Resumimos como é executado um ataque de ransomware direcionado

Os agentes da ameaça por trás do ransomware SamSam, agora identificado pelo FBI em uma denúncia (e um cartaz muito extravagante de Procurado), foram pioneiros em um manual muito específico em seus ataques que inspirou uma série de imitadores. Em julho, a Sophos publicou um relatório que detalha o SamSam TTP, então aqui está uma rápida explicação do TTP (táticas, técnicas e procedimentos) e algumas contramedidas fáceis que você pode aplicar a partir de hoje.

Sumário do procedimento de ataques usados por SamSam

 

Quem ataca pelo SamSam começa por conduzir uma vigilância das vítimas. Eles querem saber se as vítimas tinham fundos suficientemente profundos para pagar o resgate, o que, com o passar do tempo, alcançou a média de US $ 30 mil, com as taxas de câmbio do Bitcoin oscilando.

Aquisição de alvos SamSam

 

De fato, a vigilância pode ter usado uma série de ferramentas disponíveis gratuitamente, mas os principais motivos parecem ser (1) se as vítimas foram baseadas na “Angloesfera” (mundo de língua inglesa, mas principalmente nos EUA) e (2) se tinham dinheiro, e é isso. Alguns ataques de ransomware parecem ter evitado atacar escolas ou hospitais, mas não o SamSam.

Ferramentas utilizadas pelo SamSam durante a fase de intrusão do ataque

 

As pessoas por trás dos ataques contaram com “frutos fáceis” para invadir redes. A maioria dos ataques começa com as senhas forçando os invasores para máquinas Windows que têm RDP (Remote Desktop Protocol) expostas por meio de um buraco no firewall.

Se você tiver portas abertas no firewall para permitir que o RDP faça a conexão da Internet e não esteja atrás de uma VPN, feche essas portas agora. Não importa o quão forte é a senha do Windows. Não vale a pena o risco de mantê-lo aberto.

Alguns ataques iniciais começaram com explorações contra vulnerabilidades em um serviço de aplicativo chamado JBOSS (agora conhecido como Wildfly). Os atacantes usam uma ferramenta de hacking chamada gray-hat disponível chamada JexBoss. Um IoC desse tipo de ataque é o arquivo jbossass.war (MD5: CBDEAF83F58A64B09DF58B94063E0146). Este método rapidamente caiu em desuso em vez de usar o RDP.

SamSam usa sistemas de administração convencional e algumas ferramentas de hack grey-hat

 

Depois que os invasores do SamSam ganharam uma posição na rede, eles usaram uma variedade de ferramentas de administrador e de sistemas para escalar seus próprios privilégios. O objetivo: obter credenciais de administrador de domínio, geralmente farejando-as usando o Mimikatz.

A meta é tomar controle do Controlador de Domínio (Domain Controller)

 

Assim que eles tinham a senha do administrador de domínio, os invasores do SamSam assumiram o controle do controlador de domínio. Eles aproveitaram o DC para distribuir o ransomware para todas as máquinas da rede, mas não o fizeram imediatamente. Eles fizeram os testes primeiro, antes da implantação, para garantir que o DC tivesse privilégios de gravação nas máquinas sob seu domínio.

SamSam empurrou uma instalação usando a ferramenta gratuita Microsoft Sysinternals PsExec

 

Usando a ferramenta gratuita da Microsoft, PsExec, os atacantes empurraram o ransomware para todas as máquinas que puderam acessar do DC, tudo de uma vez.

Eles esperavam até tarde da noite, nos fins de semana ou feriados para lançar o ataque, quando o menor número de pessoas notaria antes que fosse tarde demais.

Nos casos em que um produto de segurança de endpoints estava impedindo a execução do malware, eles aprenderam como usar os consoles de administrador que as empresas usam para gerenciar produtos de segurança e desabilitar seletivamente produtos de segurança usando, isso mesmo, as credenciais de administrador roubadas.

No mínimo, os usuários do nível de administrador devem usar a autenticação de dois fatores para todos os serviços e contas confidenciais.

Para tornar mais difícil para os especialistas em segurança analisar o malware, eles criaram amostras exclusivas para cada organização vítima e as executaram usando um arquivo em lotes que descriptografou a carga útil com uma senha que eles alteraram para cada ataque. O malware sempre excluiu seu próprio instalador de qualquer outro traço como uma etapa final. Conseguir cópias dos arquivos associados ao ataque tem sido um desafio desde os primeiros dias, mas não foi impossível.

Os invasores do SamSam refinaram o procedimento de criptografia muitas vezes ao longo de dois anos

 

O ransomware SamSam também aumentou os limites de eficiência. Ele criptografou os arquivos mais importantes primeiro e, depois, tudo o mais que não era essencial para manter a máquina em execução.

Os consensos eram mais sérios do que com o ransomware convencional. Por exemplo, você não pode restaurar arquivos de dados de backups para voltar a funcionar, porque todos os seus aplicativos também estão inacessíveis. Você precisa recriar a imagem do disco primeiro e restaurar todos os aplicativos antes de poder restaurar os arquivos de dados.

Era um ato puramente maligno e praticamente garantido que os dados eram irrecuperáveis ​​em uma quantidade razoável de tempo na escala de redes inteiras, tudo de uma vez. Por exemplo, se fosse necessário 30 minutos para recriar a imagem de um disco em uma única máquina e outros 15 para recuperar os dados de backups offline, quanto tempo levaria para fazer o mesmo em 100 máquinas? E quanto em 1000 máquinas?

Você poderia fazer isso por uma organização global massiva com rapidez suficiente para não incorrer em grandes perdas? E se você não fosse apenas uma rede de jogos e as vidas literalmente estivessem em jogo?

Diante de uma perspectiva de, talvez, semanas de inatividade e recuperação meticulosa, e a consequente perda de produtividade, não é surpreendente que muitas vítimas tenham optado por pagar os invasores do SamSam. Para muitos, era uma questão de sobrevivência organizacional, apesar de ser uma lição custosa de aprender.

Todas as vítimas recebiam um endereço único na dark web. No outro extremo, havia um tipo de sistema de bate-papo em que a vítima interagia diretamente com os invasores do SamSam.

Os invasores da SamSam se comunicam com as vítimas através de uma página de bate-papo na Dark Web

 

E isso tudo desaparecia assim que a vítima pagasse. Apenas algumas capturas de tela restaram. Este acima foi compartilhado com a Sophos por uma vítima que trabalhou com eles para investigar o ataque retrospectivamente.

A Sophos rastreou os pagamentos do Bitcoin para um pequeno número de carteiras. O cryptocurrency foi então “misturado” para ofuscar a sua origem e destino.

Os atacantes lavaram seu Bitcoin através de serviços “tumbler”

 

Foram rastreados muitos destes de volta às suas origens e foi encontrado algo bastante interessante

Embora muitas vítimas, incluindo a cidade de Atlanta, tenham admitido abertamente que haviam sido alvo do SamSam, mais da metade das vítimas pagantes nunca fez nenhum tipo de anúncio público ou divulgação do ataque.

Mais da metade das vítimas do SamSam nunca fizeram um anúncio público sobre o ataque

Todas essas “vítimas silenciosas” eram grandes empresas.

Também está claro que os invasores do SamSam tinham um único país basicamente em sua mira, quando você correlaciona a localização das organizações vitimadas.

Agora que sabemos quem foram os atacantes, a motivação parece óbvia.

As notícias sobre o FBI identificando e acusando os agentes de ameaça do SamSam é um avanço significativo, mas isso não significa que o caso esteja fechado. Longe disso, na verdade.

Ninguém foi preso, e ainda há muita coisa há ser revelada.

Pior, vários outros grupos de ameaças perceberam esse modus operandi e estão imitando a técnica SamSam para espalhar o ransomware. Esses ataques direcionados, meticulosos e entregues manualmente ainda estão em andamento.

Então, ainda há muito trabalho a fazer. Feche as portas RDP! Aplique patch em suas caixas antigas! Segmente a rede para que tudo não seja alcançado a partir de um único ponto.

Fonte: Sophos News