Ataque de Ransomware da JBS começou em março e muito maior no escopo do que o anteriormente identificado

Views: 81
0 0
Read Time:8 Minute, 40 Second

SecurityScorecard também descobriu que 1 em cada 5 das empresas mundiais de processamento, produção e distribuição de alimentos classificadas têm uma vulnerabilidade conhecida em seus ativos expostos na Internet

Principais percepções

Usando as ferramentas proprietárias da SecurityScorecard, nossa equipe de Investigação e Análise (I&A) observou o seguinte:

  • A campanha da JBS começou com uma fase de reconhecimento em fevereiro de 2021, seguida de filtragem de dados de 1º de março de 2021 a 29 de maio de 2021, e finalmente, os atores da ameaça criptografaram seu ambiente em 1º de junho. Esta é a primeira vez que a exfiltração de dados, para este ataque, foi identificada.
  • Há indícios de que a JBS foi um ataque direcionado conduzido pelo grupo REvil ransomware. Tanto a JBS Brasil quanto a JBS Austrália foram alvo como parte de tais operações.
  • O ataque começou na JBS Austrália como um ponto de exfiltração de dados. Identificamos um domínio da JBS Australia associado às operações da JBS na Austrália.
  • Observamos uma exfiltração de dados da JBS Australia superior a 45 GB de dados para o site de compartilhamento de arquivos conhecido como Mega.
  • A partir daí, descobrimos evidências de mais exfiltração de dados da JBS Brasil para o mesmo serviço de transferência de arquivos Mega utilizado para a Austrália. Isto confirma ainda mais a conversa subterrânea indicando que as operações no Brasil também foram visadas como parte desta intrusão. A transferência de dados observada ocorreu entre 19 de abril e 25 de maio.
  • Observamos uma filtragem adicional com uma perda potencial de dados de 5 TB durante três meses. A exfiltração de dados ocorreu várias vezes durante este período para Mega e outros IPs maliciosos conhecidos em Hong Kong que não estão associados à JBS.
  • Embora o vetor exato de intrusão seja desconhecido, nossa análise procurou por vias potenciais de intrusão. Normalmente, antes de uma intrusão, há uma fase de reconhecimento para avaliar possíveis pontos de entrada. Observamos operações de reconhecimento de dados ocorrendo antes da filtragem dos dados reais.
  • 1 em cada 5 das empresas mundiais de processamento, produção e distribuição de alimentos têm uma vulnerabilidade conhecida (ou seja, uma Vulnerabilidade e Exposição Comum ou “CVE”) em seus ativos expostos na Internet. Isto coloca em risco a cadeia global de fornecimento de alimentos.

Antecedentes

A equipe SecurityScorecard Investigations & Analysis (I&A) investigou relatórios sobre a violação do resgate na JBS, um dos maiores processadores de carne do mundo. O escopo de nossa investigação está focado na compreensão do ataque e o adversário estava por trás dele para ajudar outros a responder e se proteger melhor das ameaças de resgates. Além disso, queríamos entender se os dados extraídos do ambiente poderiam ser usados para vazar dados sensíveis na teia escura.

Nossa investigação foi centrada principalmente na compreensão do escopo da violação, da atribuição potencial e de quaisquer outras descobertas que pudessem fornecer uma visão do que ocorreu. Além disso, foi relatado que o ataque foi realizado com o Sodinokibi Ransomware, uma variante do ransomware usado pelo grupo REvil ransomware, suspeito de ser atribuído à Rússia.

O governo dos EUA confirmou em 3 de junho de 2021 que o grupo REvil / Sodinokibi foi responsável pelo ataque.

Os CVEs (Common Vulnerabilities and Exposures) são problemas conhecidos em software que podem levar ao comprometimento do sistema. Alguns são relativamente benignos (representando um pequeno risco) enquanto outros são muito sérios e deixam um sistema aberto para assumir o controle. O conjunto de habilidades necessárias para explorar estas vulnerabilidades varia do básico ao extremamente avançado. O risco que uma vulnerabilidade representa é uma combinação da própria vulnerabilidade e da habilidade necessária para explorá-la.

Acesso e reconhecimento

Uma questão pendente é qual era o potencial vetor de intrusão inicial. Há múltiplas teorias plausíveis que vão desde o uso de credenciais vazadas até o acesso ao ambiente a partir do RDP. Além disso, um dos métodos mais comuns de intrusões para intrusões de resgate é através de protocolos de acesso remoto, tais como Remote Desktop Protocol (RDP), Virtual Network Connection (VNC), e VPN. Em nossa análise, o SecurityScorecard observou tentativas fracassadas de conexão usando uma conexão RDP ao espaço de endereços IP da JBS Australia (o mesmo endereço IP de onde os dados foram exfiltrados) em 28 de fevereiro de 2021, bem antes de ocorrer a exfiltração dos dados. O endereço IP de origem da tentativa de conexão RDP à JBS não está associado a nenhuma pegada digital conhecida da JBS, em vez disso, ele está historicamente listado como uma fonte maliciosa. Isto indica que o ator da ameaça verificou se existe um serviço RDP rodando no sistema fazendo uma solicitação RDP mas não recebeu nenhuma resposta do servidor, uma vez que ele não está rodando um serviço RDP. Esta verificação de serviços vulneráveis rodando no sistema pode ser uma indicação de um reconhecimento realizado pelo atacante.

Credenciais vazadas – violação em fevereiro de 2021

Em nossa pesquisa, descobrimos credenciais vazadas pertencentes aos funcionários da JBS Austrália desde o início de março de 2021. Tais credenciais apareceram bem antes do início da exfiltração de dados. O fato de que as credenciais dos funcionários da JBS estão na rede escura confirma que uma violação ocorreu em algum momento em fevereiro de 2021. A extensão das credenciais descobertas se estende a meia dúzia de funcionários da JBS Austrália como parte de várias listas de vazamento.

Chat em russo

Foi encontrado um indivíduo representando a REvil (uma gangue de resgate de suspeita de origem russa) discutindo o ataque da JBS em um canal de telegrama Dark Web conhecido como RUSSIAN OSINT. O abaixo foi postado em 3 de junho de 2021, após o ataque ter sido publicamente notado. A seguir, uma tradução do russo para o inglês de algumas das entrevistas que aconteceram em relação às motivações deste ataque. De acordo com a tradução, o ator da ameaça pretendia atingir o Brasil em um esforço de vingança.

Conexão persistente

Durante nossa investigação, a SecurityScorecard observou o tráfego do TeamViewer destinado a um endereço IP na Índia. Isto pode significar que o ator da ameaça instalou o TeamViewer dentro do ambiente de rede da JBS Australia. Esta atividade ocorreu durante o mesmo período de tempo da exfiltração de dados. A conexão poderia ter sido usada para manter o acesso ao ambiente. Como o TeamViewer suporta transferências de arquivos, alguns dados poderiam ter sido exfiltrados desta forma também.

Uma conexão particularmente notável foi a observada entre 18 de maio de 2021 e 24 de maio de 2021, com um servidor da Índia. O que torna incomum é que, sendo estabelecido através de um servidor TeamViewer, ele foi deixado aberto por 5 dias, e pudemos fazer uma correlação com o mesmo período de tempo antes e depois da exfiltração dos dados para o Mega.

Exfiltração de dados

Como em todas as operações de resgate, os atacantes provavelmente estão interessados em exfiltrar os dados e potencialmente vazá-los na teia escura se as vítimas não pagarem. Normalmente, o ator da ameaça exfiltra os dados antes de criptografar os arquivos, depois os utiliza para extorquir a vítima para obter ganhos financeiros. Usando nossos conhecimentos globais únicos, que incluem o Netflow, temos descoberto múltiplas operações de exfiltração do ambiente JBS desde março de 2021. Por exemplo, observamos a exfiltração (um método comum usado em ataques de resgate) para o site de compartilhamento de arquivos Mega entre 1 de março e 30 de maio de 2021, com mais de 45GB. Além disso, esta filtragem de dados é dividida em várias transferências menores (mais de uma dúzia) no decorrer de três meses.

Além disso, descobrimos que um total de 5TB de dados foi potencialmente exfiltrado entre 1º de março de 2021 e 29 de maio de 2021, para ativos em Hong Kong. Nossas pesquisas indicam que foram utilizados múltiplos métodos de exfiltração, além da transferência de dados via Mega.

Má higiene na indústria alimentícia

Não é apenas a JBS que tem problemas, infelizmente, a indústria alimentícia como um todo sofre de problemas de higiene cibernética. A SecurityScorecard classifica a segurança cibernética externa de mais de 55.000 empresas da indústria alimentícia, através de fatores que incluem violações de dados, vulnerabilidades de software (CVEs) e infecções por malware. De modo geral, os resultados são pobres:

Mais de 20% das empresas alimentícias têm uma vulnerabilidade conhecida (CVE) em seus ativos expostos na Internet. Estes variam desde os relativamente benignos até os muito críticos. Alguns destes CVEs podem levar a ataques que exploram sistemas. Os sistemas afetados variam de Nginx (servidor web comum) a SSH (acesso remoto) e produtos Microsoft.

Estamos detectando infecções por malware generalizadas. Durante o último ano, observamos 2.444 IPs de empresas alimentícias comunicando-se com nossos sumidouros de malware – idealmente, este número deveria ser zero.

366 empresas sofreram uma violação e/ou ataque.

Finalmente, observamos quase 2.500 casos de produtos frequentemente explorados por ransomware (por exemplo, RDP, VNC, ou Samba – todos os tipos de serviços de acesso remoto) nos ativos da indústria alimentícia na Internet voltados para o público.

Metodologia

O método de análise do SecurityScorecard inclui a avaliação de múltiplas fontes tanto públicas quanto privadas. Além disso, a análise não se baseia apenas em informações em código aberto que podem ser obtidas por qualquer pessoa (ou seja, dados/fontes não verificáveis), enquanto código aberto é um elemento de nossa análise e um ponto de dados em si, não é o único fator determinante. Esta análise está focada na análise das características do ataque, em parte usando OSINT e dados vetados de inteligência que obtivemos através de parcerias privadas, fontes confidenciais, a fim de fazer nossas conclusões.

Conclusão

Acreditamos que a JBS sofreu uma exfiltração de dados e um ataque de resgate, uma abordagem comum dos atores da ameaça. Também podemos identificar um reconhecimento antes da exfiltração de dados. O que é notável sobre este ataque é como ele não era notável tanto na execução quanto na ocorrência; ele ilustra o quão comuns os ataques de resgate se tornaram. Estes tipos de ataques têm um impacto financeiro sobre a vítima que vai além do pagamento de um resgate; eles podem precisar ser divulgados aos clientes, parceiros comerciais e provavelmente aos reguladores e através de revelações por escrito da empresa.

Qualquer organização com ativos na Internet deve agora considerar-se uma vítima potencial de resgate. As organizações devem considerar sua própria segurança e a segurança de seus fornecedores e fornecedores terceirizados.

FONTE: SECURITYSCORECARD

Previous post Estado do Windows, parte 2: O Windows 10 diminuiu a velocidade a cada atualização do recurso?
Next post Malwares são a maior preocupação de segurança de empresas brasileiras

Deixe um comentário