Um grupo de cibercriminosos, conhecido como Crypt Ghouls, foi identificado como responsável por uma série de ataques direcionados a empresas e agências governamentais russas, utilizando ransomware com o objetivo de interromper operações e obter ganhos financeiros. Segundo a Kaspersky, o grupo emprega um conjunto de ferramentas que inclui Mimikatz, XenAllPasswordPro, PingCastle, Localtonet, resocks, AnyDesk e PsExec, entre outros. Como carga final, eles utilizam os conhecidos ransomwares LockBit 3.0 e Babuk. As vítimas desses ataques incluem agências governamentais e empresas dos setores de mineração, energia, finanças e varejo na Rússia.

Em dois casos investigados pela Kaspersky, o vetor inicial de intrusão foi identificado como o uso das credenciais de login de um prestador de serviços para se conectar aos sistemas internos via VPN. Essas conexões VPN partiram de endereços IP associados a uma rede de um provedor de hospedagem russo e à rede de um contratante, sugerindo que os atacantes tentam passar despercebidos ao explorar relacionamentos confiáveis. Acredita-se que as redes de prestadores de serviços foram comprometidas por meio de falhas de segurança não corrigidas ou serviços de VPN vulneráveis.

Os ataques terminam com a criptografia dos dados do sistema usando versões públicas do LockBit 3.0 para Windows e Babuk para Linux/ESXi, além de criptografar dados na Lixeira para impedir a recuperação dos arquivos. Uma nota de resgate é deixada, com um link contendo o ID do grupo no serviço de mensagens Session para contato futuro. Para criptografar as máquinas virtuais, os atacantes se conectam ao servidor ESXi via SSH, carregam o Babuk e iniciam o processo de criptografia. Segundo a Kaspersky, o compartilhamento de ferramentas e conhecimento entre esses grupos torna difícil identificar os responsáveis específicos por essa onda de ataques, sugerindo uma colaboração contínua entre os atores maliciosos e dificultando ainda mais a atribuição dos ataques.