RDP tem sido utilizado cada vez mais como ponte de entrada nos sistemas alvo – Uma perspetiva sobre o grupo Truniger.

O ransomware é um dos malwares em ascensão nos últimos anos, é atualmente uma das maiores preocupações e há previsões que seja uma das categorias de malware mais preocupante em 2020.

Em 2018 os autores de malware por trás do GandCrab ransomware lançaram o seu modelo Ransomware-as-a-Service que tornou esta peça malware mais business, com branding e marketing associado.

Grupo Truniger

Truniger, também conhecido como TeamSnatch,  foi criado por um indivíduo que se interessou por fraudes via cartão de crédito expandiu a sua ameaça através de redes corporativas. Este agente de ameaças usa vulnerabilidades baseadas em RDP, especificamente usando força-bruta para obter acesso a diferentes destinos via RDP.

O vetor brute-force no RDP provou ser bem-sucedido e, em breve, o truniger começou a investigar maneiras diferentes de tirar partido dos acessos que eles obtiveram, ler aqui o relatório da Advintel.

Truniger conseguiu comprometer mais de 1.800 dispositivos utilizando o GandCrab até o final de agosto de 2018. O agente da ameaça disse que, ao participar do programa de afiliados do GandCrab, aprendeu os métodos para lançar ataques sofisticados.

 

 

Assim, o ator decidiu criar o próprio ransomware e expandir o grupo contratando suporte técnico para operações de ransomware; para especialistas, eles devem fornecer salários mensais de até US $ 10.000.

O grupo de hackers truniger usa várias técnicas para distribuir o ransomware e o principal vetor de ataque entre eles é brute-force RDP. O grupo de atores de ameaças usa ferramentas de pentesting para o envolvimento inicial.

O grupo de hackers truniger usa várias técnicas para distribuir o ransomware e o principal vetor de ataque entre eles é a força bruta do RDP, o grupo de atores de ameaças usa a ferramenta de pentestingarmada para o envolvimento inicial. 

 

O grupo tenta obter privilégios de administrador do sistema Windows e usa a ferramenta mimikatz para procurar credenciais de administrador do domínio, detalhes financeiros e escalar privilégios.

 

O grupo é conhecido por utilizar engenharia social como veículo de infeção.

O incidente notável do grupo Truniger é o ataque à empresa alemã de TI CityComp. Também obteve dados de empresas como Oracle, SAP, BT, Porsche, Toshiba, Volkswagen, Airbus e outras.