Um grupo hacktivista conhecido como Head Mare foi associado a uma série de ataques cibernéticos que têm como alvo exclusivo organizações localizadas na Rússia e Bielorrússia. De acordo com uma análise da Kaspersky, publicada na segunda-feira, o grupo utiliza métodos atualizados para obter acesso inicial aos sistemas das vítimas, incluindo a exploração da vulnerabilidade CVE-2023-38831 no WinRAR. Essa vulnerabilidade permite que atacantes executem códigos arbitrários no sistema por meio de um arquivo especialmente preparado, facilitando a entrega e a dissimulação de cargas maliciosas.

Ativo desde 2023, o Head Mare é um dos grupos hacktivistas envolvidos nos ataques contra organizações russas no contexto do conflito entre Rússia e Ucrânia, que começou um ano antes. O grupo mantém uma presença ativa na plataforma X, onde vazou informações sensíveis e documentos internos de suas vítimas. Seus alvos incluem setores governamentais, de transporte, energia, manufatura e meio ambiente. Diferente de outros grupos hacktivistas que buscam causar “máximo dano” às empresas desses dois países, o Head Mare também criptografa dispositivos das vítimas usando o ransomware LockBit para Windows e Babuk para Linux (ESXi), exigindo um resgate para a descriptografia dos dados.

Os atacantes disfarçam suas atividades criando tarefas agendadas e valores de registro com nomes como MicrosoftUpdateCore e MicrosoftUpdateCoree, fazendo-as parecer relacionadas ao software da Microsoft. Além disso, amostras do LockBit usadas pelo grupo foram encontradas com os nomes OneDrive.exe e VLC.exe, localizadas no diretório C:\ProgramData, se passando por aplicações legítimas como OneDrive e VLC. Segundo a Kaspersky, as táticas, métodos, procedimentos e ferramentas usadas pelo grupo Head Mare são, em geral, semelhantes às de outros grupos associados a ataques contra organizações na Rússia e Bielorrússia no contexto do conflito Rússia-Ucrânia.