ℹ️ 👨🏻‍🌾 📵 Como reduzir os riscos associados ao ransomware ransomware 🐈 🙎🏾 👮

Hoje, quando o trabalho remoto está se tornando comum e a carga de especialistas em segurança da informação, especialmente na área da saúde e em outros setores críticos, nunca foi tão alta, as atividades dos grupos de hackers que gerenciam aplicativos criptográficos não estão enfraquecendo.

Inúmeros grupos de hackers, que em vários meses penetraram em várias redes e acumularam "força", ativaram dezenas de cópias de seus aplicativos de ransomware na primeira quinzena de abril. Os ataques foram atingidos por instalações médicas, empresas de cobrança de assistência médica, fabricantes, empresas de transporte, agências governamentais e treinamento de desenvolvedores de software. Isso demonstrou que, apesar da crise global, esses grupos de hackers negligenciam o funcionamento de serviços críticos. No entanto, empresas de outras áreas também estão sendo atacadas; portanto, as organizações precisam prestar atenção especial aos sinais de comprometimento.

Duas semanas após o trabalho dos criptografadores, o número de ataques com extorsão aumentou ligeiramente. No entanto, após um estudo realizado por especialistas da Microsoft, bem como os resultados de uma investigação de outro incidente conduzido pela equipe do DART (Equipe de Detecção e Resposta da Microsoft), verificou-se que muitos casos de comprometimento que proporcionavam a possibilidade de ataques ocorreram ainda mais cedo. Usando a técnica típica de ataques usando aplicativos de ransomware controlados por humanos , os invasores comprometeram as redes de destino nos últimos meses e esperaram a oportunidade de monetizar o resultado implantando malware no momento mais apropriado.

Muitos desses ataques começaram com a pesquisa de dispositivos vulneráveis acessíveis pela Internet. Em alguns casos, com a ajuda da força bruta, os servidores RDP foram comprometidos. Uma grande variedade de ferramentas foi usada durante os ataques, mas todos usaram as mesmas técnicas típicas para ataques usando aplicativos de ransomware gerenciados por humanos: roubo de credenciais e "deslocamento lateral", após o qual os atacantes implantaram as ferramentas como bem entenderam. Como a introdução dos aplicativos de ransomware ocorre no estágio final do ataque, os defensores devem se concentrar em encontrar vestígios de invasores que roubam informações contábeis, bem como sinais de "deslocamento lateral".

Neste artigo, falaremos sobre os resultados da análise dessas campanhas usando aplicativos de ransomware.

Conteúdo:

Adicionamos vários detalhes técnicos, incluindo um guia para detectar ataques e recomendações sobre a prioridade das ações de segurança da informação.

Sistemas vulneráveis e não monitorados acessíveis pela Internet e facilitando a execução de ataques direcionados a humanos

Embora novas ferramentas de extorsão tenham sido implantadas em ataques recentes, muitos dos ataques usaram a infraestrutura remanescente das campanhas anteriores. Eles também usaram técnicas conhecidas por outros ataques usando ransomware humano.

Diferentemente dos ataques de malware enviados por email, que geralmente ocorrem muito mais rapidamente, uma hora após a penetração inicial, os ataques de abril são semelhantes aos de 2019 usando o Doppelpaymer. Em seguida, os atacantes obtiveram acesso às redes de destino com antecedência. Então eles esperaram vários meses, escolhendo o momento certo para implantar aplicativos de ransomware.

Em ataques recentes, os sistemas acessíveis pela Internet e com as seguintes desvantagens foram usados para penetrar nas redes de destino:

Remote Desktop Protocol (RDP) (MFA).
, (, Windows Server 2003 Windows Server 2008). .
-, IIS, , .
Citrix Application Delivery Controller (ADC) CVE-2019-19781.
Pulse Secure VPN CVE-2019-11510.

Para evitar esses ataques, é essencial aplicar patches de segurança a sistemas acessíveis pela Internet. Observe também: embora os especialistas da Microsoft ainda não tenham observado isso, as informações acumuladas indicam que, no final, os invasores podem tirar proveito dessas vulnerabilidades: CVE-2019-0604 , CVE-2020-0688 , CVE-2020-10189 .

Como em muitos casos de penetração, os cibercriminosos roubaram credenciais, usaram o “deslocamento lateral” usando ferramentas populares como Mimikatz e Cobalt Strike, e se engajaram em inteligência de rede e extração de dados. Os operadores de malware obtiveram acesso a contas com privilégios de administrador e, nesse caso, estavam prontos para cometer ações ainda mais destrutivas. Nas redes nas quais os invasores instalaram seu software, eles deliberadamente mantiveram sua presença em alguns pontos de extremidade, com a intenção de iniciar suas atividades novamente após o resgate ser recebido ou a reinstalação dos sistemas. Embora apenas alguns grupos de hackers tenham sido conhecidos por meio da venda de dados coletados, quase todos eles analisaram e extraíram dados durante os ataques, mesmo que ainda não tivessem anunciado ou vendido informações roubadas.

Como em todos os ataques que usam ransomware controlado por humanos, nos casos descritos, a atividade dos invasores se espalha pela rede, incluindo email, terminais, aplicativos e muito mais. Como pode até ser difícil para os especialistas se livrar completamente dos cibercriminosos em uma rede comprometida, é extremamente importante corrigir sistemas vulneráveis acessíveis pela Internet e introduzir restrições para reduzir riscos.

Empresa de extorsão heterogênea

Este capítulo descreve os diferentes tipos de ataques e famílias de ransomware, mas os ataques que discutimos seguem um padrão popular, com pequenas variações. Os ataques se desenvolveram de maneira semelhante, geralmente usando as mesmas técnicas. E a escolha de um programa de ransomware específico no final do ataque dependia quase inteiramente do gosto dos invasores.

RobbinHood Ransomware

Os operadores de ransomware RobbinHood atraíram a atenção devido ao uso de drivers vulneráveis para desativar o software de segurança nos estágios posteriores do ataque. No entanto, como em muitos ataques semelhantes, eles começaram com força bruta para o RDP em um recurso inseguro. Como resultado, os invasores obtiveram credenciais de privilégios altos, principalmente de contas de administrador local com senhas comuns ou comuns, bem como contas de serviço com privilégios de administrador de domínio. Os operadores do RobbinHood, bem como os operadores do Ryuk e outros grupos de hackers sem trança, deixam para trás novas contas locais e do Active Directory para obter acesso à rede novamente depois de remover suas ferramentas.

Carregador de inicialização Vatet

Os invasores geralmente alteram sua infraestrutura, métodos e ferramentas para evitar a notoriedade, o que poderia atrair a atenção de agências policiais ou pesquisadores no campo da segurança da informação. Freqüentemente, os hackers mantêm suas ferramentas, esperando que as empresas de segurança da informação considerem os artefatos correspondentes inativos para atrair menos atenção. O Vatet é um carregador para a estrutura Cobalt Strike, que foi usada em ataques em novembro de 2018 e apareceu novamente em eventos recentes.

Provavelmente, os operadores das carregadeiras pretendiam se especializar em hospitais, instalações médicas, fornecedores de insulina, fabricantes de equipamentos médicos e outras organizações críticas. Esses são alguns dos operadores de software de ransomware mais prolíficos relacionados a dezenas de ataques.

Com a ajuda de Vatet e Cobalt Strike, o grupo de hackers instalou vários ransomware. Recentemente, eles implantaram um aplicativo na memória que usa o ADS (Alternate Data Streams) e mostra versões simplificadas dos requisitos de recompra de famílias de aplicativos mais antigas. Os invasores obtêm acesso às redes usando a vulnerabilidade CVE-2019-19781 , endpoint bruteforce com RDP e enviando mensagens com arquivos .lnk que executam comandos maliciosos do PowerShell. Uma vez invadidos na rede, os hackers roubam credenciais, inclusive do repositório do Credential Manager, e usam o “viés lateral” até obter privilégios de administrador de domínio. De acordo com as observações, antes da implantação dos programas de ransomware, os operadores extraem dados da rede.

NetWalker Ransomware

Os operadores do NetWalker tornaram-se notórios por ataques a hospitais e instalações médicas, durante os quais enviaram cartas prometendo fornecer informações sobre o COVID-19. O programa NetWalker estava contido nas cartas como um anexo .vbs, e essa técnica atraiu a atenção da mídia. No entanto, as operadoras também comprometeram a rede usando aplicativos baseados no IIS configurados incorretamente para iniciar o programa Mimikatz e roubar credenciais. Em seguida, usando essas informações, os atacantes lançaram o PsExec e, como resultado, instalaram o NetWalker.

PonyFinal ransomware

Este programa Java é considerado uma novidade, mas os ataques que o utilizam não são incomuns. Os operadores comprometeram os sistemas da web acessíveis pela Internet e receberam credenciais privilegiadas. Para garantir a estabilidade de sua presença na rede atacada, os atacantes usam os comandos do PowerShell para iniciar a ferramenta de sistema mshta.exe e configurar uma conexão shell reversa com base na popular estrutura do PowerShell para ataques. Além disso, os hackers usaram ferramentas legítimas como o Splashtop para manter a conexão com áreas de trabalho remotas.

Maze Ransomware

Uma das primeiras campanhas de ransomware a chegar às manchetes por vender dados roubados. Maze continua a se especializar em provedores de tecnologia e serviços públicos. Este ransomware foi usado contra provedores de serviços gerenciados (MSPs) para obter acesso aos dados e redes de seus clientes.

O labirinto se espalhou pelas cartas, mas os operadores também instalaram o programa após obter acesso às redes usando vetores de ataque comuns, como força bruta do RDP. Depois de invadir a rede, os atacantes roubam credenciais, executam um "deslocamento lateral" para obter acesso a recursos e extrair dados e depois instalar o ransomware.

Durante uma recente campanha de hackers, os pesquisadores da Microsoft acompanharam como os operadores do Maze obtiveram acesso através da força bruta do RDP de uma conta de administrador local em um sistema acessível pela Internet. Após a força bruta da senha, os operadores puderam executar um "deslocamento lateral", porque as contas administrativas internas de outros pontos de extremidade usavam a mesma senha.

Tendo roubado as credenciais da conta do administrador do domínio, os hackers usaram o Cobalt Strike, o PsExec e várias outras ferramentas para fornecer todos os tipos de carga útil e obter acesso aos dados. Os invasores organizaram uma presença sem arquivos na rede usando o agendador de tarefas e os serviços que executam shells remotos baseados no PowerShell. Além disso, os hackers ativaram o Gerenciamento Remoto do Windows para manter o controle com uma conta de administrador de domínio roubada. Para enfraquecer o controle sobre a segurança das informações em preparação à instalação do ransomware, os atacantes manipularam várias configurações por meio de políticas de grupo.

Ransomware REvil

Este é provavelmente o primeiro grupo de operadores de ransomware a explorar vulnerabilidades de rede no Pulse VPN para roubar credenciais para obter acesso à rede. O REvil (ou Sodinokibi) ficou conhecido por penetrar no MSP, obtendo acesso às redes e documentos de seus clientes, bem como vendendo acesso a eles. Os atacantes continuaram fazendo isso durante a crise atual, atacando MSP e outros alvos, incluindo agências governamentais. Os ataques REvil são diferenciados pelo uso de novas vulnerabilidades, mas seus métodos são semelhantes aos de muitos outros grupos de hackers: após penetrar na rede, ferramentas como Mimikatz e PsExec são usadas para roubar credenciais, "viés lateral" e reconhecimento.

Outras famílias de ransomware

Durante o período em análise, também foi observado o uso dessas famílias de aplicativos gerenciados por pessoas:

Paraíso Costumava ser distribuído diretamente através de cartas, mas agora é usado em ataques direcionados a humanos.
RagnarLocker. Usado por um grupo que usou ativamente o RDP e o Cobalt Strike com credenciais roubadas.
MedusaLocker. Provavelmente instalado através de infecções pré-existentes no Trickbot.
Lockbit Distribuído pelos operadores que usaram a ferramenta de teste de penetração CrackMapExec disponível ao público para realizar o "deslocamento lateral".

Resposta imediata a ataques contínuos

É altamente recomendável que as organizações verifiquem imediatamente os alertas relacionados aos ataques descritos e priorizem a investigação e a recuperação do sistema. O que os defensores devem prestar atenção:

PowerShell, Cobalt Strike , « ».
, , Local Security Authority Subsystem Service (LSASS) , .
, USN — .

As empresas que usam o ATP (Advanced Threat Protection) da Microsoft Defender podem consultar o relatório de análise de ameaças para obter detalhes sobre alertas relevantes e técnicas avançadas de detecção. Quem usa o serviço Microsoft Threat Experts também pode usar notificações de ataques direcionados que incluem histórico detalhado, medidas de proteção recomendadas e dicas de recuperação.

Se sua rede foi atacada, siga imediatamente as etapas abaixo para avaliar a extensão da situação. Ao determinar o efeito desses ataques, você não deve confiar apenas em indicadores de comprometimento (IOC), já que a maioria dos programas de ransomware mencionados usa uma infraestrutura "única", seus autores frequentemente alteram suas ferramentas e sistemas, determinando os recursos de seus alvos de detecção. . Na medida do possível, os meios de detectar e minimizar a exposição devem usar técnicas baseadas em padrões comportamentais abrangentes. Você também precisa fechar as vulnerabilidades usadas pelos cibercriminosos o mais rápido possível.

Analisar pontos finais e credenciais atacados

Identifique todas as credenciais disponíveis no terminal atacado. Eles devem ser considerados acessíveis aos invasores e todas as contas associadas a eles devem ser comprometidas. Observe que os invasores não apenas podem copiar as credenciais das contas registradas em sessões interativas ou RDP, mas também as credenciais e as senhas armazenadas em cache para servir contas e tarefas agendadas, que são armazenadas na seção Registro do LSA Secrets.

Para terminais criados no Microsoft Defender ATP , use métodos avançados para identificar contas que efetuaram login nos pontos atacados. Para fazer isso, há uma consulta de busca no relatório de análise de ameaças.
Windows, , — 4624 2 10. 4 5.

Isole os pontos-chave que contêm sinais de controle e controle ou que se tornaram alvo de "deslocamento lateral". Identifique esses pontos de extremidade usando consultas de pesquisa avançadas ou outros métodos de pesquisa direta para IOCs relevantes. Isole máquinas usando o Microsoft Defender ATP ou use outras fontes de dados, como o NetFlow, para pesquisar no SIEM ou em outra ferramenta centralizada de gerenciamento de eventos. Procure sinais de "deslocamento lateral" de pontos de extremidade comprometidos conhecidos.

Feche vulnerabilidades acessíveis na Internet

Identifique os sistemas de perímetro que os invasores podem usar para obter acesso à sua rede. Você pode complementar sua análise usando a interface pública de varredura, por exemplo, shodan.io . Os hackers podem estar interessados em tais sistemas:

RDP ou desktops virtuais sem autenticação multifator.
Sistemas Citrix ADC com vulnerabilidade CVE-2019-19781.
Sistemas Pulse VPN seguros com vulnerabilidade CVE-2019-11510.
Servidores Microsoft SharePoint com vulnerabilidade CVE-2019-0604.
Servidores Microsoft Exchange com vulnerabilidade CVE-2020-0688.
Sistemas Zoho ManageEngine com vulnerabilidade CVE-2020-10189.

Para reduzir ainda mais a vulnerabilidade de uma organização, os clientes do Microsoft Defender ATP podem aproveitar os recursos de Gerenciamento de ameaças e vulnerabilidades (TVM) para identificar, priorizar e fechar vulnerabilidades na configuração incorreta. O TVM permite que profissionais e administradores de segurança de TI se livrem conjuntamente dos pontos fracos detectados.

Examine e repare dispositivos infectados por malware

Muitos hackers se infiltram nas redes por meio de programas já implementados, como o Emotet e o Trickbot. Essas famílias de ferramentas são classificadas como trojans bancários que podem fornecer qualquer carga útil, incluindo indicadores permanentes de software. Examine e elimine todas as infecções conhecidas e considere-as possíveis vetores de ataque de adversários humanos perigosos. Verifique todas as credenciais abertas, tipos adicionais de cargas úteis e sinais de "deslocamento lateral" antes de restaurar os pontos de extremidade atacados ou alterar as senhas.

Higiene das informações para proteger redes de ransomware humano

À medida que os operadores de hackers encontram mais vítimas, os defensores devem avaliar os riscos com antecedência usando todas as ferramentas disponíveis. Continue aplicando todas as soluções preventivas comprovadas - higiene de credenciais, privilégios mínimos e firewalls de host - que impedem ataques que exploram falhas de segurança e privilégios redundantes.

Aumente a resistência da sua rede à penetração, reativação de indicadores de software e "deslocamento lateral" com as seguintes medidas:

Use senhas geradas aleatoriamente para contas de administrador, por exemplo, usando o LAPS.
Aplique uma política de bloqueio de conta .
. , .
C « ». TCP- 445 , .
Microsoft Defender , . .
Office, Office 365 Windows. Microsoft Secure Score , .
, .
, -:
- .
- PsExec WMI-.
- Windows (lsass.exe).

Para obter mais dicas sobre como melhorar a proteção contra programas de ransomware controlados por humanos e criar uma proteção mais confiável contra ataques cibernéticos em geral, consulte Ataques de ransomware operados por humanos: um desastre evitável .

Proteção contra ameaças da Microsoft: proteção coordenada contra aplicativos humanos e complexos, orientados a ransomware e em grande escala

O aumento de abril no número de ataques usando ransomware mostrou que os hackers não estão preocupados com as consequências devido às interrupções em seus serviços durante a crise global.

Os ataques que usam programas de ransomware controlados por humanos representam um novo nível de ameaça, porque os invasores são versados na administração do sistema e na configuração de ferramentas de proteção, para que possam encontrar uma maneira de penetrar com o mínimo de resistência. Diante de um obstáculo, eles tentam quebrá-lo. E se não der certo, eles demonstram engenhosidade ao encontrar novas maneiras de desenvolver ataques. Portanto, ataques usando ransomware controlado por humanos são complexos e generalizados. Dois ataques idênticos não acontecem.

Proteções contra ameaças da Microsoft (MTP)fornece defesa coordenada que ajuda a bloquear toda a cadeia de ataques complexos usando ransomware humano. O MTP combina os recursos de vários serviços de segurança do Microsoft 365 para gerenciar a proteção, prevenção, detecção e resposta de terminais, email, contas e aplicativos.

Usando ferramentas integradas de inteligência, automação e integração, o MTP é capaz de bloquear ataques, eliminar a presença de intrusos e recuperar automaticamente os recursos atacados. Essa ferramenta compara e consolida alertas e alertas para ajudar os advogados a priorizar incidentes em termos de investigação e resposta. O MTP também possui recursos exclusivos de pesquisa entre domínios que ajudarão a identificar o crescimento do ataque e entender como fortalecer a defesa em cada caso.

O Microsoft Threat Protection faz parte da abordagem chip-to-cloud, que combina a proteção de hardware, sistema operacional e proteção na nuvem. Os recursos de segurança suportados pelo hardware no Windows 10, como ASLR (Random Space Layout Randomization), CFG (Control Flow Protection) e outros, aumentam a resistência da plataforma a muitas ameaças sérias, incluindo aquelas que exploram vulnerabilidades do driver do kernel. Esses recursos de segurança são perfeitamente integrados ao Microsoft Defender ATP, que fornece proteção de ponta a ponta que começa com uma forte raiz de confiança de hardware. Em computadores com um kernel seguro ( PC com núcleo protegido ), essas restrições são ativadas por padrão.

Continuamos trabalhando com nossos clientes, parceiros e a comunidade de pesquisa para rastrear ransomware orientado a pessoas e outras ferramentas sofisticadas. Em casos difíceis, os clientes podem usar o comando DART (Microsoft Detection and Response) para ajudar a investigar e recuperar.

Apêndice: Técnicas Descobertas MITRE ATT & CK

Ataques usando programas de ransomware gerenciados por humanos usam uma ampla gama de técnicas disponíveis para os atacantes após obter o controle de contas de domínio privilegiadas. Abaixo estão listadas as técnicas que foram amplamente usadas em ataques contra organizações de saúde e organizações críticas em abril de 2020.

Acesso a credenciais:

Despejo de credenciais T1003 | O uso do LaZagne, Mimikatz, LsaSecretsView e outras ferramentas de coleta de credenciais, bem como o uso das vulnerabilidades CVE-2019-11510 nos pontos de extremidade.

Presença de longo prazo:

T1084 Assinatura de evento da instrumentação de gerenciamento do Windows | Inscreva-se nos eventos WMI.
T1136 Criar conta | Crie novas contas RDP.

Gerenciamento e controle:

Porta comumente usada T1043 | Usando a porta 443.

Estude:

Detecção do proprietário / usuário do sistema T1033 | Equipes diferentes.
Descoberta da conta T1087 | Consultas LDAP e AD, bem como outros comandos.
Descoberta do sistema remoto T1018 | Pings, qwinsta e outras ferramentas e comandos.
Descoberta de confiança de domínio T1482 | Enumeração de confiança de domínio com Nltest.

Execução:

Execução de serviço T1035 | Um serviço registrado para executar os comandos CMD- (como ComSpec) e PowerShell.

"Deslocamento lateral":

Protocolo de área de trabalho remota T1076 | Use o RDP para acessar outras máquinas na rede.
Cópia remota de arquivo T1105 | Deslocamento lateral usando WMI e PsExec.

Prevenção de equipamentos de proteção:

Remoção de indicador T1070 no host | Limpando os logs de eventos usando o wevutil, excluindo o log USN usando o fsutil, removendo o espaço não utilizado nas unidades usando o cipher.exe.
T1089 Desativando ferramentas de segurança | Interromper ou invadir antivírus e outras proteções usando o ProcessHacker, além de usar drivers de software vulneráveis.

Impacto:

Parada de Serviço T1489 | Interrompa os serviços antes da criptografia.
Dados T1486 criptografados para causar impacto | Criptografia de extorsão.

Como reduzir os riscos associados ao ransomware ransomware

Sistemas vulneráveis ​​e não monitorados acessíveis pela Internet e facilitando a execução de ataques direcionados a humanos