Sophos SecOps SOPHOS SecOps

MTR em tempo real: combate corpo a corpo com o ransomware REvil em busca de um dia de pagamento de $ 2,5 milhões

Algumas semanas atrás, uma empresa de mídia 24 horas por dia, 7 dias por semana, que movimentou atividades críticas online durante a pandemia, se viu travada em um combate ao vivo com invasores de ransomware REvil, determinados a garantir um pagamento multimilionário. O ataque falhou, mas a empresa ainda não se recuperou totalmente.

No início de junho de 2021, uma detecção de Cobalt Strike na rede de uma empresa de mídia de médio porte disparou um alerta de segurança. Cobalt Strike é um agente de acesso remoto amplamente utilizado por adversários como um precursor de ataques de ransomware.

Os invasores liberaram o ransomware algumas horas depois, às 4 da manhã, horário local. Pelas próximas quatro horas, a equipe de TI do alvo e a equipe de Resposta Rápida da Sophos travaram um combate ao vivo com os adversários humanos que orquestravam o ataque.

O ataque acabou falhando, mas não antes de os invasores criptografarem os dados em dispositivos desprotegidos, excluírem backups online e dizimarem um domínio online e indefeso.

A nota de resgate deixada em dispositivos criptografados exigia o pagamento de US $ 2,5 milhões e foi assinada pela REvil, também conhecida como Sodinokibi.

Como começou
REvil é uma oferta de ransomware como serviço, o que significa que clientes criminosos podem alugar o malware dos desenvolvedores e usar suas próprias ferramentas e recursos para direcionar e executar o ataque. O alvo para este cliente REvil em particular era uma empresa de mídia com aproximadamente 600 dispositivos de computação – 25 deles servidores – e três domínios do Active Directory, que eram essenciais para a capacidade da empresa de manter suas operações 24 horas por dia, 7 dias por semana.

A pressa para operações remotas e online
Como tantas organizações durante os primeiros estágios da pandemia COVID-19, o alvo se apressou em equipar e habilitar uma força de trabalho remota, e nem todos os dispositivos tinham o mesmo nível de proteção. A empresa também decidiu conectar-se à Internet em uma rede que antes estava sem ar. Infelizmente, essas ações voltariam para mordê-los.

Uma vez que os invasores estavam dentro da rede, eles foram direto para os dispositivos desprotegidos e outros sistemas online aos quais poderiam obter acesso, instalando suas ferramentas de ataque e usando-as para espalhar o ataque para outros dispositivos.

O desdobramento do ataque
Quando a equipe de Resposta Rápida da Sophos entrou em cena, eles descobriram que os invasores já haviam conseguido comprometer uma série de contas e conseguido mover-se livremente entre computadores desprotegidos.

“Um dos maiores desafios para a resposta a incidentes é a falta de visibilidade sobre o que está acontecendo em dispositivos desprotegidos”, disse Paul Jacobs, líder de resposta a incidentes da Sophos. “Podemos ver e bloquear ataques vindos desses dispositivos para um endpoint protegido, mas não podemos remover centralmente o intruso desses dispositivos ou ver o que eles estão fazendo”.

A equipe também analisou os aplicativos de software instalados nos dispositivos para verificar se havia algum que pudesse ser usado como parte do ataque.

“Como resultado da pandemia, não é incomum encontrar aplicativos de acesso remoto instalados nos dispositivos dos funcionários”, disse Jacobs. “Quando vimos o Screen Connect em 130 endpoints, presumimos que ele estava lá intencionalmente para dar suporte às pessoas que trabalham em casa. Acontece que a empresa não sabia nada sobre isso – os invasores instalaram o software para garantir que pudessem manter o acesso à rede e aos dispositivos comprometidos ”.

Este foi apenas um dos vários mecanismos que os invasores implementaram para manter a persistência. Os invasores também criaram sua própria conta de administrador de domínio como alternativa após roubar outro conjunto de credenciais de administrador de domínio.

Combate mão-a-mão
“À medida que o ataque se tornava mais ruidoso, os invasores sabiam que seriam detectados e bloqueados. Percebemos que eles sabiam que estávamos lá e que estavam fazendo tudo o que podiam para nos derrotar ”, disse Jacobs. “Nossos produtos de segurança têm um recurso comportamental chamado CryptoGuard que detecta e bloqueia tentativas de criptografar arquivos, mesmo se a origem for um dispositivo remoto desprotegido. Assim que começamos a ver essas detecções, sabíamos que o ransomware havia sido desencadeado e a batalha começou. ”

Os invasores tentaram repetidamente violar dispositivos protegidos e criptografar arquivos, lançando ataques de diferentes dispositivos desprotegidos que eles conseguiram comprometer.

Cada tentativa precisava ser bloqueada e investigada para garantir que nada mais estivesse acontecendo e que não houvesse mais danos – embora a essa altura a próxima tentativa de ataque já estivesse em andamento. Essa tarefa se tornou mais difícil do que o normal porque a organização precisava manter a maioria de seus servidores online para oferecer suporte aos sistemas de transmissão 24 horas por dia, 7 dias por semana.

Eventualmente, o ataque começou a desacelerar. No segundo dia, os ataques internos ainda eram detectados de forma intermitente, mas estava claro que a tentativa de ataque principal havia terminado e havia falhado.

O rescaldo
Conforme os responsáveis ​​pelo incidente e a equipe de segurança de TI da empresa faziam um balanço, eles descobriram que os danos se limitavam principalmente aos dispositivos e domínios desprotegidos. O domínio on-line anteriormente vazio foi completamente destruído e precisava ser reconstruído e os backups on-line foram excluídos, mas a empresa não foi totalmente prejudicada pelo ataque e não precisou pagar o resgate exorbitante. Apesar disso, o retorno às operações plenas tem sido um processo lento e está em andamento no momento da publicação.

As lições aprendidas
“Na maioria dos casos, quando somos chamados, o ataque já ocorreu e estamos lá para ajudar a conter, neutralizar e investigar as consequências”, disse Peter Mackenzie, gerente da Sophos Rapid Response. “Nesta ocasião estávamos presentes no desenrolar da fase final do ataque e pudemos ver em primeira mão a determinação e a crescente frustração dos atacantes, que atiraram de tudo em nós, de todas as direções que puderam.”

Os especialistas da Sophos acreditam que há duas lições importantes que os defensores podem tirar desse incidente:

  1. O primeiro é sobre gerenciamento de risco. Quando você faz mudanças em seu ambiente, por exemplo, mudando uma rede de air-gap para online como no caso deste negócio, seu nível de risco muda. Novas áreas de vulnerabilidade se abrem e as equipes de segurança de TI precisam entender e resolver isso
  2. A segunda é sobre como preservar os dados. A primeira conta comprometida neste ataque pertencia a um membro da equipe de TI. Todos os dados foram apagados e isso significava que informações valiosas, como detalhes da violação original, que poderiam ter sido usados ​​para análise forense e investigação, foram perdidas. Quanto mais informações forem mantidas intactas, mais fácil será ver o que aconteceu e garantir que não aconteça novamente

 

Recomendações

A Sophos recomenda as seguintes práticas recomendadas para ajudar na defesa contra REvil e outras famílias de ransomware e ataques cibernéticos relacionados:

  1. Monitore e responda aos alertas – Certifique-se de que as ferramentas, processos e recursos (pessoas) apropriados estejam disponíveis para monitorar, investigar e responder às ameaças vistas no ambiente. Os atacantes de ransomware muitas vezes cronometram seu ataque fora do horário de pico, nos fins de semana ou durante os feriados, supondo que poucos ou nenhum pessoal está observando
  2. Defina e aplique senhas fortes – as senhas fortes servem como uma das primeiras linhas de defesa. As senhas devem ser exclusivas ou complexas e nunca reutilizadas. Isso é mais fácil de fazer se você fornecer à equipe um gerenciador de senhas que possa armazenar suas credenciais
  3. Autenticação multifator (MFA) – até mesmo senhas fortes podem ser comprometidas. Qualquer forma de autenticação multifator é melhor do que nenhuma para proteger o acesso a recursos críticos, como e-mail, ferramentas de gerenciamento remoto e ativos de rede
  4. Bloqueie os serviços acessíveis – execute varreduras de fora da rede da sua organização e identifique e bloqueie as portas comumente usadas por VNC, RDP ou outras ferramentas de acesso remoto. Se uma máquina precisa ser alcançada usando uma ferramenta de gerenciamento remoto, coloque essa ferramenta atrás de uma VPN ou solução de acesso à rede de confiança zero que usa MFA como parte de seu login
  5. Segmentação e confiança zero – separe os servidores críticos uns dos outros e das estações de trabalho, colocando-os em VLANs separadas enquanto você trabalha em direção a um modelo de rede de confiança zero
  6. Faça backups offline de informações e aplicativos, mantenha-os atualizados e mantenha uma cópia offline
  7. Faça o inventário de seus ativos e contas – Dispositivos desprotegidos e sem patches na rede aumentam o risco e criam uma situação em que atividades maliciosas podem passar despercebidas. É vital ter um inventário atualizado de todos os computadores e dispositivos IOT conectados. Use varreduras de rede e verificações físicas para localizá-los e catalogá-los
  8. Instale proteção em camadas para bloquear invasores em tantos pontos quanto possível – e estenda essa segurança a todos os endpoints que você permite em sua rede
  9. Configuração do produto – sistemas e dispositivos subprotegidos também são vulneráveis. É importante que você garanta que as soluções de segurança sejam configuradas corretamente e que verifique e, quando necessário, atualize as políticas de segurança regularmente. Novos recursos de segurança nem sempre são ativados automaticamente
  10. Active Directory (AD) – Realize auditorias regulares em todas as contas no AD, garantindo que nenhuma tenha mais acesso do que o necessário para sua finalidade. Desative contas para funcionários que estão saindo da empresa assim que eles saem da empresa
  11. Corrija tudo – mantenha o Windows e outros softwares atualizados. Isso também significa verificar se os patches foram instalados corretamente e, em particular, se estão em vigor para sistemas críticos, como máquinas voltadas para a Internet ou controladores de domínio

Conselhos adicionais para liderança de segurança

  1. Compreenda as táticas, técnicas e procedimentos (TTPs) que os invasores podem usar e como detectar os primeiros sinais de alerta de um ataque iminente
  2. Tenha um plano de resposta a incidentes que seja continuamente revisado e atualizado para refletir as mudanças em seu ambiente de TI e operações de negócios e como elas afetam sua postura de segurança e nível de risco
  3. Recorra ao suporte externo se você não tiver os recursos ou experiência interna para monitorar a atividade na rede ou responder a um incidente. O ransomware é frequentemente liberado no final do ataque, então você precisa tanto da tecnologia anti-ransomware dedicada quanto da caça de ameaças liderada por humanos para detectar as táticas, técnicas e procedimentos reveladores que indicam que um invasor está ou tentando entrar no ambiente
  4. Se você for atingido, existem especialistas em resposta a incidentes disponíveis 24 horas por dia, 7 dias por semana, você pode ligar para conter e neutralizar o ataque

Informações técnicas sobre as táticas, técnicas e procedimentos (TTPs) usados ​​neste e em outros ataques REvil podem ser encontradas nos seguintes artigos complementares, O que esperar quando você for atingido pelo REvil Ransomware e Relentless REvil, revelado: RaaS como variável como os criminosos que o usam.

Leia artigos similares

Deixe uma resposta

Your email address will not be published.