0
0
Em meio a um aumento nos ataques a organizações de saúde, famílias de malware, Kegtap, Singlemalt e Winekey estão sendo usadas para fornecer o ransomware Ryuk para sistemas já tensos.
Os nomes boozy podem soar como o tipo de coisa conjurada em uma sala comum de fraternidade, mas as famílias de malware Kegtap, Singlemalt e Winekey estão sendo usadas para obter acesso inicial à rede em ataques de ransomware potencialmente letais contra organizações de saúde em meio a uma pandemia global, disseram pesquisadores em descobertas recém-divulgadas.
O tiro? A disseminação desenfreada do COVID-19 colocou uma tremenda pressão sobre o sistema de saúde dos EUA. O caçador? Os cibercriminosos estão melhorando do que nunca em explorar aquela crise de vida ou morte para lucrar.
Quem poderia usar uma bebida?
Mandiant publicou um relatório esta semana expondo as táticas de assinatura dos ataques Kegtap/BEERBOT, Singlemalt/STILLBOT e Winekey/CORKBOT, que os pesquisadores disseram ter como alvo hospitais, comunidades de aposentados e centros médicos “… demonstrando um claro desrespeito pela vida humana”, acrescentou o relatório.
Os pesquisadores da Mandiant observaram que o ransomware estava sendo usado para atingir uma variedade de setores e organizações, além da saúde, e encontraram algumas semelhanças.
O Malware
E-mails de phishing, projetados para imitar funções comerciais cotidianas, como contratos, papelada pessoal ou reclamações são enviados com um link, não para uma carga de malware, mas para um documento do Google, PDF ou algum outro documento que contenha o link em linha para o malware.
“Esconder a carga final atrás de vários links é uma maneira simples, mas eficaz de contornar algumas tecnologias de filtragem de e-mails”, disse o relatório. “Várias tecnologias têm a capacidade de seguir links em um e-mail para tentar identificar malware ou domínios maliciosos; no entanto, o número de links seguidos pode variar. Além disso, a incorporação de links dentro de um documento PDF dificulta ainda mais a detecção automatizada e o seguimento de links.”
Kegtap, Singlemalt e Winekey (também conhecidas como variantes bazar) agem como carregadores de primeiro estágio, que estabelecem uma base em um dispositivo antes de buscar malware para o próximo estágio do ataque.
Neste caso, os criminosos os usam para baixar estruturas comuns de teste de penetração como Cobalt Strike, Beacon e/ou Powertrick para estabelecer uma presença. Após o compromisso inicial, o Cobalt Strike ajuda a manter a presença do malware após a reinicialização, disse o relatório, e o Beacon é o backdoor mais frequentemente observado nesses ataques.
Cobalt Strike, PowerShell Empire, Powersploit e Medasploit são um grupo de ferramentas de uso duplo usadas tanto para tarefas legítimas quanto para nefastas, de acordo com o pesquisador da Cisco Ben Nahorney. Essas ferramentas de teste de caneta visam ajudar os profissionais de segurança a identificar fraquezas em suas defesas de rede, mas em mãos erradas eles podem sobrecarregar os ataques.
O Beacon também foi usado para implantar “o cmdlet Register-MaliciousWmiEvent do PowerLurk para registrar eventos WMI usados para matar processos relacionados a ferramentas de segurança e utilitários, incluindo Task Manager, WireShark, TCPView, ProcDump, Process Explorer, Process Monitor, NetStat, PSLoggedOn, LogonSessions, Process Hacker, Autoruns, AutorunsSC, RegEdit e RegShot”, diz o relatório.
O malware então define a escalada de privilégios , na maioria das vezes com credenciais válidas,de acordo com o relatório, que são obtidas através de “cópias exportadas do banco de dados e sistema do Active Directory ntds.dit e do sistema, e colmeias de registro de segurança de um Controlador de Domínio”.
Beacon, juntamente com ferramentas disponíveis publicamente como Bloodhound, Sharphound ou ADfind, é então implantado para reconhecimento, acrescentaram os pesquisadores, o que permitiu que os atores se movessem lateralmente para expandir sua pegada através da rede comprometida.
O Payload ransomware
O principal objetivo da missão, de acordo com o relatório, é entregar uma carga ryuk.
“Há evidências que sugerem que o ransomware Ryuk provavelmente foi implantado via PsExec, mas outros scripts ou artefatos relacionados ao processo de distribuição não estavam disponíveis para análise forense”, continuou o relatório.
Essa parceria entre os desenvolvedores por trás de Kegtap, Singlemalt e Winekey com o grupo por trás de Ryuk, torna este grupo particularmente notável. Ryuk é operado por um ator do Leste Europeu chamado UNC1878 de acordo com Mandiant, e continua a ser uma ameaça prolífica contra organizações de saúde — ataques que Charles Carmakal, vice-presidente sênior e CTO de Mandiant diz representar perigos sem precedentes para os EUA.
Ameaça ryuk da UNC1878
Ryuk, da UNC1878, foi ligado a ransomware espalhado por uma organização de saúde do governo canadense e apenas esta semana foi usado em ataques de ransomware contra vários sistemas de saúde, incluindo Klamath Falls, Sky Lakes Medical Center, com sede em Minério, e St. Lawrence Health System, com sede em Nova York.
Em setembro, a Universal Health Services, uma operadora hospitalar nacional, foi atingida por um ataque de ransomware suspeito de ter sido Ryuk.
“O UNC1878 é um dos atores de ameaças mais descarados, sem coração e disruptivos que observei ao longo da minha carreira, disse Carmakal ao Threatpost.
“Os ataques de ransomware em nosso sistema de saúde podem ser a ameaça de segurança cibernética mais perigosa que já vimos nos Estados Unidos”, continuou Carmakal. “Vários hospitais já foram significativamente afetados pelo ransomware Ryuk e suas redes foram retiradas offline. À medida que a capacidade hospitalar se torna mais tensa pelo COVID-19, o perigo representado por este ator só aumentará.”
Kegtap, Singlemalt e Winekey também chamaram a atenção do Comando Cibernético dos EUA, que tuitou o relatório mandiant com o comentário: “Os setores público e privado estão unidos contra o ransomware, especialmente aqueles atores que visam instalações médicas durante uma pandemia”.
Parar ataques de ransomware em saúde
A chave para parar esses ataques, de acordo com o relatório Mandiant, é se mover rapidamente para endurecer as contas de serviço, impedir o uso de contas privilegiadas para o movimento lateral, bloquear o serviço de internet para servidores sempre que possível, bloquear domínios recém-registrados usando arquivos DNS ou proxies web, e atualizar e instalar patches para Windows, além da rede (incluindo o Zerologon, que foi observado nos ataques).
“A onda de campanhas de malware em organizações de saúde é um dos ataques mais insidiosos que podem ser desencadeados por atores mal-intencionados – especialmente durante uma pandemia”, disse Jeff Horne, CSO da Order, ao Threatpost por e-mail. “Essas organizações são especialmente suscetíveis porque muitos de seus dispositivos de missão crítica e conectados à Internet executam sistemas operacionais vulneráveis que não podem ser corrigidos. Existem cerca de 650 milhões de dispositivos IoT/IoMT operando no setor de saúde neste momento, e 82% das organizações de saúde tiveram seus dispositivos IoT/IoMT atacados.”
Horne acrescenta que esses sistemas de saúde estão enfrentando um adversário altamente profissional e bem equipado e precisam adaptar uma postura adequada para defender seus sistemas.
“Esses grupos ‘ransomware-as-a-service’ são executados por desenvolvedores sofisticados e maliciosos que operam como uma empresa criminosa com serviços modernos e modernos focados no cliente, suporte on-line, call centers e processadores de pagamento — fazendo uma quantidade considerável de dinheiro no processo”, acrescentou Horne. “Isso não pode ser apenas abordado com software antivírus — são operadores criminais focados, motivados e experientes que estão mirando organizações de saúde vulneráveis, explorando vulnerabilidades, ganhando uma posição dentro de suas redes e mantendo seus dados importantes como reféns.”
Hackers Colocam Bullseye em Saúde: Em 18 de novembro às 14:00 EDT descobrir por que os hospitais estão sendo martelados por ataques de ransomware em 2020. Salve seu lugar para este webinar GRATUITO sobre prioridades de segurança cibernética em saúde e ouça as principais vozes de segurança sobre como a segurança de dados, ransomware e patches precisam ser uma prioridade para todos os setores e por quê. Junte-se a nós Wed., 18 de novembro, 14-3 pm EDT para este webinar AO VIVO,de engajamento limitado.
FONTE: THREATPOST