ALERTA Prevenção contra Ransomware

25 jun

ALERTA Prevenção contra Ransomware

A que se refere este alerta?

O mercado tem se deparado com muitas notícias de ataques cibernéticos de grandes impactos, deflagrando situações de crise na esfera corporativa. Organizações de todos os segmentos e de todos os portes têm sido vítimas, com duras consequências aos seus negócios – e muitas vezes também à sociedade.

O tipo de ataque que mais tem assolado as organizações é, como já sabido e noticiado pela mídia, o ransomware. Particularmente o ransomware Sodinokibi (também conhecido como REvil) é um dos que mais vem sendo utilizado em ataques.

Detalhes a respeito do funcionamento (e respectivos hashes) do Sodinokibi encontram-se disponíveis em:

https://www.mcafee.com/blogs/other-blogs/mcafee-labs/mcafee-atr-analyzes-sodinokibi-aka-revil-ransomware-as-a-service-what-the-code-tells-us/

Fonte: McAfee’s Advanced Threat Research (ATR)

Anatomia do ataque

De uma forma geral, o vetor inicial de ataques deste tipo tem se dado através de contas de usuários, especialmente usuários com privilégios administrativos (Domain Admin, Root, System, Backup Operator etc.). Os grupos atacantes têm usualmente se utilizado de credenciais previamente vazadas e disponíveis em repositórios como o Pastebin e na Dark Web.

A partir de tais credenciais, o atacante busca o acesso externo através de conexões VPN, shells remotas… ou mesmo o acesso direto a consoles administrativas do domínio (AD/365, por exemplo) – acessos estes que em muitas empresas tiveram de ser apressadamente abertos por conta da pandemia.

Após o acesso, o atacante busca escalar permissões no ambiente através de vulnerabilidades já conhecidas (ex.: Win32k Elevation of Privilege Vulnerability – CVE-2018-8453 – fonte: Mitre). Obtendo a sua elevação de privilégios, o mesmo tenta tomar o controle dos mais diversos sistemas, gerenciamento do endpoint protection/antivírus, bancos de dados, backups etc. Quando consegue acesso à console de gerenciamento do endpoint protection / antivírus, o atacante desabilita as funções de proteção, deixando desta forma as máquinas vulneráveis a todo e qualquer tipo de malware.

Lembrando que, uma vez o atacante possuindo credencial de acesso com elevação de privilégio, poderá eventualmente também executar extração/vazamento de dados.

O ransomware Sodinokibi tipicamente se utiliza de quatro executáveis para a infecção e criptografia das máquinas: v1.exe, v2.exe, v2c.exe e v3.exe. Tais executáveis executam um comando de download/upload da chave criptográfica para nuvem do atacante. O ransomware é normalmente distribuído por GPO e/ou por tarefas agendadas no Domain Controller.

O que verificar de imediato?

Principais indícios (suspeitas imediatas) de que seu ambiente foi comprometido e está sendo preparado para um ataque de ransomware:

• Exceções criadas no endpoint protection/antivírus

Unidade C:\ como exceção de varredura das máquinas

Arquivos *.exe como exceção – particularmente v*.exe, no caso do Sodinokibi

• Mudanças suspeitas em políticas do domínio, especialmente em GPOs e tarefas agendadas

• Acessos administrativos externos não convencionais, especialmente à noite

• Anomalias e mudanças suspeitas de uma forma geral

Como mitigar o risco?

• Revisão de todas as contas com privilégios administrativos, especialmente no AD e na console de endpoint protection/antivírus
• Revisão das políticas e tarefas agendadas
• Mudança das senhas das contas com privilégios administrativos
• Política de senha forte e de troca de senha periódica para todas as contas, incluindo as contas com privilégios administrativos
• MFA (multi-factor authentication) para os acessos, especialmente para acessos externos e para as contas com privilégios administrativos
• Regras explícitas de bloqueio para os executáveis e hashes do ransomware em questão
• Política de backup rigorosa, com testes de restore periódicos
• Monitoração 24×7 de mudanças em configurações de segurança do ambiente, com processo de alerta e ação tempestiva de resposta a incidentes
• Considerar o uso de solução de detecção e resposta avançada contra ameaças – EDR (endpoint detection and response)

A lista acima não é exaustiva. Diversos outros aspectos de segurança tecnológica e boas práticas de gestão de segurança da informação devem também ser, obviamente, observados.

ALERTA Prevenção contra Ransomware

ALERTA Prevenção contra Ransomware

A que se refere este alerta?

Anatomia do ataque

O que verificar de imediato?

Como mitigar o risco?

Cyber – Violações de Segurança: Incidente ou “Acidente” Cibernético?

Três previsões estratégicas de Cyber para 2024

WEBINAR: Gestão Contínua de Exposição a Ameaças: como evitar que seus ativos externos se tornem alvos

Saiba o que é superfície de ataque cibernético -EASM – e como isso tem preocupado as empresas

Engenharia Social Potencializada pela IA: Ameaças e Medidas de Segurança

Cofre de Senhas PAM | Privileged Access Management

Gerenciamento da Superfície de Ataque Externa: Uma Abordagem para Proteção Proativa contra Ameaças Cibernéticas

Com frágeis políticas de acesso e controle de credenciais, acessos privilegiados tornam-se o elo fraco da segurança cibernética das organizações

RSA Conference: tendências e a realidade brasileira

Saiba as previsões da Scunna sobre os segurança ataques cibernéticos em 2023