Hack Alerta

Pesquisa no Bing por ManageEngine OpManager entrega ransomware Akira

Campanha de ransomware Akira explora envenenamento de SEO no Bing para distribuir malware BumbleBee e comprometer redes corporativas através de downloads falsos de ManageEngine OpManager.

Uma simples pesquisa no mecanismo de busca Bing por uma ferramenta de TI popular se transformou em um ataque de ransomware em larga escala. A campanha revela como hábitos diários de pesquisa podem se tornar uma porta de entrada direta para um comprometimento de rede devastador, explorando técnicas de envenenamento de mecanismos de busca (SEO poisoning) para redirecionar administradores de TI para downloads maliciosos disfarçados de software legítimo.

Descoberta e escopo do ataque

A campanha foi documentada por analistas do The DFIR Report em parceria com o Swisscom B2B CSIRT, com um relatório técnico publicado em 29 de junho de 2026. A infecção começou em julho de 2025, quando um usuário pesquisou no Bing por "ManageEngine OpManager", uma ferramenta de monitoramento de rede amplamente utilizada. Em vez de ser redirecionado para o site oficial, o usuário foi direcionado para um domínio semelhante convincente que servia um instalador MSI trojanizado.

O domínio malicioso, opmanager[.]pro, apareceu nos resultados de busca do Bing através de SEO poisoning. O site clonou a página de download legítima do ManageEngine e redirecionou as vítimas para download-center[.]online, onde o instalador malicioso foi entregue. O arquivo ManageEngine-OpManager.msi, ao ser executado, depositou três arquivos em uma pasta temporária: o software OpManager real como isca, um binário legítimo do Windows chamado consent.exe e o carregador BumbleBee disfarçado como msimg32.dll.

Vetor e exploração técnica

O carregador explorou a ordem de pesquisa de DLL do Windows para executar silenciosamente dentro de um processo confiável, dificultando a detecção por ferramentas de segurança padrão. O MSI carregava um certificado de assinatura de código revogado emitido para "LLC Resource+", um signatário com histórico documentado de malware ligado ao BumbleBee. O alvo do instalador do ManageEngine foi deliberado, pois administradores de TI que executam tais ferramentas geralmente possuem privilégios elevados de sistema, tornando-os alvos de alto valor para acesso inicial.

Cinco horas após a infecção, o BumbleBee depositou AdgNsy.exe, uma cópia renomeada do utilitário legítimo do Windows Address Book, que foi injetado com shellcode AdaptixC2. Isso estabeleceu um canal persistente de comando e controle para 172.96.137[.]160, a partir do qual o atacante começou a mapear a rede interna e identificar ativos-chave, incluindo controladores de domínio.

Impacto e alcance

A operação inteira, desde o primeiro clique até a implantação do ransomware, levou cerca de 44 horas. O dano foi severo. O ransomware Akira, estagiado como locker.exe, usou o Windows Management Instrumentation para excluir cópias de sombra do Volume antes de criptografar os sistemas. O ator da ameaça retornou dois dias depois para criptografar um domínio filho também, garantindo que nenhuma parte da rede fosse deixada intocada.

Os atores da ameaça trabalharam com paciência e precisão. Eles criaram contas administrativas falsas, instalaram software de acesso remoto como um serviço do Windows, derrubaram o banco de dados do Active Directory e exfiltraram mais de 75GB de dados sensíveis para um servidor na Ucrânia. Duas contas de domínio rogue, backup_DA e backup_EA, foram criadas, com backup_EA adicionada ao grupo Enterprise Admins para controle total da floresta.

Medidas de mitigação recomendadas

As organizações devem monitorar os resultados de pesquisa para impersonação de ferramentas empresariais, especialmente aquelas usadas pelas equipes de TI. Bloquear a execução de MSI de fontes não confiáveis, impor controles de ordem de carregamento de DLL e alertar sobre a criação inesperada de contas de administrador de domínio são etapas defensivas essenciais. Observar ferramentas de acesso remoto como RustDesk sendo registradas como serviços do Windows também é importante, pois foi um método de persistência crucial usado ao longo deste ataque.

Indicadores de Comprometimento (IoCs)

  • Domínio: opmanager[.]pro (SEO poisoning)
  • Domínio: download-center[.]online (Gateway de entrega)
  • Arquivo: ManageEngine-OpManager.msi (Trojanized MSI)
  • Arquivo: msimg32.dll (BumbleBee loader)
  • IP: 172.96.137[.]160 (AdaptixC2 C2)

O que os CISOs devem fazer imediatamente

Reforçar a autenticação multifator, revisar logs de acesso de administradores de TI e implementar soluções de detecção de comportamento para identificar execução de DLLs suspeitas. A segmentação de rede deve ser revisada para limitar o movimento lateral caso um endpoint seja comprometido.


Baseado em publicação original de Cyber Security News
Publicado pela Redação Hack Alerta com base em fontes externas citadas e monitoramento editorial do Hack Alerta. Para decisões técnicas, operacionais ou jurídicas, confirme sempre os detalhes na fonte original.