Um executável do GandCrab ganhou vida por um instante, antes que sua breve existência fosse eliminada pelo software antivírus.

Pouco antes das 21h de domingo, 3 de fevereiro de 2019 o ransomware foi parado em suas trilhas, o malware desencadeou o primeiro do que rapidamente se tornaria centenas de alertas separados para um provedor de assistência à saúde dos EUA sob o controle de um ataque de ransomware direcionado.

A rede de cerca de 500 computadores da organização, afastou dois ataques envolvendo o ransomware GandCrab. Como alguns dos computadores da rede não eram protegidos por antivírus, o ataque forneceu uma ilustração excepcionalmente colorida de como um ataque de ransomware direcionado, com diferentes camadas de proteção atingindo a defesa.

É assim que o ataque se desenrolou. E como você pode impedir que isso aconteça com você?

O ransomware é um malware que criptografa o conteúdo de um computador e, em seguida, exige um resgate em troca de descriptografá-lo. O ransomware é normalmente distribuído em ataques de grande escala e não direcionados, usam sites maliciosos ou anexos de e-mail para infectar o maior número possível de vítimas. As vítimas geralmente são solicitadas a pagar algumas centenas de dólares em Bitcoin para se libertarem do controle do ransomware.

Um dos tipos mais populares de ransomware usados ​​nessas campanhas é o GandCrab. Seus criadores o propagam para qualquer pessoa que queira usá-lo usando o modelo Ransomware-as-a-Service, que garante a eles uma porcentagem de cada resgate que é extorquido. Os usuários do GandCrab escolhem o resgate que desejam exigir, o que geralmente varia de algumas centenas a alguns milhares de dólares por computador.

Mas nos últimos dois anos, surgiu um novo modelo para ataques de ransomware.

Alguns criminosos estão se afastando da distribuição “atire e esqueça” em favor de ataques guiados altamente focados, geralmente chamados ataques direcionados.

Em um ataque direcionado, os operadores de ransomware escolhem uma vítima, entram em sua rede e implementam seu ransomware com o máximo de efeito. Geralmente, isso significa segmentar os servidores de uma organização, embora, ocasionalmente, como neste caso, um invasor simplesmente define o maior número de computadores possível.

A entrega manual do malware ao seu destino permite que os hackers se adaptem: eles podem realizar reconhecimento, realizar seu trabalho usando ferramentas padrão de administração do sistema, aprender com seus erros, responder às defesas e, se não forem removidos da rede, persistir até encontrar uma abordagem que funcione.

O efeito dessa abordagem é transformar organizações inteiras em vítimas, e não apenas usuários individuais, e o pagamento pelo esforço extra envolvido na execução desse tipo de ataque é, em geral, enormes resgates de cinco ou seis dígitos.

Ransomware direcionados têm sido tipicamente associados à ataques específicos de malwares especializados, como BitPaymer, SamSam ou Ryuk. O RaaS, como o GandCrab, permite que trapaceiros com menos habilidade técnica entrem em ação sem precisar criar sua própria infra-estrutura de ransomware, comando e controle ou manuseio de pagamento.

Ingresso

Os ataques direcionados modernos quase sempre começam com um invasor entrando na rede da vítima, forçando as credenciais de um computador com o protocolo RDP (Remote Desktop Protocol) ativado. Isso parece ser como os hackers entraram aqui. Apesar das tentativas da organização de limitar o acesso RDP a faixas de IP específicas e a terceiros, os computadores com portas RDP abertas eram visíveis nos resultados do mecanismo de pesquisa Shodan, onde os invasores geralmente procuram vítimas.

Senhas mais fortes ou autenticação de dois fatores provavelmente teriam interrompido o ataque, enquanto a desativação do RDP ou a limitação para usuários na VPN da empresa (Virtual Private Network) teria removido a organização da lista de destinos do invasor por completo.

Os invasores conseguiram adivinhar uma senha de administrador de fora da rede ou adquiriram acesso de administrador depois de invadir a rede.

Embora não tenham sido encontrados neste ataque, o mesmo grupo foi ligado a outros ataques que contavam com a ferramenta NLBrute, e o Mimikatz, uma ferramenta que permite que invasores elevem seus privilégios após invadirem extraindo senhas de administrador da memória.

Os invasores entravam ou moviam-se lateralmente para um computador que atuava como host de várias máquinas virtuais que executavam serviços vitais para a organização. Criticamente, embora grande parte da rede tenha sido protegida pelo Sophos Endpoint Protection, a organização optou por não instalá-lo neste computador, o que o tornou o local perfeito para os invasores se esconderem, prepararem e depois iniciarem o ataque.

Reconhecimento

Escondidos, os atacantes descarregaram seu kit de ferramentas no diretório C: \ PerfLogs \ Apps. Eles examinaram a rede da vítima usando duas ferramentas – KPortScan3.exe e NetworkShare.exe – e compilaram uma lista dos endereços IP que tentariam infectar com o GandCrab.

Se o servidor estivesse executando o software de segurança de ponto final, é provável que esses dois utilitários tivessem sido acionado um alerta e sido bloqueados (o software Sophos em execução em outro local da rede os bloqueia como Aplicativos Potencialmente Indesejados).

Juntamente com suas ferramentas de reconhecimento, os bandidos também prepararam vários scripts em lote e uma cópia do GandCrab 5.1 renomeou o Adobe Acrobat.exe.

Primeira onda

Tendo varrido a rede, os atacantes iniciam o ataque usando psexec EXE.bat, um pequeno script em lote que usa o utilitário PsExec para copiar o GandCrab, sob o nome Adobe Acrobat.exe, para cada endereço IP no arquivo ip.txt.

O PsExec faz parte da Microsoft Sysinternals e a Microsoft descreve-o como:

“… Uma substituição de telnet leve que permite executar processos em outros sistemas, completos com interatividade total para aplicativos de console, sem ter que instalar manualmente o software do cliente.”

Os administradores de sistemas utilizam para distribuir e executar software em toda a rede, o que a torna a ferramenta perfeita para os hackers que procuram espalhar o ransomware. (Por esse motivo, a Sophos trata o PsExec como um Aplicativo Potencialmente Indesejado e o bloqueia por padrão. Os administradores são livres para desbloqueá-lo, mas são encorajados a fazê-lo seletivamente, para o menor número de usuários úteis.)

Por conveniência, não é incomum que os administradores removam o PsExec da lista de PUAs por completo, e é isso que os administradores da rede da vítima fizeram aqui.

Se tivesse permanecido na lista de PUAs, um alerta teria sido acionado e o invasor não conseguiria copiar o malware da máquina desprotegida para seus alvos.

Os executáveis ​​GandCrab foram modificados para evitar a detecção estática baseada em assinatura, mas foram detectados pelo monitoramento comportamental assim que começaram a ser executados. (O monitoramento comportamental da Sophos os bloqueou como HPmal / GandKrb-A e a detecção estática foi adicionada ao Troj / Gandcra-AH.)

O monitoramento comportamental foi desativado em alguns servidores e, nesses computadores, os executáveis ​​foram interrompidos pelo CryptoGuard do Intercept X, que detectou as tentativas do malware de criptografar arquivos.

A mesma defesa anti-criptografia também entrou em cena para proteger os dados em computadores que compartilhavam unidades de rede com sistemas desprotegidos. Os executáveis ​​de malware escondidos na memória de computadores desprotegidos estavam ocultos do software de segurança, mas quando tentavam criptografar arquivos em unidades compartilhadas por computadores protegidos, a criptografia era interrompida e os sistemas ofensivos isolados.

Como é necessário que alguma atividade ocorra tanto para a detecção comportamental quanto para as contramedidas contra criptografia, o malware conseguiu soltar algumas notas de resgate.

Isso deu à vítima a oportunidade de investigar quanto de resgate teriam sido cobrados, e mergulhar seu dedo no mundo desconcertantemente polido do ambiente GandCrab RaaS.

A nota de resgate direcionou a vítima a uma página no site GandCrab Dark http://gandcrabmfe6mnef.onion/<unique code> (observe o invulgar domínio da vaidade) onde eles poderiam se identificar com uma nota de resgate.

A demanda? Um escalonamento de US $ 18.750 por máquina, duplicando após seis dias. Muito mais do que o resgate típico de uma campanha de spam não premiada.

Segunda onda

Cerca de dez minutos depois que a primeira onda de ataques encalhou, um segundo ataque GandCrab usando uma técnica interessante de Injeção PE Reflexiva começou. Ele foi iniciado por outro script em lote baseado no PsExec, chamado psexec BAT.bat, que copiou o script backup.bat para todos os computadores listados em ip.txt antes de invocá-lo.

O script backup.bat inicia o PowerShell e chama algum código codificado em base64.

A função programada para ser executada em 1 milhão de segundos contém uma cópia codificada com base64 do malware GandCrab, que é carregado diretamente na memória pelo PowerShell. Essa técnica é uma tentativa de desviar do software antivírus usando um executável legítimo, o PowerShell, e evitando gravações do sistema de arquivos.

Não funcionou – as cópias pausadas do GandCrab na memória foram capturadas pela proteção comportamental e identificadas como HPmal / Ransom-Z novamente. Desde então, a detecção estática foi adicionada para backup.bat, que é detectado como Troj / BatDldr-Z.

A PE Injection reflexiva é uma técnica de malware sem filtro que já existe há algum tempo, mas as primeiras informações que descobrimos que mostram o GandCrab sendo invocado dessa maneira, com um atraso de um milhão de segundos, foram publicadas em fevereiro de 2018.

Nesse caso, o código foi acionado por uma macro do Word em um documento baixado por um PDF, entregue em uma campanha de spam. A Sophos, desde então, viu o código usado em um pequeno número de ataques de ransomware direcionados, a partir de dezembro de 2018.

O atraso de 1 milhão de segundos é curioso. Faz sentido que o invasor possa tentar duas abordagens diferentes, uma vez que aumenta suas chances de sucesso. Mas por que não executá-los simultaneamente e reduzir o tempo que a vítima tem que responder?

Não sabemos por que a segunda onda foi configurada para sair com esse atraso, mas podemos especular. Se ambas as ondas do ataque tivessem sido bem sucedidas, a vítima teria sido atingida duas vezes, com dois pedidos de resgate, com pouco menos de duas semanas de intervalo. O hiato entre eles talvez seja tempo suficiente para permitir que a vítima pague o resgate e se recupere do primeiro ataque, mas não há tempo suficiente para fazer mudanças significativas na administração do computador.

O que fazer?

Defender-se contra um ataque determinado e direcionado exige defesa em profundidade e, como em muitas coisas, é melhor prevenir do que remediar. Isso começa com a garantia de que o acesso ao RDP é seguro e termina com backups regulares, abrangentes e fora do local, com muito mais no meio.

Para ler mais sobre essas coisas e as medidas preventivas que você pode tomar para se proteger contra ransomware direcionado de todos os tipos, leia nosso artigo sobre como se defender contra o SamSam ransomware.