Ferramentas geralmente utilizadas por criminosos em ataques de Ransomware

Neste artigo, listamos algumas ferramentas que são geralmente utilizadas por cyber criminosos durante a orquestração de um ataque de Ransomware. Algumas destas ferramentas são legítimas e o simples fato de identificá-las em seu ambiente, não necessariamente significa que existe um ataque de Ransomware em andamento, entretanto, a identificação da execução de uma ferramenta legítima (i.e anydesk) somada a outros fatores pode determinar se de fato existe um ataque em andamento ou não. É muito importante analisar o contexto da execução (processo pai, filho, avô), conta de usuário sendo utilizado, horário de execução, forma de acesso (i.e RDP), IP de origem deste acesso, etc.

Ferramentas de acesso remoto:
• Anydesk
• Atera
• LogMeIn
• ConnectWise (ScreenConnect)
• Splashtop
• TeamViewer
• VNC

Frameworks de Exploits
• Cobalt Strike
• Brute Ratel
• Koadic
• PoshC2
• Sliver

Ferramentas utilizadas para reconhecimento:
• Angry IP Scanner – https://angryip.org/download/#windows
• Advanced IP Scanner – https://www.advanced-ip-scanner.com/download
• Adfind – http://www.joeware.net/freetools/tools/adfind/index.htm
• net users
• net user /domain
• net group “domain admins” /domain e net group “enterprise admins” /domain
• net group “domain controllers” /domain
• net localgroup “administrators”
• dsquery
• net view
• net share
• dir \host\share
• ShareFinder
• arp
• whoami /groups
• whoami

Repositórios comuns:
• Bloodhound – https://github.com/BloodHoundAD/BloodHound/releases
• Lazagne – https://github.com/AlessandroZ/LaZagne/releases
• Mimikatz – https://github.com/gentikiwi/mimikatz/releases
• PowerSploit/PowerView – https://github.com/PowerShellMafia/PowerSploit/releases
• PowerView/PowerUp – https://github.com/darkoperator/Veil-PowerView/PowerUp
• Rubeus – https://github.com/GhostPack/Rubeus e https://github.com/r3motecontrol/Ghostpack-CompiledBinaries
• Seatbelt – https://github.com/GhostPack/Seatbelt e https://github.com/r3motecontrol/Ghostpack-CompiledBinaries/blob/master/seatbealt.exe
• SharpView – https://github.com/tevora-threat/SharpView/tree/master/CompiledBinaries
• WinSCP – https://winscp.net/eng/downloads.php e https://winscp.net/eng/download.php
• Procdump – docs.microsoft.com/en-us/sysinternals/downloads/procdump
• Process Hacker – https://processhacker.sourceforge.io/downloads.php
• Psexec – https://docs.microsoft.com/en-us/sysinternals/downloads/psexec

File Sharing Sites
• anonfiles.com
• send.exploit.in
• ufile.io
• sendspace.com
• file.io
• anonymfiles.com
• mega.nz
• Wetransfer
• Google Drive
• One Drive
• Box

Nem sempre, as ferramentas de proteção de endpoint (i.e Antivírus) vão detectar um ataque de Ransomware em andamento, muitas fazem a detecção lá na última fase que é a criptografia, mas até então muita informação já foi exfiltrada e lembrando que no último ano 20% dos ataques de Ransomware já não fazem mais a criptografia (veja os relatórios de ameaça da Crowdstrike e PaloAlto), o simples fato de exfiltrar os dados e então chantagear as vítimas, já é o suficiente e dá menos trabalhos para os criminosos, pois não precisam prestar “suporte” para as vítimas realizar a recuperação do ambiente.

Se você ainda utiliza varreduras sob-demanda (full scans) com seu antivírus atual na expectativa que ele vai revelar ataques em andamento, entenda que a probabilidade é muito remota. Afinal, se o antivírus/EDR não identificou o ataque quando foi executado (tempo real), dificilmente o detectará horas ou dias depois. Não seria melhor você consultar uma “segunda opinião” para saber se seu ambiente está comprometido?

Na Bunker Cyber Security, somos especialistas em identificar se existe um ataque em andamento, através de um serviço chamado “Compromise Assessment” que pode ser pontual, mensal ou trimestral. Utilizamos técnicas de forense digital para analisar o ambiente e identificar sinais de comprometimento. Se desejar conhecer como isto funciona, entre em contato no e-mail contato@bunkercs.com.br.