Uma busca comum no Bing por “ManageEngine OpManager” levou à instalação de ransomware em uma rede corporativa, após criminosos manipularem resultados de pesquisa para promover uma página falsa de download.
O ataque começou quando um usuário procurou pela ferramenta de monitoramento de rede e acessou um domínio fraudulento que imitava a página legítima do produto. O site entregava um instalador MSI adulterado, apresentado como se fosse o software verdadeiro.
A campanha usou uma técnica conhecida como envenenamento de SEO, na qual páginas maliciosas são posicionadas entre os primeiros resultados de busca. O objetivo é atingir usuários que confiam no mecanismo de pesquisa e clicam em links aparentemente relevantes.
Depois que o instalador foi executado, o sistema recebeu uma cópia legítima do OpManager como distração, enquanto componentes maliciosos eram carregados em segundo plano. Entre eles estava o BumbleBee, usado para abrir caminho para novas etapas da invasão.
Durante a invasão, os criminosos extraíram credenciais, copiaram o banco de dados do Active Directory e roubaram mais de 75 GB de informações sensíveis. Também foram obtidas credenciais ligadas ao Veeam, ampliando o risco para backups e processos de recuperação.
A operação terminou com a implantação do ransomware Akira, distribuído pela rede em cerca de 44 horas após o clique inicial. Os atacantes ainda retornaram dois dias depois para criptografar um domínio adicional, aumentando o impacto do incidente.



