Nos últimos dois meses, o botnet controlado por cibercriminosos conhecido como TrickBot se tornou, por algumas medidas, o inimigo público número um da comunidade de segurança cibernética. Ele sobreviveu às tentativas de remoção da Microsoft, um supergrupo de segurança e até mesmo o Cyber ​​Command de EE.UU. Agora parece que os hackers por trás do TrickBot estão testando uma nova técnica para infectar os recessos mais profundos das máquinas infectadas, indo além de seus sistemas operacionais e em seu firmware.

As empresas de segurança AdvIntel e Eclypsium revelaram hoje que detectaram um novo componente do Trojan que os hackers TrickBot usam para infectar máquinas. O módulo não descoberto anteriormente verifica os computadores das vítimas em busca de vulnerabilidades que permitem que os hackers coloquem um backdoor em um código profundo conhecido como Unified Extensible Firmware Interface, que é responsável por carregar o sistema operacional de um dispositivo quando se inicia. Como o UEFI reside em um chip na placa-mãe do computador fora do seu disco rígido, colocar código malicioso ali permitiria que o TrickBot evitasse a maioria das detecções de antivírus, atualizações de software ou até mesmo uma limpeza e reinstalação totais. do sistema operacional do computador. Como alternativa, ele poderia ser usado para "bloquear" os computadores de destino, corrompendo seu firmware a ponto de a placa-mãe precisar ser substituída.

O uso dessa técnica pelos operadores do TrickBot, que os pesquisadores chamam de "TrickBoot", torna o grupo de hackers apenas um dos poucos, e o primeiro não patrocinado pelo Estado, a ter experimentado natureza com malware direcionado à UEFI, diz Vitali Kremez, pesquisador de segurança cibernética AdvIntel e CEO da empresa. Mas o TrickBoot também representa uma nova ferramenta insidiosa nas mãos de um grupo de criminosos descarados, que já usou sua posição dentro das organizações para plantar ransomware e se associou a hackers norte-coreanos com foco no roubo. "O grupo está procurando novas maneiras de obter persistência muito avançada em sistemas, para sobreviver às atualizações de software e entrar no núcleo do firmware", disse Kremez. Se eles conseguirem penetrar no firmware de uma máquina vítima, acrescenta Kremez, "as possibilidades são infinitas, desde a destruição até assumir o controle basicamente de todo o sistema".

Enquanto o TrickBoot procura por um UEFI vulnerável, os pesquisadores ainda não analisaram o código real que o comprometeria. Kremez acredita que os hackers provavelmente estão baixando uma carga útil de hacking de firmware apenas em alguns computadores vulneráveis, uma vez que são identificados. “Achamos que eles têm selecionado cuidadosamente alvos de interesse de alto valor”, diz ele.

Os hackers por trás do TrickBot, geralmente baseados na Rússia, ganharam a reputação de alguns dos hackers cibercriminosos mais perigosos da Internet. Seu botnet, que em seu auge incluiu mais de um milhão de máquinas escravizadas, foi usado para plantar ransomware como Ryuk e Conti nas redes de inúmeras vítimas, incluindo hospitais e instalações de pesquisa médica. A botnet foi considerada ameaçadora o suficiente para que duas operações separadas tentassem interrompê-la em outubro: uma, realizada por um grupo de empresas incluindo Microsoft, ESET, Symantec e Lumen Technologies, buscou usar ordens judiciais para cortar conexões de TrickBot com servidores de comando e controle baseados nos Estados Unidos Outra operação simultânea do US Cyber ​​Command basicamente invadiu o botnet, enviando novos arquivos de configuração para seus computadores comprometidos, projetados para isolá-los dos operadores TrickBot. Não está claro até que ponto os hackers reconstruíram o TrickBot, embora eles tenham adicionado pelo menos 30.000 vítimas à sua coleção desde então, comprometendo novos computadores ou comprando acesso de outros hackers, de acordo com a empresa de segurança Hold Security.

Kremez da AdvIntel encontrou o novo recurso centrado em firmware do TrickBot, cujo design modular permite baixar novos componentes rapidamente para os computadores das vítimas, em uma amostra do malware no final de outubro, logo após as duas tentativas de operações de remoção. . Ele acredita que pode ser parte de uma tentativa dos operadores do TrickBot de ganhar terreno que possa sobreviver nas máquinas alvo, apesar da crescente notoriedade de seu malware na indústria de segurança. “Como todo mundo está assistindo, eles perderam muitos bots”, diz Kremez. "Portanto, seu malware deve ser furtivo e é por isso que pensamos que eles se concentraram neste módulo."

Depois de determinar que o novo código tinha como alvo a violação de firmware, Kremez compartilhou o módulo com a Eclypsium, que é especializada em segurança de firmware e microarquitetura. Os analistas do Eclypsium determinaram que o novo componente encontrado por Kremez não altera o firmware do PC da vítima, mas procura uma vulnerabilidade comum nos UEFIs da Intel. Os fabricantes de PC que implementam o firmware UEFI da Intel geralmente não definem certos bits nesse código para evitar violação. Eclypsium estima que o problema de configuração persiste em dezenas de milhões ou mesmo possivelmente centenas de milhões de PCs. "Eles são capazes de pesquisar e identificar, ok, este é um alvo que poderemos tornar este ataque baseado em firmware mais invasivo ou mais persistente", disse o investigador principal da Eclypsium, Jesse Michaels. "Isso parece valioso para este tipo de campanha generalizada em que seus alvos específicos podem ser ransomware, sistemas de tijolos, sendo capazes de persistir em ambientes."

Eclypsium e AdvIntel argumentam que o TrickBot provavelmente já alterou o firmware de algumas vítimas, apesar de não ter observado diretamente. "Seria literalmente uma mudança de um byte ou uma linha para, digamos, apagar o flash ou gravar no flash em vez de apenas ler o flash", diz Michaels, referindo-se ao chip flash SPI que armazena os dados de um computador. UEFI.

Para vítimas potenciais do TrickBot, o combate à sua técnica de hacking de firmware exigirá uma nova atenção aos componentes vulneráveis ​​do computador, que muitas vezes são esquecidos. A Eclypsium e a AdvIntel recomendam que as empresas verifiquem o firmware do seu PC para determinar se ele é vulnerável, atualize o firmware quando os fornecedores disponibilizam um novo código e, talvez o mais importante, verifique o firmware do PC para adulteração como parte de sua resposta a qualquer infecção por TrickBot detectada.

O hacking de firmware já apareceu antes, usado por hackers patrocinados pelo Estado, da CIA à equipe Fancy Bear da Rússia e um possível grupo chinês que reaproveitou uma ferramenta de espionagem de firmware criada pela empresa de hackers para Salário da equipe de hackers. Mas Eclypsium e AdvIntel argumentam que o surgimento do TrickBoot significa que o hack de firmware está mudando de ataques patrocinados pelo estado e direcionados para hackers criminosos muito menos discriminatórios e com foco no lucro. E isso significa que um vasto novo grupo de vítimas em potencial deve começar a ficar de olho no firmware do PC.

“Como empresa, você tem todas essas coisas em seu ambiente”, diz o pesquisador de segurança cibernética da Eclypsium Scott Scheferman, “e a probabilidade de você contrair uma infecção TrickBot nos próximos três meses é muito alta. Então é hora de realmente começar. prestar atenção."


fonte: Link


fechar

VAMOS MANTER CONTATO!

Adoraríamos mantê-lo atualizado com nossas últimas notícias e ofertas 😎

Não fazemos spam! Leia nosso política de privacidade para mais informações.

Sobre o autor: Eduardo Kando Gerente WiseGroup
Estou aqui para ajudar e orientar todos os visitantes do site WisePlant. Será um prazer responder suas perguntas, conhecer suas preocupações e receber suas recomendações para melhorar nossos serviços.