# EXOTIC LILY > [!danger] Initial Access Broker - Porta de Entrada Profissionalizada para Ransomware > EXOTIC LILY é um grupo de acesso inicial (IAB - Initial Access Broker) com motivação financeira, operando em estreita parceria com o [[g0102-conti-group|Wizard Spider]] e responsável pelo deployment de ransomware [[conti|Conti]] e [[s0659-diavol|Diavol]] em vítimas globais. Documentado pelo Google TAG em março de 2022, o grupo realizava mais de **5.000 emails de phishing por dia contra 650 organizações** em seu pico de atividade em setembro-outubro de 2021. Sua diferença competitiva: reconhecimento OSINT profundo de cada alvo, criação de personas de negócio falsas convincentes e uso de serviços legítimos como WeTransfer, OneDrive e TransferNow para entrega de payloads. ## Visão Geral O **EXOTIC LILY** foi exposto pelo Google Threat Analysis Group (TAG) em março de 2022, revelando operações que vinham desde setembro de 2021. O grupo é classificado como IAB especializado - não opera o ransomware final, mas vende ou entrega acesso comprometido a operadores de ransomware como serviço. O que torna o grupo operacionalmente distinto: - **Reconhecimento profundo**: antes de qualquer phishing, o grupo pesquisa extensivamente a vítima no LinkedIn, sites corporativos e bases de dados de negócios para criar lures altamente convincentes - **Personas de negócio falsas**: o grupo criava contas de LinkedIn, perfis de empresa e identidades completas de executivos fictícios para dar credibilidade aos contatos - **Exploração de CVE-2021-40444**: uso da vulnerabilidade crítica no MSHTML do Windows para execução de código via documentos Office maliciosos - **Serviços legítimos como staging**: WeTransfer, OneDrive, TransferNow usados para hospedar payloads - dificulta bloqueio por URLs maliciosas O modelo de negócio do grupo é mercantilização do acesso: após comprometer uma organização, o acesso era provavelmente vendido ao [[g0102-conti-group|Wizard Spider]] (operador do Conti) para deployment de ransomware. Isso cria um modelo de especialização onde o IAB foca em intrusão e o RaaS operator foca em monetização. Com o desmantelamento parcial do [[conti|Conti]] em 2022, a atividade do EXOTIC LILY diminuiu, mas o modelo IAB permanece relevante como arquétipo para grupos similares. ## Attack Flow - Initial Access Broker ```mermaid graph TB A["Reconhecimento OSINT<br/>T1594 victim websites<br/>T1593.001 social media"] --> B["Personas Falsas<br/>T1585.001 social accounts<br/>T1585.002 email accounts"] B --> C["Phishing Personalizado<br/>T1566.003 via servicos web<br/>T1566.001 anexos MSHTML"] C --> D["Entrega Malware<br/>T1204.002 Bazar/Bumblebee<br/>via WeTransfer/OneDrive"] D --> E["Acesso Estabelecido<br/>IAB vende acesso<br/>a operador Conti/Diavol"] E --> F["Ransomware Deploy<br/>Conti ou Diavol<br/>double extortion"] style A fill:#1a5276,color:#fff style B fill:#c0392b,color:#fff style C fill:#e67e22,color:#fff style D fill:#8e44ad,color:#fff style E fill:#2980b9,color:#fff style F fill:#7b241c,color:#fff ``` ## Setores Alvejados pelo EXOTIC LILY ```mermaid pie title Setores nas Campanhas 2021-2022 "Tecnologia e Cibersegurança" : 30 "Saúde e Farmácia" : 25 "Financeiro" : 18 "Manufatura" : 15 "Mídia e Educação" : 12 ``` ## Campanhas e Operações | Data | Operação | Escala | Detalhe | |------|---------|--------|---------| | Set 2021 | Campanha inicial | 650+ organizações | 5.000 emails/dia em pico; múltiplos setores globais | | Out 2021 | CVE-2021-40444 exploitation | Global | Uso da vulnerabilidade MSHTML antes do patch mass deployment | | Nov 2021 | Pivot para Bumblebee | Global | Transição de BazarLoader para Bumblebee como payload principal | | Mar 2022 | Google TAG Disclosure | (pesquisa) | Operações expostas; grupo reduz visibilidade | | 2022-2023 | Redução pós-Conti | Residual | Conti desmantelado; EXOTIC LILY reduz atividade observável | ## Arsenal Técnico | Ferramenta | Tipo | Uso | |-----------|------|-----| | [[s0534-bazar\|Bazar]] (BazarLoader) | Loader/backdoor | Payload inicial de primeira fase; entregue via email de phishing | | [[s1039-bumblebee\|Bumblebee]] | Loader | Substituto do Bazar (2022+); carrega Cobalt Strike e outros stagers | | WeTransfer/OneDrive/TransferNow | Staging (legítimo) | Hospedagem de payloads em serviços legítimos para bypass de filtros | | [[cve-2021-40444\|CVE-2021-40444]] | Exploit | MSHTML RCE em documentos Office; execução sem macro | ## TTPs em Detalhe ### Reconhecimento e Preparação - Pesquisa extensiva de vítimas via LinkedIn, sites corporativos e bases de negócios ([[t1594-search-victim-owned-websites|T1594]], [[t1593-001-social-media|T1593.001]]) - Criação de contas de email e perfis LinkedIn falsos de executivos ([[t1585-001-social-media-accounts|T1585.001]], [[t1585-002-email-accounts|T1585.002]]) - Coleta de emails de contato de executivos via fontes abertas ([[t1589-002-email-addresses|T1589.002]]) - Registro de domínios com nomes similares a empresas legítimas ([[t1583-001-domains|T1583.001]]) ### Entrega de Payload - Spear-phishing via serviços web legítimos ([[t1566-003-spearphishing-via-service|T1566.003]]) - contatos via LinkedIn e plataformas B2B - Documentos maliciosos com CVE-2021-40444 ([[t1203-exploitation-for-client-execution|T1203]]) - exploração de MSHTML sem necessidade de habilitar macros - Upload de payloads em serviços legítimos ([[t1608-001-upload-malware|T1608.001]]) como WeTransfer, OneDrive, TransferNow - Uso de web services para C2 e staging ([[t1102-web-service|T1102]]) ### Modelo IAB - Acesso inicial estabelecido via [[s0534-bazar|Bazar]] ou [[s1039-bumblebee|Bumblebee]] loaders - Acesso vendido ou entregue ao [[g0102-conti-group|Wizard Spider]] para deployment de [[conti|Conti]] ou [[s0659-diavol|Diavol]] - Especialização permite escala: IAB foca em volume de comprometimentos, operador RaaS foca em monetização ## Timeline ```mermaid timeline title EXOTIC LILY - Linha do Tempo 2021-09 : Surge o grupo : 5.000 phishing/dia 2021-10 : CVE-2021-40444 exploitation : MSHTML zero-day 2022-03 : Google TAG disclosure : Operações expostas 2022-05 : Conti desmantelado : Mudança no ecossistema IAB 2023 : Atividade reduzida : Possível pivot para novos parceiros ``` ## Relevância para o Brasil e LATAM > [!danger] Modelo IAB como Ameaça Sistêmica para LATAM > O EXOTIC LILY não demonstra foco geográfico em LATAM, mas o **modelo IAB que representa é uma ameaça direta e crescente** para organizações brasileiras. Grupos IAB ao redor do mundo - incluindo possíveis operadores no underground LATAM - usam as mesmas técnicas e vendem acesso a operadores ransomware que frequentemente atacam o Brasil. O risco específico para Brasil: - **Setor de saúde**: hospitais e redes de diagnóstico são alvos primários de IABs que vendem acesso para ransomware - o perfil do EXOTIC LILY se encaixa perfeitamente em organizações como REDE D'OR, Dasa, Fleury - **Tecnologia e startups**: empresas de tecnologia com perfil público no LinkedIn são alvos naturais de reconhecimento OSINT - fundadores e executivos estão super-expostos - **Setor financeiro**: fintechs e bancos com presença digital robusta têm o perfil de exposição que atrai IABs para reconhecimento O risco sistêmico: mesmo que o EXOTIC LILY não ataque diretamente o Brasil, ele documenta e populariza um modelo que grupos locais e regionais estão adotando. O underground LATAM tem seus próprios IABs operando com técnicas similares. Medidas de defesa contra o modelo IAB: - Monitorar LinkedIn para perfis falsos de executivos da empresa - Implementar DMARC/DKIM estrito para prevenir spoofing de domínio - Treinar funcionários para verificar identidade de contatos B2B externos - Bloquear downloads de WeTransfer, Mega e similares em contexto corporativo sem aprovação ## Detecção | Indicador | Técnica de Detecção | |-----------|---------------------| | MSHTML CVE-2021-40444 - mshtml.dll spawning processo incomum | EDR: monitoramento de child processes de processos Office/MSHTML | | BazarLoader - rundll32.exe com argumentos incomuns | EDR: rundll32 com DLL de path não-sistema | | Bumblebee - processo de DLL carregado via COM hijacking | EDR: DLL loading via COM em processo de usuário | | Download de WeTransfer/OneDrive de email de negócio externo | Proxy: download de executável de serviços de file sharing | | Criação de conta de email com nome similar a executivo real | IAM/DLP: alerta para criação de email similar a email interno | | Contato de LinkedIn de empresa nova sem histórico | Awareness: treinar funcionários para verificar identidade | ## Referências - [1](https://attack.mitre.org/groups/G1011/) MITRE ATT&CK - G1011 EXOTIC LILY (2024) - [2](https://blog.google/threat-analysis-group/exposing-initial-access-broker-ties-ransomware/) Google TAG - Exposing Initial Access Broker with Ties to Ransomware (2022) - [3](https://www.mandiant.com/resources/blog/defining-cobalt-strike-components) Mandiant - Defining Cobalt Strike Components and BazarLoader (2022) - [4](https://www.proofpoint.com/us/blog/threat-insight/bumblebee-is-still-alive) Proofpoint - Bumblebee is Still Alive (2022) - [5](https://www.crowdstrike.com/blog/diavol-ransomware-connections-trickbot-group/) CrowdStrike - Diavol Ransomware Connections to TrickBot Group (2022) - [6](https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-40444) Microsoft - CVE-2021-40444 MSHTML Remote Code Execution (2021) **Atores relacionados:** [[g0102-conti-group|Wizard Spider]] · [[conti|Conti]] · [[s0659-diavol|Diavol]] **Malware e ferramentas:** [[s0534-bazar|Bazar]] · [[s1039-bumblebee|Bumblebee]] **CVEs exploradas:** [[cve-2021-40444|CVE-2021-40444 - MSHTML Remote Code Execution]] **Setores alvejados:** [[technology|Tecnologia]] · [[healthcare|Saúde]] · [[financial|Financeiro]]