Hackers infectam com ransomware Ryuk explorando falha do usuário

Hackers infectam com ransomware Ryuk explorando falha do usuário e custou uma semana de dados vitais de pesquisa porque não estavam totalmente atualizados.

A equipe de Resposta Rápida da Sophos foi contratada para conter e neutralizar um ataque envolvendo ransomware Ryuk. O alvo era um instituto de pesquisa em ciências da vida que tem parcerias com universidades locais e trabalha com alunos em vários programas.

O ataque a Ryuk custou ao instituto uma semana de dados vitais de pesquisa porque, embora tivesse backups, eles não estavam totalmente atualizados. Houve um impacto operacional adicional quando todos os arquivos do computador e do servidor precisaram ser reconstruídos do zero antes que os dados pudessem ser restaurados. Talvez a lição mais difícil de todas, entretanto, foi descobrir que o ataque e seu impacto poderiam ter sido evitados com uma abordagem menos confiável e mais robusta para o acesso à rede.

Depois que um incidente cibernético é contido, a equipe do Rapid Response usa os logs e dados históricos disponíveis para reconstituir as etapas executadas pelos invasores e as ferramentas e técnicas usadas em cada estágio. Neste caso, a equipe descobriu que os adversários obtiveram acesso ao domínio e o usaram para implantar o ransomware Ryuk por meio de uma série de tarefas agendadas. Foi só quando eles voltaram ao ponto de acesso inicial que perceberam que isso os levava para fora da rede corporativa para um único erro humano e um erro de avaliação de segurança.

O erro humano pode ocorrer em qualquer organização. Razão pela qual o erro foi capaz de progredir para um ataque completo foi porque o instituto não tinha a proteção para conter o erro. No centro disso estava sua abordagem para permitir que pessoas de fora da organização acessassem a rede. Os alunos que trabalham com o instituto usam seus computadores pessoais para acessar a rede do instituto. Eles podem se conectar à rede por meio de sessões remotas do Citrix sem a necessidade de autenticação de dois fatores.

O instituto foi exposto no momento em que um desses estudantes universitários externos aparentemente decidiu que queria uma cópia pessoal de uma ferramenta de software de visualização de dados que já estava usando para o trabalho. Uma única licença de usuário provavelmente custaria centenas de dólares por ano, então eles postaram uma pergunta em um fórum de pesquisa online perguntando se alguém conhecia uma alternativa gratuita (a equipe de Resposta Rápida sabe disso porque o aluno entregou seu laptop para análise e toda a extensão do incidente ficou clara).

Quando o aluno não conseguiu encontrar uma versão gratuita adequada, ele procurou uma versão “Crack”. Eles encontraram o que parecia ser um e tentaram instalá-lo. No entanto, o arquivo era, na verdade, malware puro e a tentativa de instalação acionou imediatamente um alerta de segurança do Windows Defender. O usuário desabilitou o Windows Defender – e ao mesmo tempo parece que também desabilitou seu firewall – e tentou novamente. Desta vez funcionou.

No entanto, em vez de uma cópia crackeada da ferramenta de visualização que procurava, o aluno conseguiu um ladrão de informações malicioso que, uma vez instalado, começou a registrar as teclas digitadas, roubando dados do navegador, cookies e da área de transferência e muito mais. Em algum lugar ao longo do caminho, aparentemente também encontrou as credenciais de acesso do aluno à rede do instituto.

Treze dias depois, uma conexão de protocolo de desktop remoto (RDP) foi registrada na rede do instituto usando as credenciais do aluno. Veio de um computador chamado “Totoro”, possivelmente em homenagem ao personagem de anime.

Uma característica do RDP é que uma conexão também aciona a instalação automática de um driver de impressora, permitindo que os usuários imprimam documentos remotamente. Isso permitiu à equipe de investigação do Rapid Response ver que a conexão RDP registrada envolvia um driver de impressora em russo e provavelmente era uma conexão não autorizada. Dez dias depois que essa conexão foi feita, o Ryuk ransomware foi lançado.

“É improvável que os operadores por trás do malware de ‘software pirata’ sejam os mesmos que lançaram o ataque Ryuk”, disse Peter Mackenzie, gerente de Resposta Rápida da Sophos. “O mercado clandestino de redes previamente comprometidas que oferecem aos invasores acesso inicial fácil está prosperando, então acreditamos que os operadores de malware venderam seu acesso para outro invasor. A conexão RDP pode ter sido os ‘corretores’ de acesso testando seu acesso.”

“As investigações de incidentes são cruciais porque nos permitem ver como um ataque se desenrolou e ajudam os alvos a entender e resolver as lacunas de segurança para o futuro. Nesse caso, a implementação de autenticação de rede robusta e controles de acesso, combinados com a educação do usuário final, poderiam ter evitado que esse ataque acontecesse. Ele serve como um poderoso lembrete de como é importante acertar os princípios básicos de segurança. ”

Recomendações

A Sophos recomenda realizar as seguintes ações para ajudar na defesa contra o abuso de acesso à rede:

1. Habilite a autenticação multifator (MFA), sempre que possível, para qualquer pessoa que precise acessar redes internas, incluindo colaboradores e parceiros externos
2. Tenha uma política de senha forte em vigor para todos os que precisam acessar redes internas
3. Desabilite e / ou atualize quaisquer sistemas operacionais e aplicativos não suportados
4. Revise e instale o software de segurança em todos os computadores
5. Reveja e instale regularmente os patches de software mais recentes em todos os computadores – e verifique se foram instalados corretamente
6. Revise o uso de servidores proxy e verifique regularmente as políticas de segurança para evitar o acesso a sites maliciosos e / ou o download de arquivos maliciosos por qualquer pessoa na rede
7. Bloqueie o acesso RDP da área de trabalho remota com regras de rede local (LAN) estáticas, por meio de uma política de grupo ou usando listas de controle de acesso
8. Implemente segregação para qualquer acesso à rede, incluindo LANs (ou considere o uso de LANs virtuais) e, quando necessário, use hardware / software / listas de controle de acesso
9. Revise continuamente as contas de domínio e computadores, removendo aqueles que não são usados ​​ou não são necessários
10. Revise as configurações de firewall e coloque na lista de permissões apenas o tráfego destinado a destinos conhecidos
11. Limite o uso de contas de administrador por diferentes usuários, pois isso incentiva o compartilhamento de credenciais que pode introduzir muitas outras vulnerabilidades de segurança

Fonte: Sophos

Veja também:

• 14 tecnologias híbridas de local de trabalho para impulsionar o futuro do trabalho
• Implantação do trabalho remoto exige estratégia e gerenciamento de risco
• Guardicore analisa o worm Indexsinas
• Webinar “Como construir um plano de governança e segurança adequado a LGPD”
• PIX: o que não te contaram
• NIST lança definição de ‘software crítico’ para rede e recursos de computação
• Micropatches para PrintNightmare estão disponíveis na plataforma 0patch
• PrintNightmare – zero day EoP combinado com RCE – divulgado por “engano” por pesquisadores chineses
• Relatório de Segurança da Força de Trabalho Remota 2021
• O que são contêineres de nuvem e como eles funcionam?
• Novo ransomware baseado em REvil
• AWS adquire serviço de comunicações criptografadas Wickr