Operações de segurança

O que esperar quando você foi atingido pelo ransomware REvil

REvil, também conhecido como Sodinokibi, é uma oferta de ransomware-as-a-service (RaaS) convencional amplamente usada que existe desde 2019. Os clientes criminosos podem alugar o ransomware REvil de seus desenvolvedores, adicionando suas próprias ferramentas e recursos para direcionamento e implementação. Como resultado, a abordagem e o impacto de um ataque envolvendo o REvil ransomware são altamente variáveis. Isso pode tornar difícil para os defensores saber o que esperar e procurar.

As informações a seguir podem ajudar os administradores de TI a enfrentar ou proativamente preocupados com o impacto de um ataque de ransomware REvil. As descobertas são baseadas em percepções da equipe de Resposta Rápida da Sophos, que investigou vários ataques cibernéticos envolvendo REvil.

Nota do editor: este artigo faz parte de uma série de guias “O que esperar” que apresenta famílias de ransomware predominantes. Outros guias cobrem o Conti ransomware e o Avaddon ransomware.

O que fazer imediatamente: conter e neutralizar

A primeira coisa que você precisa fazer é determinar se o ataque ainda está em andamento. Se você suspeitar que sim e não tiver as ferramentas adequadas para impedi-lo, determine quais dispositivos foram impactados e isole-os imediatamente. A opção mais fácil é simplesmente desconectar-se de todas as redes. Se o dano for mais disseminado do que alguns dispositivos, considere fazer isso no nível do switch e colocar todos os segmentos de rede offline em vez de dispositivos individuais. Desligue os dispositivos apenas se não conseguir desconectar a rede.

Em segundo lugar, você precisa avaliar os danos. Quais endpoints, servidores e sistemas operacionais foram afetados, o que foi perdido? Seus backups ainda estão intactos ou o invasor os excluiu? Se estiverem intactos, faça uma cópia offline imediatamente. Além disso, quais máquinas foram protegidas? Eles serão essenciais para colocá-lo de volta no lugar.

Terceiro, você tem um plano abrangente de resposta a incidentes em vigor? Caso contrário, você precisa identificar quem deve estar envolvido no tratamento deste incidente. Serão necessários administradores de TI e gerentes seniores, mas você também pode precisar trazer especialistas de segurança externos e consultar o ciberseguro e o conselho jurídico. Você deve relatar o incidente às autoridades policiais e / ou informar as autoridades de proteção de dados? Também há a questão de quais informações você deve dar aos funcionários, muitos dos quais provavelmente encontrarão uma nota de resgate semelhante em sua área de trabalho.

Por último, mas definitivamente não menos importante: você precisará entrar em contato com essas e outras pessoas importantes, como clientes, para que saibam o que está acontecendo, mas os invasores podem estar espionando, então não use seus canais normais de comunicação. Se os invasores já estiverem na sua rede há algum tempo, provavelmente eles terão acesso ao e-mail, por exemplo.

O que fazer a seguir: investigar

Depois de ter conseguido conter e neutralizar o ataque, reserve um tempo para investigar o que aconteceu para que possa reduzir a probabilidade de acontecer novamente. Se você não se sentir confiante em fazer isso sozinho, há ajuda especializada em resposta a incidentes e caça a ameaças disponível 24 horas por dia, 7 dias por semana, de fornecedores de segurança, incluindo Sophos.

De acordo com a equipe de Resposta Rápida da Sophos, isso é o que você pode esperar da atividade de ransomware REvil / Sodinokibi em sua rede:

1. Os invasores provavelmente já estão na sua rede há alguns dias ou mesmo semanas.

O REvil ransomware é operado por adversários humanos que alugaram o malware dos desenvolvedores, adicionando suas próprias ferramentas e alvos. Eles levam tempo para preparar ataques que causam interrupção máxima, o que lhes permite cobrar os resgates multimilionários pelos quais o REvil é conhecido.

Nota: A atividade maliciosa pode começar antes que os atacantes de ransomware cheguem. Os especialistas da Sophos que investigam um recente ataque REvil encontraram um link direto entre um e-mail de phishing recebido e um ataque de resgate de milhões de dólares dois meses depois. O e-mail de phishing, que conseguiu capturar as credenciais de acesso de um funcionário, provavelmente veio de um Corretor de Acesso Inicial, que, algumas semanas depois, parece ter usado PowerSploit e Bloodhound para mover-se pela rede violada para localizar credenciais de administrador de domínio de alto valor. O corretor mais tarde vendeu essas credenciais aos adversários REvil para que eles pudessem violar a rede do alvo.

2. Os invasores podem usar uma variedade de métodos diferentes para invadir sua rede.

Os possíveis métodos de acesso inicial para REvil ransomware incluem, mas não estão limitados a, exploits contra uma vulnerabilidade conhecida, por exemplo em um firewall, phishing para credenciais de usuário por meio de e-mails de spam como mencionado acima, ataques de força bruta contra serviços voltados para a Internet como o Virtual Private Redes (VPNs), protocolo de desktop remoto exposto (RDP) e ferramentas de gerenciamento remoto de desktop, como Virtual Network Computing (VNC), e até mesmo alguns sistemas de gerenciamento baseados em nuvem.

Sites como o Shodan.io fornecem informações sobre o que um invasor pode descobrir sobre sua rede; tente usá-lo para pesquisar seus endereços IP externos.

  1. Eles terão acesso seguro às contas de administrador de domínio, bem como a outras contas de usuário.

    Os invasores geralmente comprometem várias contas durante um ataque. Seu principal objetivo é obter acesso às contas de administrador de domínio que podem ser usadas para iniciar o ransomware. No entanto, eles também têm como alvo contas de administrador específicas que têm acesso a dados confidenciais, sistemas de backup e consoles de gerenciamento de segurança.

    Os invasores REvil geralmente usam ferramentas como o Mimikatz, que pode capturar informações de um processo Microsoft LSASS.exe em execução que contém hashes de nomes de usuário / senha de usuários atualmente conectados. Às vezes, os invasores deixam isso em execução e, em seguida, deliberadamente quebram algo na máquina que eles almejaram, fazendo com que um administrador faça login para consertar. Os invasores podem então capturar as credenciais desse administrador.

    Se o Mimikatz for bloqueado por software de segurança, os invasores podem usar algo como o Microsoft Process Monitor para fazer um despejo de memória do LSASS.exe e levar esse arquivo de despejo de volta para sua máquina para extrair as informações com o Mimikatz. Com o Mimikatz, não importa o quão longas ou complexas as senhas sejam, porque isso as tira diretamente da memória.

  2. Eles terão verificado sua rede. Eles sabem quantos servidores e endpoints você possui e onde você guarda seus backups, dados críticos de negócios e aplicativos.

    Uma das primeiras coisas que os invasores farão quando entrarem em uma rede é identificar que acesso eles têm na máquina local. A próxima etapa é descobrir quais máquinas remotas existem e se elas podem acessá-las.

    Os invasores usam verificadores de rede legítimos, como “Advanced Port Scanner” e “Angry IP Scanner”, devido à sua eficácia e ao fato de que provavelmente não serão bloqueados. Esses scanners irão gerar uma lista de IPs e nomes de máquina. Isso torna mais fácil para os invasores se concentrarem na infraestrutura crítica, já que a maioria das organizações fornece nomes descritivos aos servidores, por exemplo NY-DC1 para o controlador de domínio de Nova York, ou talvez até nomes mais simples como “FileServer01,” “Backup_Server,” etc.

  3. É provável que os invasores tenham baixado e instalado backdoors que permitem que eles entrem e saiam da sua rede e instalem ferramentas adicionais.

Eles terão configurado pastas e diretórios para coletar e armazenar informações roubadas e canais para se comunicar com os invasores e para mover informações para fora de sua rede.

As backdoors vêm em uma variedade de formas. Alguns apenas se comunicam com o endereço IP dos invasores, permitindo que eles enviem e recebam comandos para a máquina.

Muitos backdoors são classificados como aplicativos legítimos. Por exemplo, os invasores podem usar ferramentas de administração remota, como RDP, para manter o acesso. Mesmo que o RDP esteja desativado por padrão, é muito fácil para um invasor com acesso de administrador à máquina reativá-lo.

Outras ferramentas comuns legítimas usadas são Screen Connect, AnyDesk, TightVNC e PC Anywhere. Isso oferece aos invasores controle direto da máquina, incluindo controle sobre o mouse / teclado e a capacidade de ver a tela.

Nota: Em um ataque REvil que a Sophos investigou, os adversários instalaram a ferramenta de acesso remoto Screen Connect em 130 dispositivos, cerca de um terço da rede, para manter o acesso caso eles fossem removidos ou bloqueados em outro lugar.

Alguns invasores usam ferramentas mais avançadas, como Cobalt Strike, uma ferramenta de teste de caneta pós-exploração. Os invasores geralmente tentam estabelecer um “farol” de ataque de cobalto. Isso permite a comunicação regular de volta com o servidor Cobalt Strike e dá aos invasores controle total da máquina. Ele também pode ser usado para implementar facilmente outros beacons em outras máquinas dentro da rede.

6. Além da criptografia de dados e interrupção de software e operações, alguns operadores REvil tentarão exfiltrar centenas de gigabytes de dados corporativos antes do evento principal de ransomware.

Os especialistas da Sophos só viram essa extorsão multimodo em cerca de metade dos ataques REvil / Sodinokibi que investigaram, mas ainda vale a pena estar ciente do risco. Os invasores geralmente ameaçam publicar dados confidenciais roubados em um “site de vazamento” para que qualquer pessoa possa fazer o download, a menos que pague o resgate.

Depois que um servidor de arquivos é identificado, os invasores costumam usar uma ferramenta chamada “Tudo”, que permite uma pesquisa muito rápida de arquivos por palavras-chave, como “conta”, “confidencial”, “número da previdência social”. Depois de identificar os dados, existem vários métodos que os invasores podem usar para roubá-los.

Por exemplo, eles podem simplesmente fazer login em um serviço de e-mail online e enviá-lo para algum lugar ou usar um provedor de armazenamento em nuvem como o DropBox. Alternativamente, eles podem instalar um cliente FTP como FileZilla ou Total Commander FTP e enviar os dados para seu servidor.

O invasor costuma automatizar a exfiltração de grandes quantidades de dados. Por exemplo, eles podem usar uma ferramenta como RClone. Esta é uma ferramenta de linha de comando que se conecta a uma ampla variedade de provedores de armazenamento em nuvem.

Em aproximadamente 75% dos ataques de ransomware REvil investigados pela Sophos que incluíram exfiltração de dados, o Mega.nz foi usado para armazenar temporariamente as informações roubadas. Mega é popular entre os atacantes porque oferece níveis extras de anonimato. Alguns comandos simples para RClone são tudo que os invasores precisam para exfiltrar diretórios inteiros para o Mega.

Alguns invasores REvil usam outros métodos, como instalar uma cópia portátil do cliente FTP FileZilla que eles usaram para fazer upload de dados para um servidor de teste fora do perímetro de rede do alvo.

  1. Eles terão tentado criptografar, excluir, redefinir ou desinstalar seus backups.

A menos que seus backups sejam armazenados offline, eles estão ao alcance dos invasores. Um “backup” que está online e disponível o tempo todo é apenas uma segunda cópia dos arquivos que aguardam para serem criptografados.

  1. Os invasores terão tentado identificar qual solução de segurança é usada na rede e se eles podem desativá-la.

Não importa o quão boa é a sua proteção, se o invasor pode desativá-la ou modificar sua política. Os atacantes REvil usaram o GMER para tentar desabilitar o software de segurança. GMER é uma ferramenta anti-rootkit que não é intrinsecamente maliciosa, embora algumas tecnologias de segurança o sinalizem como um aplicativo potencialmente indesejado (PUA).

Os especialistas da Sophos também viram os invasores do REvil ransomware reiniciando o computador no modo de segurança antes da criptografia de dados para contornar as ferramentas de proteção de endpoint.

Qualquer pessoa com direitos de administrador pode desabilitar instantaneamente as ferramentas padrão gratuitas, como o Windows Defender. A maioria dos ransomware modernos tenta fazer isso por padrão.

Os invasores também tentam encontrar e obter acesso aos consoles de gerenciamento de soluções de segurança mais avançadas para desativar toda a proteção antes de lançar o ransomware.

Os consoles de gerenciamento de segurança hospedados localmente estão especialmente em risco, pois os invasores podem acessá-los com as contas que já comprometeram.

  1. A parte mais visível do ataque – a implantação de ransomware – provavelmente ocorreu quando nenhum administrador de TI ou profissional de segurança estava online para perceber e evitar o longo processo de criptografia de arquivos, possivelmente durante a noite ou durante o fim de semana.

Observação: o processo de criptografia pode levar horas. Um endpoint criptografado do Windows terá dezenas ou centenas de milhares de arquivos criptografados no momento em que o ransomware for concluído. Para grandes servidores de arquivos, isso pode chegar à casa dos milhões. É por isso que a maioria dos ataques de ransomware direcionados são lançados no meio da noite, durante um fim de semana ou em um feriado, quando menos pessoas estão assistindo.

Até este ponto, os atacantes têm tentado se esconder, mas aqui suas táticas mudam. Eles querem que você saiba que eles estão lá e o que fizeram. Eles querem que você veja quantos dados foram perdidos e entenda que alguém fez isso de forma mal-intencionada e agora eles querem um pagamento para descriptografar os dados.

É por isso que, em quase todos os ataques de ransomware, os arquivos criptografados terão um novo nome de extensão anexado ao final do arquivo. Por exemplo, “MyReport.docx” pode se tornar “MyReport.docx.encrypted.” As notas de resgate costumam ser exibidas com destaque em vários lugares, aumentando o caos e o estresse.

  1. O ransomware terá sido implantado em todos os seus endpoints e em todos os servidores que estavam online no momento do ataque – desde que isso seja o que o invasor deseja.

O ransomware é “implantado” como um aplicativo normal; na maioria dos ataques, ele não se espalha aleatoriamente em todas as direções. Se seus servidores foram criptografados, mas não seus endpoints, é porque o invasor optou por atingir apenas seus servidores.

Os invasores implantam ransomware de várias maneiras. Uma das maneiras mais comuns que os especialistas em Sophos viram é por meio de uma combinação de scripts em lote e a ferramenta Microsoft PsExec, uma ótima ferramenta para executar comandos em máquinas remotas. Um invasor pode criar um script em lote que percorre uma lista de seus endereços IP, usando o PsExec para copiar o ransomware para cada máquina e, em seguida, executá-lo.

Embora a maioria das soluções de segurança (incluindo o Sophos) bloqueie o PsExec por padrão, os administradores geralmente autorizam seu uso na rede porque também o consideram útil – e infelizmente os invasores sabem disso.

Os invasores também podem criar ou editar um script de logon de objeto de diretiva de grupo (GPO) existente. Se você não conseguir detectar isso, o ataque poderá ser reiniciado sempre que uma máquina for inicializada e se conectar ao domínio. Isso faz parecer que o ransomware está “se espalhando” quando é apenas causado pelo GPO.

  1. O lançamento do ransomware não é o fim.

Usando os vários mecanismos de acesso que eles configuraram durante o estágio de preparação, os invasores frequentemente continuarão a monitorar a situação e até mesmo suas comunicações por email para ver como você responde. Um e-mail para o CEO informando que você ficará bem porque eles não criptografaram os backups no Servidor X poderia ser um desastre se o invasor o lesse e ainda tivesse acesso a esse servidor.

O invasor também pode esperar até que você se recupere para lançar um segundo ataque para realmente enfatizar que ele pode continuar fazendo isso até que você pague.

  1. Se os invasores estiverem procurando um meio adicional de extorsão, o tempo gasto em sua rede provavelmente terá permitido que os invasores roubem informações comerciais críticas, sensíveis e confidenciais que agora ameaçam expor publicamente.

Alguns invasores também aplicam pressões emocionais, com recursos diretos de funcionários ou afiliados de negócios e ameaças por e-mail e telefone.

A maioria dos invasores começará a publicar dados roubados em qualquer lugar de alguns dias a uma semana após o ataque principal, se nenhum contato do alvo for recebido ou se as negociações forem interrompidas. No entanto, pode levar várias semanas ou até mais antes que qualquer coisa seja publicada.

Além disso, embora os invasores possam prometer excluir suas informações se você pagar, você não tem garantias de que o farão.

O que os defensores podem fazer

Existem algumas etapas proativas que você pode seguir para aprimorar sua segurança de TI no futuro, incluindo:

  • Monitore a segurança de sua rede 24 horas por dia, 7 dias por semana e esteja ciente dos cinco primeiros indicadores que um invasor está presente para interromper os ataques de ransomware antes que eles sejam lançados
  • Desligue o protocolo de área de trabalho remota (RDP) voltado para a Internet para impedir o acesso de cibercriminosos às redes. Se precisar de acesso ao RDP, coloque-o atrás de uma VPN ou conexão de acesso à rede de confiança zero e aplique o uso de autenticação multifator (MFA)
  • Eduque os funcionários sobre o que procurar em termos de phishing e spam malicioso e introduza políticas de segurança robustas
  • Mantenha backups regulares de seus dados mais importantes e atuais em um dispositivo de armazenamento offline. A recomendação padrão para backups é seguir o método 3-2-1: 3 cópias dos dados, usando 2 sistemas diferentes, um dos quais está offline. Também teste sua capacidade de realizar uma restauração
  • Evite que invasores acessem e desabilitem sua segurança: escolha uma solução com um console de gerenciamento hospedado em nuvem com autenticação multifator ativada e administração baseada em funções para limitar os direitos de acesso
  • Lembre-se de que não existe uma solução mágica única para proteção e um modelo de segurança em camadas e de defesa em profundidade é essencial – estenda-o a todos os endpoints e servidores e garanta que eles possam compartilhar dados relacionados à segurança
  • Tenha um plano eficaz de resposta a incidentes e atualize-o conforme necessário. Se você não se sente confiante de que possui as habilidades ou recursos disponíveis para fazer isso, monitorar ameaças ou responder a incidentes de emergência, considere recorrer a especialistas externos para obter ajuda

Mais conselhos e informações técnicas relacionadas ao ransomware REvil podem ser encontrados em MTR em tempo real: Combate corpo a corpo com o Ransomware REvil perseguindo um dia de pagamento de $ 2,5 milhões e Revelação implacável do REvil: RaaS tão variável quanto os criminosos que o usam.

Conclusão

Lidar com um ataque cibernético é uma experiência estressante. Pode ser tentador eliminar a ameaça imediata e encerrar o livro sobre o incidente, mas a verdade é que, ao fazer isso, é improvável que você tenha eliminado todos os vestígios do ataque. É importante que você reserve um tempo para identificar como os invasores entraram, aprenda com os erros e faça melhorias em sua segurança. Do contrário, você corre o risco de que o mesmo adversário ou outro ataque novamente no futuro.