0
0
Ao discutir grupos de ransomware, muitas vezes o foco está em seus nomes, como Noberus, Royal e AvosLocker, em vez das táticas, técnicas e procedimentos (TTPs) usados em um ataque antes que o ransomware seja implantado. Por exemplo, o uso particularmente pesado de ferramentas de software legítimas em cadeias de ataques de ransomware tem sido notável nos últimos tempos. Na verdade, raramente vemos um ataque de ransomware que não use software legítimo.
Fique fora do radar: por que o abuso é desenfreado
Os ataques de ransomware continuam a ser um grande problema de cibersegurança. Os atores de ransomware, como os agentes de ameaças em geral, estão abusando de software legítimo por uma série de razões. O primeiro é o desejo de furtividade – eles estão tentando entrar e sair das redes o mais rápido possível sem serem descobertos. Aproveitar o software legítimo pode permitir que a atividade dos invasores permaneça oculta, o que pode permitir que eles atinjam seus objetivos em uma rede de vítimas sem serem descobertos. O uso indevido de software legítimo também pode tornar a atribuição de um ataque mais difícil, e essas ferramentas também podem reduzir as barreiras de entrada. Isso significa que hackers menos qualificados ainda podem ser capazes de realizar ataques bastante abrangentes e disruptivos.
As ferramentas legítimas que mais comumente vemos sendo usadas por agentes mal-intencionados são ferramentas de monitoramento e gerenciamento remoto (RMM), como AnyDesk, Atera, TeamViewer, ConnectWise e muito mais. Na verdade, o uso de software RMM por agentes maliciosos foi considerado grave o suficiente para que a Agência de Segurança Cibernética e de Infraestrutura (CISA) emitisse um alerta. Em fevereiro deste ano, a equipe do Symantec Threat Hunter viu o ConnectWise ser usado em ataques de ransomware Noberus e Royal. Essas ferramentas são comumente usadas legitimamente por departamentos de TI em organizações pequenas, médias e grandes.
O Rclone, uma ferramenta legítima para gerenciar conteúdo na nuvem, também foi usado em um ataque do Noberus recentemente. Neste caso específico, os invasores usaram o Rclone para exfiltrar arquivos porque sua tentativa anterior de exfiltrar dados, usando sua própria ferramenta personalizada ExMatter, havia falhado, pois foi bloqueada pelo software de segurança.
O AdFind, uma ferramenta legítima de consulta de linha de comando gratuita que pode ser usada para coletar informações do Active Directory, também é frequentemente usada por invasores de ransomware, que a usam para mapear uma rede. O PDQ Deploy, uma ferramenta que os administradores de sistemas usam para aplicar patches, também é frequentemente abusado por invasores, que o usam para soltar scripts nas redes das vítimas de forma bastante eficiente. Não são apenas ferramentas legítimas que são usadas para fins maliciosos por atores de ransomware. Por exemplo, vários grupos patrocinados pelo estado usaram infraestrutura de nuvem legítima, como Google Drive, Dropbox, OneDrive e outros, para infraestrutura de comando e controle (C&C) e para exfiltrar e armazenar dados roubados.
Fique atento
Ataques que aproveitam software e infraestrutura legítimos representam um desafio particular para defensores e organizações. Uma abordagem contundente, como bloquear o serviço ou a ferramenta, não funciona nesses tipos de casos.
E esse problema não vai desaparecer. A cada nova tecnologia, os maus atores encontrarão uma maneira de usá-la para seus próprios propósitos nefastos. Por exemplo, há alguns anos, a nuvem não era necessariamente um grande recurso em muitas organizações. Agora, obviamente, à medida que mais dados estão se movendo para a nuvem, a própria infraestrutura está sendo usada para meios maliciosos, e ferramentas legítimas para uso na nuvem, como o Rclone, estão sendo usadas indevidamente por invasores.
Para reduzir o risco de uso indevido de software legítimo, as organizações devem tomar as seguintes medidas:
- Melhore a visibilidade: a antiga abordagem de simplesmente detectar, bloquear e excluir arquivos mal-intencionados não é mais suficiente para proteger sua organização em um cenário de ameaças cibernéticas onde ferramentas legítimas, ferramentas de uso duplo e infraestrutura legítima estão sendo cada vez mais usadas por agentes mal-intencionados. As organizações precisam ter uma visão abrangente de sua rede — elas precisam saber qual software está instalado em suas redes. Se forem encontradas ferramentas legítimas não autorizadas, trate essa descoberta com a mais alta prioridade.
- Implementar privilégios mínimos: as permissões de usuário devem ser mantidas em um nível mínimo, sem afetar a experiência do usuário, de modo que, se um invasor obtiver acesso a uma máquina ou conta, isso não significa que eles possam necessariamente se espalhar amplamente pela rede ou que possam acessar tudo o que está no computador ou na rede.
- Vá além da detecção de malware: como os agentes mal-intencionados geralmente estão aproveitando softwares legítimos, é importante que as organizações usem uma solução de segurança que possa detectar e analisar comportamentos suspeitos — e interrompê-los. A vigilância dentro de uma organização também é fundamental. Você precisa construir uma cultura de segurança em sua organização para que todos estejam atentos a qualquer tipo de comportamento suspeito que possa ocorrer.
FONTE: DARK READING