Ransomware Makop: GuLoader e escalonamento de privilégios em ataques contra empresas indianas

Autores: Ilia Dafchev, Darrel Virtusio

Resumo

Makop, uma variante de ransomware derivada do Phobos, continua a explorar sistemas RDP expostos, ao mesmo tempo que adiciona novos componentes, como explorações de escalonamento de privilégios locais e malware de carregamento, ao seu conjunto de ferramentas tradicional.
O ataque geralmente começa com a exploração do RDP, seguida pela preparação de scanners de rede, ferramentas de movimento lateral e explorações de escalonamento de privilégios, antes de passar para a criptografia ou parar se os invasores não conseguirem contornar a solução de segurança em vigor.
Os invasores utilizam uma combinação de ferramentas prontas para uso, incluindo scanners de rede, eliminadores de antivírus e numerosas explorações de escalonamento de privilégios locais, juntamente com nomes de arquivo enganosos para evitar a detecção.
GuLoader, um Cavalo de Troia do tipo downloader, é usado para propagar cargas secundárias, indicando uma evolução na metodologia do Makop integrando mais técnicas para contornar medidas de segurança e mecanismos adicionais de propagação de malware.
A maioria de Os ataques (55%) têm como alvo organizações na Índia, enquanto incidentes também são relatados no Brasil, na Alemanha e em outras regiões.

Introdução

Makop é uma cepa de ransomware observada pela primeira vez por volta de 2020 e geralmente é tratada como uma variante da Family Phobos. Recentemente, os pesquisadores da Acronis TRU identificaram uma nova atividade e ferramenta associadas ao Makop, o que levou a uma investigação mais aprofundada em vários casos recentes de ransomware para entender melhor como seus operadores conduzem seus ataques.

O padrão que emergiu foi que os invasores preferem trabalhar de maneira com baixa complexidade e pouco esforço. A maioria das vítimas foi comprometida por meio do RDP e, frequentemente, após isso, os invasores usam ferramentas prontas para descoberta e movimento lateral, como scanners de rede, explorações de escalonamento de privilégio local (LPE) para escalonamento de privilégio, matadores de AV como drivers vulneráveis, terminadores de processos, software de desinstalação direcionado, ferramentas de acesso a credenciais como Mimikatz, e outras etapas da cadeia de eliminação.

O que foi interessante de ver foi a coleção deles de explorações de escalonamento de privilégio local e que em algumas ocasiões vimos o GuLoader sendo usado. GuLoader é um tipo de malware descarregador que foi descoberto pela primeira vez no final de 2019 e é conhecido por propagar diferentes tipos de malware de segundo estágio. É conhecido por despejar malware como AgentTesla, FormBook, XLoader, Lokibot e mais.

Manual de Makop

O fluxo dos ataques de Makop geralmente segue um padrão familiar. Os operadores de ransomware ganham acesso inicial explorando serviços de protocolo de área de trabalho remota (RDP) expostos publicamente e inseguros. Eles comumente dependem de ataques de força bruta ou dicionário para quebrar credenciais fracas ou reutilizadas. Uma vez dentro do sistema, os invasores fazem a preparação de suas ferramentas para varredura de rede, escalonamento de privilégio, desativação de software de segurança, despejo de credenciais, e, por fim, implantam o criptografador.

Após o estágio inicial de preparação, os invasores prosseguem com a descoberta, evasão de defesa, escalonamento de privilégios e movimento lateral, embora as etapas nem sempre ocorram em uma ordem específica. Em alguns incidentes, os invasores desistem após suas ferramentas serem detectadas pela solução de segurança. Mas, às vezes, eles mostram um esforço adicional para contornar a solução de segurança usando amostras empacotadas com VMProtect das mesmas ferramentas ou desativando a solução de segurança, seja tentando desinstalá-la manualmente ou usando ferramentas de hacking. Se, nesse ponto, eles também falham, então desistem e deixam a vítima.

A cadeia de execução observada usada pelos operadores do Makop em seus ataques recentes é ilustrada no diagrama abaixo.

Caixa de ferramentas do Makop

A ferramenta do Makop é mais frequentemente deixada em compartilhamentos RDP montados na rede (como “\\tsclient\”) ou no diretório Música do usuário. Embora em alguns casos os invasores também tenham usado o diretório Downloads, área de trabalho, Documentos ou na raiz da unidade C:. Frequentemente, as subpastas tinham nomes como “Bug” ou “Exp.” O próprio binário do criptografador normalmente usa um dos seguintes nomes de arquivo: bug_osn.exe, bug_hand.exe, 1bugbug.exe, bugbug.exe, taskmgr.exe, mc_osn.exe, mc_hand.exe e variantes desses nomes com um ponto como prefixo (por exemplo, “.taskmgr.exe”).

Acesso inicial

Os operadores do Makop são conhecidos por explorar credenciais RDP fracas para acessar o ambiente das vítimas. O RDP é um método preferido por cibercriminosos para comprometer organizações porque muitas dessas organizações ainda usam credenciais fracas e não têm autenticação multifator (MFA), tornando-as suscetíveis a ataques de força bruta, uma das táticas comuns de grupos de ransomware.

Durante nossa investigação, identificamos especificamente o uso do NLBrute. É uma ferramenta de hacking antiga que estava sendo vendida em fóruns de cibercrime desde 2016. Pouco tempo após seu lançamento, uma versão com crack do NLBrute apareceu, o que fez com que se tornasse amplamente utilizada por cibercriminosos.

O NLBrute requer informações como uma lista de endereços IP de destino que têm RDP exposto (geralmente na porta padrão 3389, embora isso possa ser personalizado), juntamente com listas de nomes de usuário e senhas conhecidas para serem usadas em ataques de força bruta, como ataques de dicionário ou pulverização de senhas. Embora a exploração de RDP não seja a intrusão mais sofisticada, ainda é uma das técnicas mais eficazes que possibilitam ataques de ransomware. Uma vez que os operadores do Makop conseguem acessar com sucesso por meio do RDP, eles podem começar a se mover lateralmente pela infraestrutura da organização e maximizar seu impacto.

Varredura de rede e movimento lateral

Para descoberta e movimento lateral, várias ferramentas apareceram em nossa telemetria. O NetScan foi usado com mais frequência, com o Advanced IP Scanner servindo como alternativa em outros casos.

Os agentes de ameaça combinaram essas ferramentas com o Advanced Port Scanner e o Masscan para ferramentas de varredura de portas. Essas ferramentas são comumente usadas pelos agentes de ameaça para enumerar a rede e a infraestrutura e localizar hosts e serviços de alto valor para dar suporte às atividades de movimento lateral. Não apenas essas ferramentas são altamente eficazes, mas também podem se misturar com a atividade legítima de administração.

Evasão de Defesa

Vários matadores de AV foram vistos sendo usados pelos operadores, incluindo ferramentas como Defender Control e Disable Defender para desativar o Windows Defender. Ambas as ferramentas são ferramentas leves e eficazes para desativar temporariamente os recursos do Microsoft Defender.

As técnicas BYOVD também são aproveitadas usando drivers vulneráveis, como hlpdrv.sys e ThrottleStop.sys. ThrottleStop.sys é um driver legítimo e assinado desenvolvido pela TechPowerUp para o aplicativo ThrottleStop, uma ferramenta projetada para monitoramento e correção de problemas de limitação de CPU. A vulnerabilidade do ThrottleStop (CVE-2025-7771) provém da forma como o driver lida com o acesso à memória. Os invasores podem explorar isso para ganhar controle, levando, em última análise, à desativação de ferramentas de segurança.

Outro driver vulnerável é o hlpdrv.sys. Este driver, quando registrado como um serviço, é conhecido por obter acesso ao nível do kernel e potencialmente encerrar soluções de EDR. Ambos os drivers já foram usados em campanhas de ransomware anteriores — especificamente pelos grupos MedusaLocker, Akira e Qilin.

Também descobrimos que os agentes de ameaça implantaram um software de desinstalação personalizado para remover o Quick Heal AV. Quick Heal AV é um produto de antivírus e proteção de endpoint da Quick Heal Technologies (Índia) que fornece proteção contra malware para seus clientes finais, tanto consumidores quanto empresas.

Desinstalador do Quick Heal AV

O uso de um desinstalador personalizado do Quick Heal AV está alinhado com nossos dados de telemetria, mostrando que as vítimas estavam predominantemente localizadas na Índia. Esta remoção direcionada indica que os invasores adaptaram partes de seu kit de ferramentas dependendo da região da vítima.

Por fim, eles também abusaram de aplicativos como Process Hacker e IOBitUnlocker. Ambos os aplicativos são legítimos, mas são abusados por agentes de ameaça para encerrar processos e excluir programas facilmente.

Ampliação de privilégios

Múltiplas vulnerabilidades de escalonamento de privilégios locais (LPE) que vão desde divulgações antigas até as mais recentes foram exploradas.

As vulnerabilidades abusadas nesses casos exploram componentes do Windows, como BITS, Win32k, drivers KS/SMB, instaladores do Windows, IOCTL de fornecedores, etc. Os operadores do Makop usaram essas vulnerabilidades específicas, pois todas se concentravam em atingir a mesma plataforma, muitas têm PoCs disponíveis publicamente que tornam a transformação em arma direta, e elas concedem privilégios de sistema de forma confiável, que é exatamente o que o ransomware precisa para maximizar seu impacto. A gama de CVEs exploradas também mostra que o grupo mantém múltiplas explorações LPE em seu kit de ferramentas às quais recorrer, caso uma delas falhe. Em nossa telemetria, as vulnerabilidades CVE-2017-0213, CVE-2018-8639, CVE-2021-41379 e CVE-2016-0099 estavam entre as mais frequentemente usadas pelos invasores, indicando que essas vulnerabilidades são confiáveis e eficazes nos ataques.

Acesso a credenciais

Os invasores usam ferramentas de despejo de credenciais e força bruta para coletar dados sensíveis. Eles dependem de ferramentas como Mimikatz, LaZagne e NetPass para extrair senhas salvas, credenciais em cache e tokens de autenticação. Também utilizam utilitários de força bruta como CrackAccount e AccountRestore para invadir contas adicionais. As credenciais roubadas permitem movimento lateral e dão aos invasores acesso a mais sistemas na infraestrutura da vítima, o que aumenta o impacto do ransomware. Muitos grupos de ransomware seguem o mesmo padrão, o que destaca a eficácia dessas ferramentas para alcançar os objetivos dos invasores.

Entre as ferramentas de despejo de credenciais, o Mimikatz é a mais amplamente utilizada. Esta ferramenta de pós-exploração extrai credenciais diretamente da memória do Windows, incluindo senhas em texto simples, hashes NTLM, tickets Kerberos e outras informações confidenciais gerenciadas pela Autoridade de Segurança Local (LSA).

Enquanto isso, o LaZagne complementa o Mimikatz, concentrando-se em credenciais armazenadas localmente em vários aplicativos. Esta ferramenta de código aberto dá suporte a navegadores, perfis de Wi-Fi, clientes de email, bancos de dados e armazenamentos de credenciais do Windows.

A recuperação de senha de rede (NetPass) tem como alvo credenciais relacionadas à rede, recuperando senhas para unidades mapeadas, conexões VPN, sessões de área de trabalho remota e outros recursos de rede do Windows. Isso permite que invasores obtenham acesso rápido às senhas salvas pelo sistema operacional.

Por fim, outras ferramentas de força bruta, como o AccountRestore, funcionam de maneira diferente em comparação com os extratores de credenciais mencionados acima. Essas ferramentas testam várias combinações de senha para obter acesso a contas.

GuLoader

Além das ferramentas mencionadas acima, houve instâncias em que o GuLoader foi colocado no mesmo diretório que outras ferramentas e usado para propagar cargas adicionais. O uso de carregadores para implantar criptografadores de ransomware é uma tática comum entre grupos de ransomware. Grupos de ransomware como Qilin, Ransomhub, BlackBasta e Rhysida já utilizaram carregadores em campanhas anteriores, mas este parece ser o primeiro caso documentado de Makop sendo distribuído por meio de um carregador.

Uma vez que o GuLoader tenha sido instalado com sucesso no sistema, ele poderá implantar suas cargas.

Caminho do arquivo

Linha de comando

Descrição

%USERPROFILE$\Music\1\BUG\TreasureRoberts.exe

“%USERPROFILE$\Music\1\BUG\TreasureRoberts.exe”

A execução do GuLoader solta um script VBS para instalar o malware.

%WINDIR%\System32\WScript.exe

"%USERPROFILE%\Music\1\BUG\67138435cf99c.vbs”

Instalação do GuLoader

%USERPROFILE%\Music\1\BUG\.mc_fxt.exe

Ransomware Makop

%USERPROFILE%\Music\1\BUG\.mc_n1tro.exe

Ransomware Makop

%USERPROFILE%\Music\1\BUG\.mc_p1z.exe

Ransomware Makop

Países vítimas

A maior parte das organizações atacadas (55% de todos os ataques Makop) estava localizada na Índia, com números menores no Brasil e na Alemanha e incidentes isolados em outros países. Essa distribuição não significa necessariamente que o Makop tenha como destino um país específico mais do que outros, mas pode ser o resultado de mais empresas com uma postura de segurança mais fraca. Os operadores da Makop parecem agir de forma oportunista, concentrando-se em redes em que os pontos fracos reduzem o esforço necessário para a entrada inicial, o comprometimento subsequente e a criptografia.

Conclusão

As campanhas de ransomware Makop destacam a ameaça representada por invasores que exploram vulnerabilidades conhecidas e práticas de segurança fracas. Aproveitando sistemas RDP expostos juntamente com uma variedade de ferramentas disponíveis no mercado, desde scanners de rede até explorações de escalonamento de privilégios locais, os adversários demonstram uma abordagem de baixo esforço, mas altamente eficaz. A integração de técnicas, como o uso do GuLoader para propagação de cargas secundárias e a adaptação de táticas com base nas regiões de destino, enfatiza ainda mais a necessidade de as organizações adotarem medidas de segurança robustas, incluindo autenticação forte e gerenciamento regular de patches.

No geral, pontos de entrada aparentemente mundanos, como RDP não seguro, podem levar a violações significativas. As organizações em todo o mundo, especialmente aquelas com lacunas conhecidas de segurança, devem reavaliar continuamente e fortalecer suas defesas contra ransomware e outras ciberameaças.