0
0
A equipe de Resposta Rápida da Sophos foi recentemente trazida para conter e neutralizar um ataque envolvendo o ransomware Ryuk. O alvo era um instituto de pesquisa em ciências da vida que tem parcerias estreitas com universidades locais e trabalha com estudantes em vários programas.
O ataque Ryuk custou ao instituto uma semana de dados vitais de pesquisa, porque, embora tivesse backups, eles não estavam totalmente atualizados. Houve mais impacto operacional quando todos os arquivos do computador e do servidor precisavam ser reconstruídos do zero antes que os dados pudessem ser restaurados. Talvez a lição mais difícil de todas, no entanto, tenha sido descobrir que o ataque e seu impacto poderiam ter sido evitados com uma abordagem menos confiante e mais robusta ao acesso à rede.
Depois que um incidente cibernético é contido, a equipe de Resposta Rápida usa os registros e dados históricos disponíveis para refazer as medidas tomadas pelos atacantes e as ferramentas e técnicas usadas em todas as etapas. Neste caso, os socorristas descobriram que os adversários haviam obtido acesso ao domínio e usaram isso para implantar o ransomware Ryuk através de uma série de tarefas agendadas. Foi somente quando eles voltaram ao ponto de acesso inicial que perceberam que isso os levou para fora da rede corporativa a um único erro humano e julgamento incorreto de segurança.
O erro humano pode acontecer em qualquer organização; a razão pela qual o erro conseguiu progredir para um ataque completo foi porque o instituto não tinha a proteção em vigor para conter o erro. No centro disso estava sua abordagem para permitir que pessoas de fora da organização acessassem a rede. Os alunos que trabalham com o instituto usam seus computadores pessoais para acessar a rede do instituto. Eles podem se conectar à rede por meio de sessões remotas do Citrix sem a necessidade de autenticação de dois fatores.
O instituto foi exposto no momento em que um desses estudantes universitários externos aparentemente decidiu que queria uma cópia pessoal de uma ferramenta de software de visualização de dados que já estavam usando para o trabalho. Uma única licença de usuário provavelmente custaria centenas de dólares por ano, então eles postaram uma pergunta em um fórum de pesquisa on-line perguntando se alguém sabia de uma alternativa gratuita (a equipe de Resposta Rápida sabe disso porque o aluno entregou seu laptop para análise assim que toda a extensão do incidente ficou clara).
Quando o aluno não conseguiu encontrar uma versão gratuita adequada, ele procurou por uma versão “Crack”. Eles encontraram o que parecia ser um e tentaram instalá-lo. No entanto, o arquivo era de fato malware puro e a tentativa de instalação desencadeou imediatamente um alerta de segurança do Windows Defender. O usuário desativou o Windows Defender – e ao mesmo tempo parece que também desativou seu firewall – e tentou novamente. Desta vez funcionou.
No entanto, em vez de uma cópia quebrada da ferramenta de visualização que eles estavam procurando, o aluno recebeu um ladrão de informações malicioso que, uma vez instalado, começou a registrar pressionamentos de teclas, roubar dados do navegador, cookies e da área de transferência e muito mais. Em algum lugar ao longo do caminho, aparentemente também encontrou as credenciais de acesso do aluno para a rede do instituto.
Treze dias depois, uma conexão de protocolo de área de trabalho remota (RDP) foi registrada na rede do instituto usando as credenciais do aluno. Veio de um computador chamado “Totoro”, possivelmente em homenagem ao personagem de anime.
Um recurso do RDP é que uma conexão também aciona a instalação automática de um driver de impressora, permitindo que os usuários imprimam documentos remotamente. Isso permitiu que a equipe de investigação de Resposta Rápida visse que a conexão RDP registrada envolvia um driver de impressora em russo e provavelmente seria uma conexão desonesta. Dez dias após essa conexão ter sido feita, o ransomware Ryuk foi lançado.
“É improvável que os operadores por trás do malware ‘software pirata’ sejam os mesmos que lançaram o ataque Ryuk”, disse Peter Mackenzie, gerente de Resposta Rápida da Sophos. “O mercado subterrâneo de redes anteriormente comprometidas que oferecem aos atacantes fácil acesso inicial está prosperando, por isso acreditamos que os operadores de malware venderam seu acesso a outro invasor. A conexão RDP poderia ter sido os corretores de acesso testando seu acesso.
“As investigações de incidentes são cruciais porque nos permitem ver como um ataque se desenrolou e ajudam os alvos a entender e resolver lacunas de segurança para o futuro. Nesse caso, a implementação de autenticação de rede robusta e controles de acesso, combinados com a educação do usuário final, pode ter impedido que esse ataque acontecesse. Ele serve como um lembrete poderoso de como é importante acertar os conceitos básicos de segurança.”
Recomendações
A Sophos recomenda tomar as seguintes medidas para ajudar a se defender contra abuso de acesso à rede:
- Habilite a autenticação multifatorial (MFA), sempre que possível, para qualquer pessoa obrigada a acessar redes internas, incluindo colaboradores e parceiros externos
- Tenha uma política de senha forte em vigor para todos os que precisam acessar redes internas
- Desativação e/ou atualização de quaisquer sistemas operacionais e aplicativos não suportados
- Revise e instale software de segurança em todos os computadores
- Revise e instale regularmente os patches de software mais recentes em todos os computadores – e verifique se eles foram instalados corretamente
- Revise o uso de servidores proxy e verifique regularmente as políticas de segurança para impedir o acesso a sites maliciosos e/ou o download de arquivos maliciosos por qualquer pessoa na rede
- Bloqueie o acesso RDP da área de trabalho remota com regras estáticas de Rede Local (LAN), por meio de uma diretiva de grupo ou usando listas de controle de acesso
- Implemente segregação para qualquer acesso à rede, inclusive para LANs (ou considere usar LANs virtuais) e, quando necessário, use listas de controle de hardware/software/acesso
- Revise continuamente contas de domínio e computadores, removendo quaisquer que não sejam utilizados ou não sejam necessários
- Revise as configurações de firewall e apenas o tráfego da lista branca destinado a destinos conhecidos
- Limite o uso de contas de administrador por diferentes usuários, pois isso incentiva o compartilhamento de credenciais que pode introduzir muitas outras vulnerabilidades de segurança
Se você estiver enfrentando uma ameaça ativa e precisar de assistência imediata, entre em contato com a Sophos Rapid Response para obter suporte.
Agradecimentos especiais a Bill Kearney, Kyle Link, Peter Mackenzie e Matthew Sharf, por responderem e investigarem este incidente.
FONTE: SOPHOS