Esta perigosa ferramenta de hacking está agora à solta, e as consequências podem ser enormes
Um perigoso kit de ferramentas pós-exploração, usado pela primeira vez para fins de segurança cibernética, agora foi quebrado e vazado para comunidades de hackers.
O kit de ferramentas está sendo compartilhado em muitos sites diferentes, e as possíveis repercussões podem ser enormes agora que podem cair nas mãos de vários agentes de ameaças.
Isso pode ser ruim. O kit de ferramentas pós-exploração em questão, chamado Brute Ratel C4, foi inicialmente criado por Chetan Nayak. Nayak é um ex-red teamer, o que significa que seu trabalho incluía tentar violar as seguranças de uma determinada rede, que estava sendo ativamente defendida por aqueles da equipe azul. Depois, ambas as equipes discutem como foi e se há algumas falhas de segurança para melhorar.
O Brute Ratel foi criado exatamente para isso. Ele foi feito para “equipe vermelho” usar, com o objetivo final de poder executar comandos remotamente em uma rede comprometida. Isso concederia ao invasor acesso ao restante da rede de maneira mais fácil.
O Cobalt Strike é visto como uma ferramenta semelhante ao Brute Ratel, e essa ferramenta foi fortemente abusada por gangues de ransomware, e é por isso que é bastante fácil de detectar. O Brute Ratel não foi tão amplamente divulgado até agora e possui um sistema de verificação de licenciamento que manteve os hackers afastados. Nayak é capaz de revogar a licença de qualquer empresa que seja falsa ou que faça uso indevido da ferramenta.
Infelizmente, isso agora é coisa do passado, porque uma versão crackeada da ferramenta começou a circular. Ele foi carregado pela primeira vez no VirusTotal em seu estado desbloqueado, mas um grupo russo chamado Molecules conseguiu decifrá-lo e remover completamente o requisito de licenciamento. Isso significa que agora, qualquer hacker em potencial pode colocar as mãos nele se souber onde procurar.
Will Thomas, pesquisador de inteligência de ameaças cibernéticas, publicou um relatório sobre a versão crackeada da ferramenta. Ele já se espalhou para muitas comunidades de língua inglesa e russa, incluindo CryptBB, RAMP, BreachForums, Exploit[.]in, Xss[.]is e grupos de Telegram e Discord.
“Agora existem várias postagens em vários dos fóruns de crimes cibernéticos mais populosos, onde corretores de dados, desenvolvedores de malware, corretores de acesso inicial e afiliados de ransomware se encontram”, disse Thomas no relatório. Em conversa com a Bleeping Computer , Thomas disse que a ferramenta funciona e não exige mais uma chave de licença.
Thomas explicou os perigos potenciais da tecnologia, dizendo: “Um dos aspectos mais preocupantes da ferramenta BRC4 para muitos especialistas em segurança é sua capacidade de gerar shellcode que não é detectado por muitos produtos EDR e AV. Essa janela estendida de evasão de detecção pode dar aos agentes de ameaças tempo suficiente para estabelecer o acesso inicial, iniciar o movimento lateral e obter persistência em outros lugares.”
Saber que essa ferramenta poderosa está por aí, nas mãos de hackers que nunca deveriam ter acesso a ela, é definitivamente assustador. Vamos torcer para que os desenvolvedores de software antivírus possam reforçar as defesas contra Brute Ratel em breve.