0
0
Sophos analisa como o Maze tentou executar o ataque de três maneiras diferentes e, na terceira tentativa, se utilizou de uma versão aprimorada do truque da máquina virtual do Ragnar Locker
A Sophos publicou recentemente o relatório “Maze Attackers Adopt Ragnar Locker Virtual Machine Technique”, que mostra como invasores tentaram, de três maneiras diferentes, executar o Maze ransomware durante um único ataque, enquanto exigiam um resgate de 15 milhões de dólares. Na terceira tentativa, os operadores do Maze tentaram alavancar máquinas virtuais (VM) para espalhar o ransomware, técnica já utilizada pelo Ragnar Locker, conforme relatado pela Sophos em maio de 2020. Maze é uma das famílias de ransomware mais notórias e está ativa desde 2019, quando evoluiu a partir do ransomware ChaCha, sendo um dos primeiros a combinar criptografia de dados com roubo de informações.
Como acontecem os ataques do Maze
A investigação revelou que os invasores haviam acessado a rede pelo menos seis dias antes de sua primeira tentativa de lançar a carga útil do ransomware. Durante esse tempo, os invasores exploraram a rede, executaram ferramentas legítimas de terceiros, estabeleceram conexões e migraram dados para um serviço de armazenamento em nuvem para preparar para o lançamento do ransomware.
Ao lançar o primeiro ataque, os operadores exigiram um resgate de 15 milhões de dólares do alvo, que optou por não pagar a quantia. Quando os invasores perceberam que esse primeiro ataque havia falhado, eles lançaram uma segunda tentativa ligeiramente diferente. Esse movimento foi interceptado por ferramentas de segurança e pela equipe Sophos Managed Threat Response (MTR), que estava lidando com os esforços de resposta a incidentes. Para a terceira tentativa, os invasores usaram uma versão reconfigurada da técnica de VM do Ragnar Locker, desta vez executando o Windows 7 em vez da VM do Windows XP, e direcionados a apenas um servidor de arquivos. O ataque e a técnica do Ragnar Locker foram imediatamente reconhecidos e bloqueados.
“A cadeia de ataque descoberta pelos respondentes às ameaças da Sophos destaca a agilidade dos adversários humanos e sua capacidade de substituir e reconfigurar rapidamente as ferramentas e retornar ao ringue para outra rodada”, conta Peter Mackenzie, gerente de resposta a incidentes da Sophos. “O uso de uma técnica de máquina virtual Ragnar Locker barulhenta, com sua grande pegada e uso de CPU, pode refletir uma crescente frustração por parte dos invasores depois que as duas primeiras tentativas de criptografar dados falharam”, completa.
Como prevenir ataques cibernéticos
A Sophos recomenda que, para evitar ataques cibernéticos, especialmente os de ransomware, as equipes de segurança de TI reduzam a superfície de ataque por meio de atualizações dos sistemas de segurança em camadas baseados em nuvem, incluindo tecnologia anti-ransomware, educação dos funcionários sobre o que procurar e considerar fazer a configuração de um serviço humano de caça a ameaças para detectar pistas de que um ataque está em andamento.
“Cada organização é um alvo, e qualquer spam ou e-mail de phishing, porta RDP exposta, dispositivo de gateway vulnerável ou credenciais de acesso remoto roubadas fornecem um ponto de entrada suficiente para os cibercriminosos ganharem uma posição”, conclui Mackenzie.
FONTE: SECURITY REPORT