O ransomware BlackKingdom ainda explora servidores inseguros do Exchange

Views: 107
0 0
Read Time:8 Minute, 18 Second

Faz três semanas desde que a palavra HAFNIUM chegou às notícias.

A palavra Hafnium refere-se a um cybergang que se concentra em roubar dados de praticamente qualquer um e todos que eles podem se infiltrar, em uma gama eclética de setores da indústria, e desta vez eles atingiram uma espécie de jackpot de crimes cibernéticos.

A equipe do Hafnium, ao que parece, não só sabia sobre quatro vulnerabilidades de zero-day no Microsoft Exchange, mas também sabia como explorar esses bugs de forma confiável, a fim de entrar em redes desprotegidas quase à vontade.

Os bugs do Exchange não incluíram um buraco de exeução de código remoto (RCE) para dar aos bandidos o acesso direto e imediato a um servidor comprometido, mas os bugs permitiram que os bandidos montassem RCE usando um truque conhecido como webshell.

Muito simplificado, o ataque é assim:

  • Explore os bugs do Exchange para escrever um arquivo web com armadilhas chamada webshell em um servidor vulnerável.
  • Acione a página da Web com armadilhas que hospeda o webshell para executar um comando Powershell (ou similar) para baixar mais malware, como um kit de ferramentas backdoor totalmente caracterizado.
  • Entre à vontade e, muito livremente falando, cometa qualquer crime cibernético na lista de “fazer” de hoje.

Infelizmente, como explicamos quando esta notícia vazou pela primeira vez, o nome Hafnium causou quatro vezes a confusão:

  1. Embora o Hafnium seja frequentemente escrito em ALL CAPS, não é um acrônimo, então ele não representa algo específico que você pode proteger contra e, em seguida, ficar para baixo.
  2. Embora o Hafnium se refira a um cybergang específico,as façanhas de zero-day que eles estavam usando já eram amplamente conhecidas por outros criminosos, e exemplos de trabalho logo se tornaram disponíveis online para qualquer pessoa e todos baixarem e usarem, tanto para pesquisas legítimas quanto para lançar ataques.
  3. Embora os ataques do Hafnium estivessem associados ao Microsoft Exchange na coberturada mídia, os ataques que esses bandidos estavam realizando quando entraram não eram específicos para as redes usando o Exchange. Os crimes cibernéticos que eles cometeram podem ser iniciados de muitas outras maneiras.
  4. Embora o Hafnium estivesse associado à exfiltração de dados e, portanto, com possíveis espionagens industriais,invasões através desses bugs do Exchange poderiam levar a muitos outros crimes, notadamente incluindo ataques de ransomware.

É a última dessas questões que nos preocupa aqui, porque a equipe de Resposta a Ameaças Gerenciadas da Sophos investigou recentemente uma série de casos em que redes que não tinham sido corrigidas contra os bugs do Exchange acima mencionados foram infiltradas e atacadas por uma variedade de ransomware que atende pelo nome dramático de BlackKingdom.

Caso esteja se perguntando, os bandidos se referem ao seu próprio ransomware usando duas palavras, estranhamente escritas Black KingDom,bem como usando uma palavra, como nós escrevemos aqui. (Vamos nos ater ao BlackKingdom para deixar claro que estamos falando de uma ameaça específica, da mesma forma que podemos escrever WannaCry ou TeslaCrypt.)

Os bugs explorados neste caso são agora amplamente referidos como ProxyLogon, que é o nome popular usado para se referir a ataques que começam usando o bug Exchange CVE-2021-26855, tipicamente seguido pelo uso do CVE-2021-27065 e talvez CVE-2021-26857 e CVE-2021-26858. O nome ProxyLogin é uma palavra melhor para usar do que Hafnium se você está falando especificamente sobre uma intrusão iniciada por esses bugs, porque o nome não está ligado a nenhuma gangue criminosa, e não implica nenhuma razão específica para o ataque.

Como funciona

Se você está atrás dos detalhes de baixo nível do BlackKingdom, ficará feliz em saber que o SophosLabs publicou uma análise técnica do programa de malware que faz o trabalho sujo.

Leia o relatório labs se você quiser descobrir exatamente como o malware funciona, e para obter indicadores de compromisso você pode procurar em sua rede e em seus próprios logs.

Embora blackKingdom não seja tecnicamente sofisticado, isso é conforto frio se é apenas mexidos todos os seus arquivos.

Como o SophosLabs disse:

Sua análise inicial revela que é um pouco rudimentar e amador em sua composição, mas ainda pode causar um grande dano.

Ransomware Black Kingdom começa a aparecer em servidores do Exchange

O que ele faz

Como muitas famílias de ransomware, esta:

  • Ignora as pastas necessárias para manter o Windows em execução, incluindo ‘C:\Windows’, ‘C:\Program Files (x86)'”, ‘C:\Program Files’ e várias pastas em seu diretório ‘AppData’. Os bandidos querem ter certeza de que você ainda pode inicializar o Windows, ler sua demanda de chantagem e ficar online para comprar bitcoins para pagar a extorsão.
  • Interrompe qualquer processo de servidor SQL em execução,se o malware tiver poderes de nível de administrador, desbloqueando assim seus arquivos de banco de dados para que eles possam ser atacados junto com todo o resto.
  • Embaralha arquivos em todas as unidades que ele pode encontrar, incluindo unidades de rede montadas e discos removíveis que foram conectados no momento.
  • Sobregrava arquivos no local,portanto não há cópias temporárias de seus arquivos não criptografados deixados para trás. Isso torna difícil restaurar arquivos usando ferramentas de recuperação de disco ou “undelete”.
  • Escolha uma nova chave de criptografia para cada computador, demodo que a chave de descriptografia de um PC não funcione em outro.
  • Nunca salva a chave de descriptografia para o disco, demodo que você não pode desempresá-la ou recuperá-la facilmente mais tarde. O malware carrega a chave do seu computador para um serviço de armazenamento de arquivos on-line, onde os bandidos podem baixá-la mais tarde, mas você não pode.
  • Aparece uma exigência de chantagem quando é feito. O malware também escreve um arquivo de texto com as exigências dos criminosos nele para um arquivo chamado . decrypt_file.TxT
  • Exclui os registros do Windows Event,se puder, tornando mais difícil e demorado tentar descobrir exatamente o que aconteceu depois.

A exigência de chantagem começa assim:

***************************
| what happened           ?
***************************

We hacked your (( Network )), and now all files, 
documents, images, databases and other important data 
are safely encrypted using the strongest algorithms ever.
You cannot access any of your files or services .
But do not worry. You can restore everthing and get back 
business very soon ( depends on your actions )

before I tell how you can restore your data, 
you have to know certain things :

We have downloaded most of your data ( especially 
important data ) , and if you don't  
contact us within 2 days, your data will be released 
to the public.

O valor exigido é de US $ 10.000 em Bitcoin para cada computador atacado:

1- Send the decrypt_file.txt file to the following email ===> [REDACTED]

2- send the following amount of US dollars ( 10,000 ) worth 
of bitcoin to this address :

[REDACTED]

3- confirm your payment by sending the transfer url to our email address

4- After you submit the payment, the data will be removed from our servers, 
and the decoder will be given to you, so that you can recover all your files.

Se os criminosos por trás deste ataque realmente estão rotineiramente roubando os arquivos de suas vítimas antes de embaralhá-los, não temos certeza.

No entanto, como você verá na análise do SophosLabs, o programa de ransomware que produz essa mensagem foi instalado e executado usando as explorações do ProxyLogon, que permitem que os bandidos remotos implantem e executem quase qualquer programa que eles quiserem.

Então, mesmo que eles não roubaram todos os seus dados primeiro, eles quase certamente poderiam ter

… assim como qualquer outro bandido que se deparou com seus servidores não reparados antes, durante ou depois do ataque blackkingdom.

O que é que eu faço?

  • Remendar cedo, remendar com frequência. Se você está em risco de um ataque BlackKingdom desencadeado através das explorações do ProxyLogon, então sua rede é tão boa quanto aberta para qualquer um entrar e fazer quase tudo, a qualquer momento que quiser.
  • Faça seus backups. Dessa forma, você pode se recuperar de perder seus dados, não importa como isso aconteça. Um simples auxílio de memória é “3-2-1”, o que significa que você deve ter pelo menos três cópias diferentes (a que você está usando agora mais duas ou mais peças de reposição), usando pelo menos dois sistemas de backup diferentes (no caso de um deve deixá-lo para baixo), e com pelo menos uma cópia armazenada offline e de preferência offsite (onde os bandidos não podem adulterá-lo durante um ataque).
  • Peruse seus troncos. Bandidos nem sempre conseguem em sua primeira tentativa, então fique de olho em sinais de que um ataque pode estar em andamento.
  • Considere um antivírus com proteção de embaralhação de dados. Por exemplo, os produtos de ponto final da Sophos incluem o CryptoGuard, que detecta o ransomware genericamente pela forma como ele se comporta, não pelo que parece. Se o CryptoGuard detecta o que ele acha ser um programa de criptografia de arquivos desonesto, ele pode não apenas intervir para bloquear o ataque, mas também reverter automaticamente qualquer criptografia que tenha acontecido até agora.

A propósito, existem algumas peculiaridades sobre o malware BlackKingdom que lhe dão uma pequena (embora possa ser reconhecidamente apenas uma chance muito pequena) de recuperar seus dados, mesmo que você não tenha um backup, sem pagar os criminosos pela chave de descriptografia.

Então, se você acabar como uma vítima deste ataque, fale com alguém que você conhece e confie em conselhos antes de se apressar em qualquer resposta mal considerada.

Se você sofreu algum tipo de ataque de cibercrime, incluindo, mas não se limitando ao ransomware, e você não tem um parceiro de TI próprio para recorrer, a equipe sophos Managed Threat Response ou Sophos Rapid Response ficaria feliz em ouvir de você.

FONTE: SOPHOS

Previous post Dentro do Web Shell usado nos ataques do Microsoft Exchange Server
Next post A linha do tempo do hack solarwinds: Quem sabia o quê, e quando?

Deixe um comentário