)<\/p>\n\n\n","protected":false},"excerpt":{"rendered":"

Pesquisadores exp\u00f5em o funcionamento interno da gangue de cibercrime de um bilion\u00e1rio Wizard Spider \u00a0 O funcionamento interno de um grupo cibercriminoso conhecido como Wizard Spider foi exposto, lan\u00e7ando luz sobre sua estrutura organizacional e motiva\u00e7\u00f5es. \u00a0 \u201cA maior parte dos esfor\u00e7os do Wizard Spider s\u00e3o direcionados para hackear empresas europeias e norte-americanas, com uma […]<\/p>\n","protected":false},"author":2,"featured_media":19494,"comment_status":"closed","ping_status":"","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[89,100,105],"tags":[],"class_list":["post-19492","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-basico","category-diversos","category-noticias"],"_links":{"self":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/19492","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/comments?post=19492"}],"version-history":[{"count":3,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/19492\/revisions"}],"predecessor-version":[{"id":19497,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/19492\/revisions\/19497"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/media\/19494"}],"wp:attachment":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/media?parent=19492"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/categories?post=19492"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/tags?post=19492"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}