Enganar os usuários em organizações visadas para que instalem um software legítimo de monitoramento e gerenciamento remoto (RMM) tornou-se um padrão familiar empregado por invasores motivados financeiramente.
Nenhuma organização é poupada, nem mesmo agências do poder executivo civil federal dos EUA – como alertou a Agência de Segurança Cibernética e Infraestrutura (CISA) na quarta-feira.
Modus operandi dos atacantes
“Em outubro de 2022, a CISA identificou uma campanha cibernética generalizada envolvendo o uso malicioso de software RMM legítimo. Especificamente, criminosos cibernéticos enviaram e-mails de phishing que levaram ao download de software RMM legítimo – ScreenConnect (agora ConnectWise Control) e AnyDesk – que os atores usaram em um esquema de reembolso para roubar dinheiro das contas bancárias das vítimas”, compartilhou a agência.
Após descobrir o software malicioso instalado em um sistema de uma das agências da FCEB, a CISA procurou e encontrou mais sistemas comprometidos em outras agências.
Os e-mails de phishing têm como tema o help desk – por exemplo, representam o Geek Squad ou o GeekSupport – e “ameaçam” o destinatário com a renovação de um serviço/assinatura caro. O objetivo é fazer com que o destinatário ligue para um número de telefone específico operado pelos invasores, que então tentam convencer o alvo a instalar o software de gerenciamento remoto.
“A CISA observou que os atores não instalaram clientes RMM baixados no host comprometido. Em vez disso, os atores baixaram o AnyDesk e o ScreenConnect como executáveis portáteis independentes configurados para se conectar ao servidor RMM do ator”, explicou a agência.
“Executáveis portáteis são iniciados no contexto do usuário sem instalação. Como os executáveis portáteis não exigem privilégios de administrador, eles podem permitir a execução de software não aprovado, mesmo que um controle de gerenciamento de risco esteja em vigor para auditar ou bloquear a instalação do mesmo software na rede. Atores de ameaças podem aproveitar um executável portátil com direitos de usuário local para atacar outras máquinas vulneráveis na intranet local ou estabelecer acesso persistente de longo prazo como um serviço de usuário local.”
O software RMM também não costuma acionar soluções antivírus ou antimalware nos endpoints.
Alvos potenciais e conselhos de mitigação de risco
Na campanha encontrada pela CISA, os atores usaram o software RMM para iniciar um golpe de reembolso, mas eles poderiam facilmente fazer outras coisas com o acesso obtido. Por exemplo, eles podem usá-lo para tentar obter acesso a outros sistemas na mesma rede ou simplesmente vender o acesso à conta da vítima para gangues de ransomware ou atores APT.
E embora qualquer organização possa ser um bom alvo, os provedores de serviços gerenciados (MSPs) e os help desks de TI são os melhores, pois usam o software RMM para interagir remotamente (e legitimamente!) com os sistemas do cliente.
“Esses agentes de ameaças podem explorar relações de confiança em redes MSP e obter acesso a um grande número de clientes da vítima MSP. Os comprometimentos do MSP podem apresentar riscos significativos — como ransomware e espionagem cibernética — aos clientes do MSP”, acrescentou a CISA.
A agência compartilhou indicadores de comprometimento que qualquer pessoa pode usar para procurar evidências de um ataque bem-sucedido em seus sistemas e ofereceu conselhos aos defensores da rede sobre como minimizar esse risco específico.
FONTE: HELPNET SECURITY