Blog

Acompanhe os nossos conteúdos

ALERTA Prevenção contra Ransomware

A que se refere este alerta?
O mercado tem se deparado com muitas notícias de ataques cibernéticos de grandes impactos, deflagrando situações de crise na esfera corporativa. Organizações de todos os segmentos e de todos os portes têm sido vítimas, com duras consequências aos seus negócios – e muitas vezes também à sociedade.

O tipo de ataque que mais tem assolado as organizações é, como já sabido e noticiado pela mídia, o ransomware. Particularmente o ransomware Sodinokibi (também conhecido como REvil) é um dos que mais vem sendo utilizado em ataques.

Detalhes a respeito do funcionamento (e respectivos hashes) do Sodinokibi encontram-se disponíveis em:

https://www.mcafee.com/blogs/other-blogs/mcafee-labs/mcafee-atr-analyzes-sodinokibi-aka-revil-ransomware-as-a-service-what-the-code-tells-us/

Fonte: McAfee’s Advanced Threat Research (ATR)

Anatomia do ataque
De uma forma geral, o vetor inicial de ataques deste tipo tem se dado através de contas de usuários, especialmente usuários com privilégios administrativos (Domain Admin, Root, System, Backup Operator etc.). Os grupos atacantes têm usualmente se utilizado de credenciais previamente vazadas e disponíveis em repositórios como o Pastebin e na Dark Web.

A partir de tais credenciais, o atacante busca o acesso externo através de conexões VPN, shells remotas… ou mesmo o acesso direto a consoles administrativas do domínio (AD/365, por exemplo) – acessos estes que em muitas empresas tiveram de ser apressadamente abertos por conta da pandemia.

Após o acesso, o atacante busca escalar permissões no ambiente através de vulnerabilidades já conhecidas (ex.: Win32k Elevation of Privilege Vulnerability – CVE-2018-8453 – fonte: Mitre). Obtendo a sua elevação de privilégios, o mesmo tenta tomar o controle dos mais diversos sistemas, gerenciamento do endpoint protection/antivírus, bancos de dados, backups etc. Quando consegue acesso à console de gerenciamento do endpoint protection / antivírus, o atacante desabilita as funções de proteção, deixando desta forma as máquinas vulneráveis a todo e qualquer tipo de malware.

Lembrando que, uma vez o atacante possuindo credencial de acesso com elevação de privilégio, poderá eventualmente também executar extração/vazamento de dados.

O ransomware Sodinokibi tipicamente se utiliza de quatro executáveis para a infecção e criptografia das máquinas: v1.exe, v2.exe, v2c.exe e v3.exe. Tais executáveis executam um comando de download/upload da chave criptográfica para nuvem do atacante. O ransomware é normalmente distribuído por GPO e/ou por tarefas agendadas no Domain Controller.

O que verificar de imediato?
Principais indícios (suspeitas imediatas) de que seu ambiente foi comprometido e está sendo preparado para um ataque de ransomware:

  • Exceções criadas no endpoint protection/antivírus

Unidade C:\ como exceção de varredura das máquinas

Arquivos .exe como exceção – particularmente v.exe, no caso do Sodinokibi

  • Mudanças suspeitas em políticas do domínio, especialmente em GPOs e tarefas agendadas
  • Acessos administrativos externos não convencionais, especialmente à noite
  • Anomalias e mudanças suspeitas de uma forma geral

Como mitigar o risco?

  • Revisão de todas as contas com privilégios administrativos, especialmente no AD e na console de endpoint protection/antivírus
  • Revisão das políticas e tarefas agendadas
  • Mudança das senhas das contas com privilégios administrativos
  • Política de senha forte e de troca de senha periódica para todas as contas, incluindo as contas com privilégios administrativos
  • MFA (multi-factor authentication) para os acessos, especialmente para acessos externos e para as contas com privilégios administrativos
  • Regras explícitas de bloqueio para os executáveis e hashes do ransomware em questão
  • Política de backup rigorosa, com testes de restore periódicos
  • Monitoração 24×7 de mudanças em configurações de segurança do ambiente, com processo de alerta e ação tempestiva de resposta a incidentes
  • Considerar o uso de solução de detecção e resposta avançada contra ameaças – EDR (endpoint detection and response). A lista acima não é exaustiva. Diversos outros aspectos de segurança tecnológica e boas práticas de gestão de segurança da informação devem também ser, obviamente, observados.

Compartilhar:

Pesquisar