⚡ Não perca: notícia importante no ar! ⚡
Não deixe essa passar: clique e saiba tudo!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Os agentes de ameaças de ransomware rastreados como Velvet Tempest estão usando a técnica ClickFix e utilitários legítimos do Windows para implantar o malware DonutLoader e o backdoor CastleRAT.
Pesquisadores da empresa de inteligência contra ameaças de fraude cibernética MalBeacon observaram as ações dos hackers em um ambiente organizacional emulado durante um período de 12 dias.
Velvet Tempest, também identificado como DEV-0504, é um grupo de ameaças que está envolvido em ataques de ransomware como afiliado há pelo menos cinco anos.
O ator foi associado à implantação de algumas das cepas de ransomware mais devastadoras: Ryuk (2018-2020), REvil (2019-2022), Conti (2019-2022), BlackMatter, BlackCat/ALPHV (2021-2024), LockBit e RansomHub.
Cronograma de implantação de ransomware do Velvet TempestFonte: MalBeacon
O ataque foi observado pelo MalBeacon entre 3 e 16 de fevereiro em um ambiente de réplica de uma organização sem fins lucrativos nos EUA com mais de 3.000 endpoints e mais de 2.500 usuários.
Depois de obter acesso, os operadores do Velvet Tempest realizaram atividades práticas no teclado, incluindo reconhecimento do Active Directory, descoberta de host e criação de perfil de ambiente, além de usar um script do PowerShell para coletar credenciais armazenadas no Chrome.
O script foi hospedado em um endereço IP que os pesquisadores vincularam à preparação de ferramentas para invasões de ransomware Termite.
De acordo com os pesquisadores, o Velvet Tempest obteve acesso inicial por meio de uma campanha de malvertising que levou a uma combinação de ClickFix e CAPTCHA que instruía as vítimas a colar um comando ofuscado na caixa de diálogo Executar do Windows.
Isca ClickFix usada por Velvet TempestFonte: MalBeacon
O comando colado acionou cadeias cmd.exe aninhadas e usou o finger.exe para buscar os primeiros carregadores de malware. Uma das cargas era um arquivo disfarçado de arquivo PDF.
Nas etapas subsequentes, o Velvet Tempest usou o PowerShell para baixar e executar comandos que buscavam cargas adicionais, compilar componentes .NET via csc.exe em diretórios temporários e implantar componentes baseados em Python para persistência em C:\ProgramData.
A operação finalmente encenou o DonutLoader e recuperou o backdoor CastleRAT, um trojan de acesso remoto associado ao carregador de malware CastleLoader, conhecido por distribuir diversas famílias de RATs e ladrões de informações, como o LummaStealer.
O ransomware Cupim já reivindicou vítimas importantes, como o provedor de SaaS Blue Yonder e a gigante australiana de fertilização in vitro Genea.
Embora o Velvet Tempest seja normalmente associado a ataques de extorsão dupla, em que os sistemas das vítimas são criptografados após o roubo de dados da empresa, o relatório do MalBeacon observa que o autor da ameaça não implantou o ransomware Termite na intrusão observada.
Vários atores de ransomware adotaram a técnica CkickFix em ataques. A Sekoia relatou em abril de 2025 que a gangue de ransomware Interlock usou o método de engenharia social para violar redes corporativas.
Red Report 2026: Por que a criptografia de ransomware caiu 38%
O malware está ficando mais inteligente. O Red Report 2026 revela como novas ameaças usam matemática para detectar sandboxes e se esconder à vista de todos. Baixe nossa análise de 1,1 milhão de amostras maliciosas para descobrir as 10 principais técnicas e ver se sua pilha de segurança está cega.
Baixe o relatório
Pesquisadores da empresa de inteligência contra ameaças de fraude cibernética MalBeacon observaram as ações dos hackers em um ambiente organizacional emulado durante um período de 12 dias.
Velvet Tempest, também identificado como DEV-0504, é um grupo de ameaças que está envolvido em ataques de ransomware como afiliado há pelo menos cinco anos.
O ator foi associado à implantação de algumas das cepas de ransomware mais devastadoras: Ryuk (2018-2020), REvil (2019-2022), Conti (2019-2022), BlackMatter, BlackCat/ALPHV (2021-2024), LockBit e RansomHub.
Cronograma de implantação de ransomware do Velvet TempestFonte: MalBeacon
O ataque foi observado pelo MalBeacon entre 3 e 16 de fevereiro em um ambiente de réplica de uma organização sem fins lucrativos nos EUA com mais de 3.000 endpoints e mais de 2.500 usuários.
Depois de obter acesso, os operadores do Velvet Tempest realizaram atividades práticas no teclado, incluindo reconhecimento do Active Directory, descoberta de host e criação de perfil de ambiente, além de usar um script do PowerShell para coletar credenciais armazenadas no Chrome.
O script foi hospedado em um endereço IP que os pesquisadores vincularam à preparação de ferramentas para invasões de ransomware Termite.
De acordo com os pesquisadores, o Velvet Tempest obteve acesso inicial por meio de uma campanha de malvertising que levou a uma combinação de ClickFix e CAPTCHA que instruía as vítimas a colar um comando ofuscado na caixa de diálogo Executar do Windows.
Isca ClickFix usada por Velvet TempestFonte: MalBeacon
O comando colado acionou cadeias cmd.exe aninhadas e usou o finger.exe para buscar os primeiros carregadores de malware. Uma das cargas era um arquivo disfarçado de arquivo PDF.
Nas etapas subsequentes, o Velvet Tempest usou o PowerShell para baixar e executar comandos que buscavam cargas adicionais, compilar componentes .NET via csc.exe em diretórios temporários e implantar componentes baseados em Python para persistência em C:\ProgramData.
A operação finalmente encenou o DonutLoader e recuperou o backdoor CastleRAT, um trojan de acesso remoto associado ao carregador de malware CastleLoader, conhecido por distribuir diversas famílias de RATs e ladrões de informações, como o LummaStealer.
O ransomware Cupim já reivindicou vítimas importantes, como o provedor de SaaS Blue Yonder e a gigante australiana de fertilização in vitro Genea.
Embora o Velvet Tempest seja normalmente associado a ataques de extorsão dupla, em que os sistemas das vítimas são criptografados após o roubo de dados da empresa, o relatório do MalBeacon observa que o autor da ameaça não implantou o ransomware Termite na intrusão observada.
Vários atores de ransomware adotaram a técnica CkickFix em ataques. A Sekoia relatou em abril de 2025 que a gangue de ransomware Interlock usou o método de engenharia social para violar redes corporativas.
Red Report 2026: Por que a criptografia de ransomware caiu 38%
O malware está ficando mais inteligente. O Red Report 2026 revela como novas ameaças usam matemática para detectar sandboxes e se esconder à vista de todos. Baixe nossa análise de 1,1 milhão de amostras maliciosas para descobrir as 10 principais técnicas e ver se sua pilha de segurança está cega.
Baixe o relatório
#samirnews #samir #news #boletimtec #violações #de #ransomware #cupim #vinculadas #a #ataques #clickfix #castlerat
🚀 Mais conteúdos incríveis estão por vir, fique atento!
Postar um comentário