A operação combina exploração de servidores web expostos, webshells ASPXSpy, acesso manual via RDP e um ransomware em C++ configurado para criptografar caminhos específicos no ambiente alvo.
| Componente | Ransomware Moneybird, escrito em C++, usado em operações atribuídas ao ator Agrius contra organizações em Israel. |
| Vetor | Acesso inicial por exploração de vulnerabilidades em servidores web expostos, seguido por implantação de variantes de ASPXSpy, uso de nós de VPN públicos e sessões manuais via RDP. |
| Impacto | Criptografia direcionada de arquivos em caminhos definidos na configuração interna do malware e vazamento posterior de dados por uma entidade associada a aliases anteriores do Agrius. |
| Prioridade | Revisar servidores web expostos, procurar webshells ASPX ocultas em arquivos de texto, validar acessos RDP incomuns e aplicar contenção antes da execução do ransomware. |
| Artefatos | A amostra analisada contém o caminho PDB C:\Users\user\Desktop\moneybird\x64\Release\moneybird.pdb, usa bibliotecas como libgcrypt, libpgp-error e cryptopp, e inclui configuração embutida. |
| IoCs | Serviços legítimos de compartilhamento de arquivos ufile[.]io e easyupload[.]io foram usados para hospedar arquivos maliciosos durante a operação observada. |
| Mitigação | Priorizar correção de servidores expostos, busca por artefatos ASPXSpy, auditoria de RDP, revisão de credenciais coletadas e isolamento de hosts com sinais de preparação para criptografia. |
O ator Agrius foi observado usando o ransomware Moneybird em ataques direcionados contra organizações israelenses. A atividade descrita combina um padrão já associado ao grupo com uma nova carga de ransomware escrita em C++. O caso começou como resposta a um incidente de ransomware em uma organização de Israel e revelou uma cadeia na qual o acesso inicial foi obtido por exploração de vulnerabilidades em servidores web públicos. Depois disso, o operador implantou webshells, conduziu reconhecimento, movimentou-se lateralmente, coletou credenciais, exfiltrou dados e finalmente transferiu um arquivo compactado que continha o executável do Moneybird.
A operação é relevante porque o Agrius já havia sido associado a ataques de ransomware e wiper no Oriente Médio, com foco recorrente em instituições israelenses. O grupo também já havia usado aliases para entidades de extorsão, incluindo BlackShadow, nome ligado a incidentes anteriores. No caso do Moneybird, o nome aparece tanto na amostra quanto na nota de resgate, mas a atividade técnica mantém sobreposição com procedimentos anteriores do Agrius. Isso indica uma tentativa de renovar ferramentas e cobertura operacional sem abandonar o modo de atuação já conhecido.
O Moneybird não se comporta como uma família genérica voltada a campanhas massivas. A configuração embutida permite definir caminhos específicos de criptografia, número de threads, uso ou não de uma lista interna de extensões e chave pública codificada. Na amostra analisada, o caminho configurado era F:\User Shares, o que faz o malware ignorar a maior parte do sistema e concentrar a criptografia em um compartilhamento específico. Essa seleção reduz o ruído operacional, mas também cria oportunidades claras de detecção para equipes que monitoram acessos a compartilhamentos críticos e mudanças concentradas em diretórios de dados.
A cadeia começa em servidores web expostos à internet. A exploração de vulnerabilidades nesses ativos permitiu a implantação de variantes de ASPXSpy. As webshells foram armazenadas de forma incomum, ocultas dentro de arquivos de texto chamados de “Certificate”. Para ativar o acesso web, o operador decodificava o conteúdo desses arquivos em um arquivo ASPX separado. Esse detalhe é importante para defesa porque a presença de arquivos aparentemente textuais em diretórios web, especialmente com conteúdo codificado e relação posterior com arquivos ASPX, pode ser um indicador mais forte do que a simples busca por nomes tradicionais de webshell.
Após obter persistência via webshell, o operador usou ferramentas públicas para reconhecimento, movimentação lateral, coleta de credenciais e exfiltração. A atividade foi conduzida em grande parte com conexão manual por RDP, o que sugere operação interativa e seleção consciente de alvos dentro da rede. Parte dos payloads foi baixada por navegador a partir de serviços legítimos de compartilhamento de arquivos, com os domínios ufile[.]io e easyupload[.]io usados para hospedar arquivos maliciosos. O uso desses serviços dificulta bloqueios baseados apenas em reputação de domínio, pois a infraestrutura em si pode ter uso legítimo.
O executável do Moneybird estava armazenado dentro de um arquivo compactado. A amostra contém o caminho PDB C:\Users\user\Desktop\moneybird\x64\Release\moneybird.pdb, evidência de ambiente de compilação e do nome interno do projeto. O malware não depende de parâmetros de linha de comando para ajustar seu comportamento. Em vez disso, usa um bloco de configuração embutido, com campos que controlam atraso antes da execução, política de extensões, quantidade máxima de threads, tratamento de arquivos marcados como SYSTEM, chave pública codificada e lista de caminhos a processar.
Na criptografia, o Moneybird usa AES-256 em modo GCM, com bibliotecas identificáveis por strings internas, incluindo libgcrypt, libpgp-error e cryptopp. Cada arquivo recebe uma chave única construída a partir de um GUID obtido por CoCreateGuid, um valor pseudoaleatório baseado em tempo, bytes do conteúdo do arquivo e parte do caminho do arquivo. A estrutura de metadados é então protegida com CryptoPP ECIES usando a chave pública embutida e anexada ao arquivo final. O desenho torna a recuperação de chaves difícil sem acesso à chave privada correspondente, especialmente porque parte da entropia vem de chamadas do Windows que usam geração criptograficamente segura.
A superfície primária envolve servidores web públicos vulneráveis, ambientes Windows com suporte a ASPX, contas com possibilidade de uso interativo via RDP e compartilhamentos de arquivos acessíveis a partir dos hosts comprometidos. A amostra analisada foi configurada para atuar sobre F:\User Shares, mas a própria estrutura do malware prevê múltiplos caminhos, com espaço reservado para entradas adicionais. Se nenhum caminho for configurado, o malware pode enumerar unidades disponíveis por meio de GetLogicalDrives, o que amplia o alcance para discos locais e unidades montadas visíveis ao processo.
A lógica de seleção de arquivos também é configurável. Um campo controla se o malware consulta uma lista embutida de 194 extensões, incluindo formatos comuns de documentos, bancos de dados e certificados. Outro valor faz o ransomware ignorar essa lista e criptografar indiscriminadamente os arquivos nos caminhos alvo, exceto extensões mantidas em uma pequena lista de exclusão: exe, dll, sys, msi e lnk. Essa combinação permite que a operação seja ajustada para criptografar dados úteis sem quebrar componentes essenciais do sistema operacional ou impedir a própria continuidade da execução.
- Servidores web expostos com vulnerabilidades exploráveis e suporte a arquivos ASPX devem ser tratados como ponto de entrada provável.
- Hosts Windows com RDP habilitado, especialmente com sessões vindas de VPNs públicas, fazem parte da superfície operacional observada.
- Compartilhamentos de arquivos e unidades montadas acessíveis ao contexto comprometido são os ativos de maior impacto para a etapa de criptografia.
- Diretórios web que contenham arquivos de texto com conteúdo codificado e criação posterior de ASPX exigem revisão forense.
A detecção deve começar por logs de servidores web, criação de arquivos e telemetria de processo em diretórios publicados. O padrão mais importante não é apenas a existência de uma webshell, mas o fluxo de um arquivo de texto com aparência de certificado, conteúdo codificado e decodificação posterior para ASPX. Eventos de escrita em diretórios web, alterações recentes em arquivos com nomes benignos e requisições anormais para ASPX recém-criados devem ser correlacionados com autenticações, origem de IP e comportamento do processo do servidor web.
Em endpoint e identidade, a investigação deve procurar sessões RDP interativas inesperadas, principalmente quando associadas a endereços de VPN pública, uso manual de navegador em servidores, downloads de arquivos compactados a partir de serviços de compartilhamento e execução de binários recém-extraídos. A presença do caminho PDB do Moneybird em memória, em strings de arquivo ou em artefatos de análise pode ajudar na identificação, mas não deve ser tratada como único critério, pois amostras futuras podem remover ou alterar esse dado.
Na camada de arquivos, um comportamento defensivamente relevante é a concentração de alterações em caminhos específicos, como compartilhamentos de usuários, em vez de varredura ampla do disco. A criação rápida de múltiplos arquivos modificados, leitura de conteúdo para compor chaves, uso de threads de criptografia e anexação de metadados ao final dos arquivos são sinais que podem aparecer em EDR, logs de sistema de arquivos e soluções de monitoramento de NAS. Como o malware pode evitar extensões executáveis e bibliotecas, uma máquina ainda funcional após criptografia não descarta comprometimento.
- Criação ou modificação de arquivos ASPX após decodificação de conteúdo armazenado em arquivos de texto chamados “Certificate”.
- Sessões RDP manuais vindas de infraestrutura de VPN pública e seguidas por navegação em sites de compartilhamento de arquivos.
- Downloads de arquivos compactados a partir de
ufile[.]iooueasyupload[.]ioem servidores ou estáções administrativas. - Execução de binários em C++ com strings relacionadas a
moneybird.pdb,libgcrypt,libpgp-erroroucryptopp. - Alterações massivas em
F:\User Sharesou em outros caminhos de dados compartilhados configurados como alvo.
A resposta deve priorizar a interrupção do acesso inicial e da operação interativa. Servidores web expostos precisam passar por revisão de vulnerabilidades, correção e coleta de evidências antes de qualquer limpeza que destrua artefatos. Diretórios publicados devem ser examinados em busca de arquivos ASPX criados recentemente, arquivos de texto com conteúdo codificado e pares de arquivos que indiquem decodificação manual. Quando houver suspeita de webshell, o servidor deve ser isolado, as credenciais expostas no host devem ser consideradas comprometidas e os logs devem ser preservados para reconstrução da linha do tempo.
Em seguida, a equipe deve conter RDP e credenciais. Isso inclui revisar sessões recentes, origens de conexão, contas administrativas usadas fora de padrão, autenticações a partir de VPNs públicas e movimentação lateral entre servidores. A coleta de credenciais foi parte da cadeia observada, portanto a rotação deve cobrir contas usadas no servidor comprometido, contas de serviço com acesso a compartilhamentos e credenciais administrativas que tenham iniciado sessão no ambiente durante a janela do ataque. A troca de senha sem remoção da webshell não é suficiente, pois o operador pode restabelecer acesso.
Para reduzir impacto do Moneybird, compartilhamentos críticos devem ter controles de escrita estritos, segmentação, cópias imutáveis e alertas de alteração em massa. O fato de a amostra usar caminhos alvo torna essencial mapear quais contas conseguem escrever nesses diretórios e quais servidores têm unidades montadas. Backups devem ser testados fora do domínio afetado, com validação de restauração e verificação de que não foram criptografados ou alterados. Bloqueios de domínio para serviços de compartilhamento podem ser úteis em servidores, mas devem ser combinados com inspeção de download e política de execução, pois a infraestrutura usada pode variar.
Depois da contenção, a organização deve revisar o ciclo completo: exposição externa, exploração inicial, persistência ASPX, uso de RDP, transferência de payload, coleta de credenciais, exfiltração e criptografia. A atividade atribuída ao Agrius mostra que o ransomware pode ser usado também como cobertura para impacto e exposição pública de dados. Por isso, a investigação deve tratar criptografia e vazamento como eventos relacionados, mas comprová-los por telemetria: arquivos acessados, arquivos transferidos, destinos usados e aliases que publicaram dados. Sem essa correlação, a defesa corre o risco de corrigir apenas a etapa final e deixar lacunas no acesso inicial.
- Aplicar correções em servidores web expostos e reduzir superfície pública desnecessária.
- Isolar hosts com suspeita de
ASPXSpye preservar logs web, eventos de processo e artefatos de arquivo. - Bloquear ou restringir RDP administrativo, exigir MFA e revisar conexões originadas de VPN pública.
- Rotacionar credenciais usadas em servidores afetados, contas de serviço e contas administrativas expostas.
- Monitorar compartilhamentos de arquivos para alterações em massa e validar backups imutáveis com restauração testada.
- Criar detecções para uso de navegador em servidores, downloads de arquivos compactados e execução de binários recém-transferidos.
0 Comentários