A Sophos divulgou detalhes de um novo ransomware em Python chamado Memento. A pesquisa intitulada “New Ransomware Actor Uses Password Protected Archives to Bypass Encryption Protection”, descreve o ataque, que bloqueia dados em um arquivo protegido por senha caso o ransomware Memento não consiga criptografar os dados direcionados.
“Os ataques de ransomware realizados por humanos raramente são claros e lineares”, afirma Sean Gallagher, Pesquisador Sênior de Ameaças da Sophos. “Os invasores aproveitam as oportunidades quando as encontram ou cometem erros e mudam de tática instantaneamente. Se conseguirem penetrar na rede de um alvo, não vão querer sair de mãos vazias. O ataque Memento é um bom exemplo disso e serve como um lembrete indispensável para usar a segurança de defesa em profundidade. Ser capaz de detectar o ransomware e tentativas de criptografia é vital, mas também é importante ter tecnologias de segurança que possam alertar os gerentes de TI sobre outras atividades inesperadas, como movimentos laterais”, completa o executivo.
Linha do tempo do ataque
Os pesquisadores da Sophos acreditam que os operadores do Memento violaram a rede do alvo em meados de abril de 2021. Eles exploraram uma falha no vSphere da VMWare, uma ferramenta de virtualização de computação em nuvem voltada para a internet, para se firmar em um servidor. A evidência encontrada indica que os cibercriminosos deram início à invasão principal no início de maio de 2021.
Eles usaram os primeiros meses para fazer um movimento lateral e reconhecimento, por meio de ferramentas como o Remote Desktop Protocol (RDP), o scanner de rede NMAP, o Advanced Port Scanner e o dispositivo de tunelamento Plink Secure Shell (SSH), a fim de configurar uma conexão interativa com o servidor violado. Além disso, foi utilizado o Mimikatz, ferramenta desenvolvida em C que permite explorar a segurança do Windows e consegue extrair senhas de usuários para coletar credenciais de conta e utilizá-las posteriormente ao ataque.
De acordo com pesquisadores da Sophos, em 20 de outubro de 2021, os cibercriminosos usaram uma ferramenta WinRAR para compactar uma coleção de arquivos e exfiltrá-los via RDP.
O lançamento do ransomware
Os operadores implantaram o Memento pela primeira vez em 23 de outubro de 2021. Os pesquisadores da Sophos descobriram que, inicialmente, eles tentaram criptografar arquivos diretamente, mas as medidas de segurança da empresa bloquearam a tentativa. Em uma mudança de tática, o time reformulou a estratégia e implantaram novamente o ransomware. Neste momento, copiaram dados não criptografados em arquivos protegidos por senha usando uma versão gratuita renomeada do WinRaR, antes de criptografar a senha e excluir os arquivos originais.
Os cibercriminosos exigiram um resgate de US$1 milhão em bitcoins para restaurar os arquivos. Felizmente, a companhia conseguiu recuperar os dados sem o envolvimento dos invasores.
Abertura de pontos que permitem a entrada de invasores adicionais
Enquanto os operadores do Memento estavam infiltrados na rede do alvo, dois criminosos diferentes invadiram o espaço através do mesmo ponto de acesso vulnerável, usando exploits semelhantes. Durante o ataque, cada um dos invasores implantou mineradores de criptomoedas no mesmo servidor comprometido. Um deles instalou um criptominerador XMR em 18 de maio, enquanto o outro instalou um XMRig, em 8 de setembro, e novamente em 3 de outubro.
“Já vimos casos como esse diversas vezes. Quando as vulnerabilidades da internet se tornam públicas e não são corrigidas, os criminosos as exploram rapidamente. E quanto mais tempo as falhas levam para serem mitigadas, mais invasores elas atraem”, diz Gallagher. “Os cibercriminosos vasculham constantemente a internet em busca de pontos de entrada vulneráveis e não esperam na fila quando os encontram. Ser violado por múltiplos invasores dificulta a interrupção da invasão e aumenta o tempo de recuperação, além de prejudicar a solução dos problemas e detecção de autores — informações cruciais para os times de resposta à ameaças ajudarem a evitar ataques adicionais”, complementa.
Conselhos de Segurança
Este incidente, em que vários invasores exploraram um único servidor sem atualizações exposto à internet, destaca a importância de aplicar esses patches rapidamente e verificar com integradores terceirizados, desenvolvedores contratados ou provedores de serviço sobre a segurança de seus softwares.
A Sophos recomenda as seguintes práticas para ajudar na defesa contra ransomware e ataques cibernéticos relacionados:
Em um nível estratégico
- Implantar proteção em camadas. À medida que mais ataques de ransomware começam a envolver extorsão, os backups continuam necessários, mas insuficientes. Em primeiro lugar, o mais importante é manter os cibercriminosos fora ou detectá-los rapidamente, antes que causem danos. Por isso, é fundamental usar uma proteção em camadas para bloquear e detectar invasores em todos os pontos possíveis;
- Combinar especialistas humanos e tecnologia anti-ransomware. A chave para parar o ransomware é a defesa em profundidade que combina tecnologia anti-ransomware dedicada e busca de ameaças liderada por humanos. A tecnologia fornece a escala e a automação de que uma organização precisa, enquanto os especialistas humanos são mais capazes de detectar as táticas, técnicas e procedimentos que indicam que um invasor está tentando entrar no ambiente. Se as organizações não tiverem os recursos internos, elas podem obter o apoio de especialistas em segurança cibernética.
Em um nível tático do dia-a-dia
- Monitorar e responder aos alertas. É essencial certificar-se de que ferramentas, processos, recursos e pessoas apropriados estejam disponíveis para monitorar, investigar e responder às ameaças identificadas no ambiente. Os operadores de ransomware muitas vezes programam o ataque fora do horário de pico, nos fins de semana ou durante os feriados, supondo que poucas pessoas ou ninguém esteja observando;
- Definir e aplicar senhas fortes. As senhas fortes servem como uma das primeiras linhas de defesa e, por isso, devem ser exclusivas ou complexas e nunca reutilizadas. Isso é mais fácil de fazer com um gerenciador de senhas que pode armazenar as credenciais da equipe;
- Usar a autenticação multifator (MFA). Mesmo as senhas fortes podem ser comprometidas. Qualquer forma de autenticação multifator é melhor do que nenhuma para proteger o acesso a recursos críticos, como e-mail, ferramentas de gerenciamento remoto e ativos de rede;
- Bloquear os serviços de acesso. É fundamental realizar varreduras de rede para identificar e bloquear as portas comumente usadas por VNC, RDP ou outras ferramentas de acesso remoto. Se uma máquina precisa ser acessada usando uma ferramenta de gerenciamento remoto, é importante protegê-la com uma VPN ou solução de acesso à rede de confiança zero que usa autenticação multifator como parte do login;
- Segmentação prática e confiança zero. É indispensável separar os servidores críticos uns dos outros e das estações de trabalho, colocando-os em VLANs separadas enquanto se trabalha para atingir modelo de rede de confiança zero;
- Fazer backups offline de informações e aplicativos. Manter os backups atualizados, além de ter uma cópia offline, garante a capacidade de recuperação;
- Fazer um inventário de ativos e contas. Dispositivos desconhecidos, desprotegidos e sem atualização na rede aumentam o risco e criam uma situação em que atividades maliciosas podem passar despercebidas. É vital ter um inventário atual de todos os dispositivos conectados e realizar varreduras de rede, utilizando ferramentas IaaS e verificações físicas para localizar, catalogar e instalar softwares de proteção de endpoint em qualquer máquina que esteja desprotegida;
- Certificar-se de que os sistemas de segurança estejam configurados corretamente. Sistemas e dispositivos desprotegidos também são vulneráveis. É importante garantir que as soluções de segurança sejam configuradas corretamente e, quando necessário, validar e atualizar as políticas de segurança regularmente. Novos recursos de segurança nem sempre são ativados automaticamente, por isso, é extremamente importante não desativar a proteção contra adulteração ou criar amplas exclusões de detecção, pois isso tornará o trabalho de um invasor mais fácil;
- Auditoria do Active Directory (AD). Realizar auditorias regulares em todas as contas no AD garante que nenhuma delas tenha mais acesso do que o necessário. Além disso, é extremamente recomendado desativar contas para funcionários que estão saindo da empresa;
- Manter todos os sistemas atualizados. Atualizar o Windows e outros sistemas operacionais. Isso também significa verificar se os patches foram instalados corretamente e se estão em vigor para sistemas críticos, como máquinas voltadas para acesso à internet ou controladores de domínio.
Os produtos de endpoint da Sophos, como o Intercept X, protegem os usuários detectando as ações e comportamentos de ransomware e outros ataques. O ato de tentar criptografar arquivos é bloqueado pelo recurso CryptoGuard. A detecção e resposta de endpoints integradas, incluindo Sophos Extended Detection and Response (XDR), pode ajudar a capturar atividades maliciosas, como quando os invasores criam arquivos protegidos por senha como aqueles usados no ataque do ransomware Memento.
