unc2716 - RunkIntel

# UNC2716 > [!medium] Broker de acesso inicial com vínculos ao ecossistema Conti > UNC2716, também conhecido como EXOTIC LILY, é um grupo cibercriminoso financeiramente motivado que operou como Initial Access Broker (IAB) especializado, comprometendo organizações em larga escala via spear-phishing e revendendo o acesso a operadores de ransomware como o Conti. O Google TAG documentou o grupo em março de 2022, revelando operações com até 5.000 e-mails de phishing por dia direcionados a mais de 650 organizações globais. > [!latam] Relevância para o Brasil e América Latina > O UNC2716 não possui histórico documentado de operações no Brasil ou na LATAM, e está provavelmente inativo desde 2022. Sua relevância para o contexto brasileiro é principalmente educacional: o modelo IAB que o grupo exemplificou — broker de acesso vendendo para operadores de ransomware — continua sendo replicado por outros grupos ativos que afetam organizações brasileiras, como afiliados do LockBit e do ALPHV/BlackCat. ## Visão Geral O **UNC2716**, operacionalmente também conhecido como **EXOTIC LILY**, é um grupo cibercriminoso rastreado pela **Mandiant** (UNC2716) e pelo **Google Threat Analysis Group** (EXOTIC LILY). O grupo atuou como **Initial Access Broker (IAB)** especializado no ecossistema de Ransomware-as-a-Service (RaaS): sua função era comprometer organizações e vender o acesso obtido a grupos de ransomware — principalmente o **Conti** (operado pelo UNC1878/Wizard Spider) e o **Diavol** — que posteriormente executavam as etapas de movimento lateral, exfiltração de dados e criptografia. Primeiro observado em **setembro de 2021**, o EXOTIC LILY operou em escala industrial: em seu pico, o grupo enviava até **5.000 e-mails de phishing por dia** direcionados a mais de **650 organizações** globalmente. A segmentação inicial foi focada em **TI, cibersegurança e saúde**, mas rapidamente se expandiu para práticamente todos os setores industriais. A métodologia do grupo combinou precisão com escala: e-mails altamente personalizados com propostas comerciais falsas, pesquisa de alvos baseada em perfis do LinkedIn e sites corporativos, e exploração de vulnerabilidades zero-day — como o CVE-2021-40444 (Microsoft MSHTML) — antes de migrar para o uso de imagens ISO contendo BazarLoader (vinculado à infraestrutura do Conti). O Google TAG, em março de 2022, descreveu a relação entre EXOTIC LILY e o Conti como próxima mas distinta: o EXOTIC LILY operava como entidade independente, especializando-se no comprometimento inicial e repassando o acesso ao Conti para as etapas subsequentes do ataque. Essa divisão de trabalho reflete a maturidade do ecossistema criminoso RaaS. O grupo aparenta estar **inativo desde 2022**, possívelmente em razão do vazamento de dados internos do Conti em fevereiro-março de 2022 — que expôs a infraestrutura, os membros e os afiliados do grupo — e da subsequente dissolução do Conti como operação organizada. Para o Brasil e a América Latina, o UNC2716 não tem histórico documentado de operações direcionadas à região. O foco foi principalmente organizações norte-americanas e europeias. ## TTPs Principais | Tática | Técnica | ID MITRE | Descrição | |--------|---------|----------|-----------| | Acesso Inicial | Spearphishing Attachment | T1566.001 | E-mails de proposta comercial com anexos maliciosos | | Acesso Inicial | Exploit Public-Facing App | T1190 | CVE-2021-40444 (MSHTML zero-day) | | Execução | Malicious File | T1204.002 | Usuário executa arquivo ISO com BazarLoader | | Execução | Visual Basic | T1059.005 | Scripts VBS em documentos maliciosos | | Evasão | Obfuscated Files | T1027 | Obfuscação de payloads em imagens ISO | | Reconhecimento | OSINT de Alvos | T1593 | Pesquisa de LinkedIn e sites corporativos antes do envio | | Impacto | Venda de Acesso | — | Acesso vendido a operadores Conti/Diavol | ## Attack Flow ```mermaid graph TB A["🔍 Reconhecimento OSINT LinkedIn + site corporativo Perfil detalhado do alvo"] --> B["📧 Spear-phishing Proposta comercial falsa 5.000 e-mails por dia"] B --> C["💥 Exploração CVE-2021-40444 MSHTML ou ISO com BazarLoader"] C --> D["🔧 BazarLoader Instalação do implant Vinculado ao ecossistema Conti"] D --> E["💰 Venda de Acesso Acesso repassado ao Conti ou operadores Diavol"] E --> F["🔒 Ransomware (downstream) Movimento lateral + exfil Criptografia pelo Conti"] classDef recon fill:#3498db,color:#ecf0f1 classDef phish fill:#e74c3c,color:#ecf0f1 classDef exploit fill:#e67e22,color:#ecf0f1 classDef loader fill:#9b59b6,color:#ecf0f1 classDef sale fill:#2c3e50,color:#ecf0f1 classDef ransom fill:#e74c3c,color:#ecf0f1 class A recon class B phish class C exploit class D loader class E sale class F ransom ``` ## Campanhas Notáveis ### Campanha Global IAB (Setembro 2021 - Meados 2022) A principal campanha documentada do UNC2716/EXOTIC LILY foi sua operação como IAB em larga escala entre setembro de 2021 e meados de 2022. O Google TAG documentou campanhas enviando milhares de e-mails diários para organizações em tecnologia, saúde, financeiro e governo. O grupo demonstrou sofisticação ao personalizar cada abordagem — utilizando informações reais sobre o alvo coletadas via LinkedIn e sites corporativos para criar propostas comerciais convincentes. ### Exploração do CVE-2021-40444 (Setembro 2021) Em setembro de 2021, coincidindo com a divulgação pública do zero-day MSHTML (CVE-2021-40444), o grupo rapidamente incorporou a vulnerabilidade em seus ataques. Os documentos maliciosos entregues via phishing exploravam a vulnerabilidade para execução de código sem interação adicional do usuário, aumentando significativamente a taxa de comprometimento inicial. ### Transição para ISO + BazarLoader Após a descoberta e patching do CVE-2021-40444, o grupo adaptou sua TTPs migrando para arquivos ISO contendo payloads BazarLoader — uma ferramenta associada ao grupo Conti/Wizard Spider. Essa transição evidenciou a estreita relação operacional entre o EXOTIC LILY e o ecossistema Conti. ### Dissolução Associada ao Vazamento Conti (2022) O vazamento de dados internos do Conti em fevereiro-março de 2022 — incluindo mensagens internas, código-fonte e lista de afiliados — provavelmente expôs a relação do EXOTIC LILY com o grupo e precipitou o encerramento das operações. O grupo não possui atividade documentada após meados de 2022. ## Malware Utilizado | Malware | Tipo | Notas | |---------|------|-------| | [[bazarloader\|BazarLoader]] | Loader | Vinculado ao ecossistema Conti/Wizard Spider | ## CVEs Explorados | CVE | Produto | Impacto | Notas | |-----|---------|---------|-------| | [[cve-2021-40444\|CVE-2021-40444]] | Microsoft MSHTML | RCE | Zero-day explorado em setembro 2021; rapidamente patched | ## Detecção e Defesa **Indicadores comportamentais a monitorar:** - E-mails de proposta comercial não solicitados com documentos Office ou arquivos ISO em anexo - Execução de BazarLoader em sistemas Windows (processo msedge.exe ou svchost.exe com comportamento anômalo) - Montagem de imagens ISO em sistemas de usuários não relacionada a software legítimo - Comúnicações de saída para infraestrutura de C2 do BazarLoader (domínios .bazar, Emercoin DNS) **Mitigações recomendadas (histórico, para referência):** - Desabilitar a abertura automática de arquivos ISO pelo Windows Explorer - Aplicar patch do CVE-2021-40444 imediatamente (disponível desde setembro de 2021) - Implementar sandbox de e-mail para detonação de anexos antes da entrega ao usuário ([[m1021-restrict-web-based-content|M1021]]) - Bloquear execução de scripts VBS e JScript em endpoints via AppLocker ou Windows Defender Application Control - Treinar usuários para identificar propostas comerciais não solicitadas como vetor de phishing ## Contexto no Ecossistema RaaS O UNC2716/EXOTIC LILY é um exemplo representativo da especialização dentro do ecossistema criminoso moderno de Ransomware-as-a-Service: | Papel | Ator | Responsabilidade | |-------|------|-----------------| | IAB (Initial Access Broker) | **UNC2716 / EXOTIC LILY** | Compromete organizações, vende acesso | | Operador RaaS | Conti / Wizard Spider | Infra, suporte, criptografador | | Afiliado de Ransomware | Múltiplos | Movimento lateral, exfil, ransom | Essa divisão de trabalho permite que cada componente se especialize e escale independentemente, aumentando a eficiência do ecossistema criminoso como um todo. ## Relevância LATAM O UNC2716 não possui histórico documentado de operações no Brasil ou na América Latina. O grupo focou principalmente em organizações nos EUA e Europa durante seu período ativo (2021-2022). Com a provável dissolução do grupo após o vazamento do Conti em 2022, o risco direto é mínimo. Contudo, o modelo operacional do UNC2716 — IAB especializado vendendo acesso para ransomware — é relevante como referência para entender o ecossistema criminoso que afeta organizações brasileiras. Grupos similares (outros IABs que vendem acesso a operadores como [[lockbit-ransomware|LockBit]] e [[alphv-ransomware|ALPHV/BlackCat]]) continuam ativos e representam ameaça real para o mercado brasileiro. ## Referências - [Google TAG: EXOTIC LILY Exposing IAB Ties to Conti](https://blog.google/threat-analysis-group/exposing-initial-access-broker-ties-conti/) - [TechCrunch: Google EXOTIC LILY Conti Ransomware](https://techcrunch.com/2022/03/17/google-exotic-lily-conti-ransomware/) - [Security Affairs: EXOTIC LILY Access Broker](https://securityaffairs.com/129216/cyber-crime/exotic-lily-access-broker.html) - [Malwarebytes: Meet EXOTIC LILY](https://www.malwarebytes.com/blog/news/2022/03/meet-exotic-lily-access-broker-for-ransomware-and-other-malware-peddlers) - [Bitdefender: New IAB Linked to Conti](https://www.bitdefender.com/en-us/blog/hotforsecurity/new-initial-access-broker-linked-to-conti-ransomware-gang)