Ransomware é a ameaça cibernética mais destruidora que enfrentamos nos dias atuais, essa ameaça afeta praticamente todos os setores e tem origens diversas, fato que as equipes de segurança precisam levar em consideração para sua estratégia de defesa. Para piorar as coisas, a ameaça de ransomware não para de evoluir, os ataques estão se transformando de ataques de phishing de base ampla em uma grande rede de ataques altamente direcionados a organizações específicas e você deve proteger sua organização contra ambas as formas de ataque.
O ponto de vista do invasor
Hoje, os invasores não exploram apenas o computador de um usuário final para obter acesso inicial a uma rede. Eles acrescentaram métodos comprovados de ataque de phishing para se propagar rapidamente pelas redes e outros dispositivos e ativos. Estamos agora em um mundo em que praticamente qualquer dispositivo, aplicação, sistema operacional ou rede pode se tornar o ponto de entrada de um invasor. A superfície de ataque em expansão e os ambientes repletos de vulnerabilidades fazem com que seja quase impossível evitar que os invasores comprometam pelo menos um ponto de entrada.
Além disso, os invasores não seguem mais um caminho linear até o alvo, eles adotam uma abordagem dinâmica com base no ambiente do dispositivo comprometido. As táticas do invasor costumam incluir evasão de defesas, execução de código malicioso, coleta de credenciais, enumeração da rede e do Active Directory (AD) e ataques a senhas. O invasor coleta informações, analisa o ambiente, explora vulnerabilidades e configurações incorretas, tudo no esforço de se mover lateralmente para repetir o ciclo e, por fim, obter ainda mais privilégios. O AD é quase sempre o primeiro alvo dos invasores nesse caso, porque ele é o principal método de autenticação e autorização usado pela grande maioria das organizações. Depois que o invasor obtém privilégios no AD, o trabalho está quase concluído. As etapas finais incluem copiar os dados-alvo, implementar ransomware (geralmente via política de grupos), estabelecer persistência e backdoors, excluir arquivos de backup e acionar a criptografia da infraestrutura de rede.
DARKSIDE - RANSOMWARE
O ransomware-as-a-service (RaaS) DarkSide, um dos ataques mais divulgados em 2021, suspendeu quase metade do suprimento de combustível para a Costa Leste dos EUA por mais de uma semana. Os detalhes que surgiram sobre o ransomware DarkSide são reveladores e indicativos de onde as organizações devem focar seus esforços para proteger suas redes. Os invasores raramente usam a mesma via para entrar, se mover lateralmente e obter privilégios em uma organização, mas os alvos são os mesmos.
Ponto de entrada
O DarkSide usa phishing, abuso de protocolo de desktop remoto (RDP) e exploração de vulnerabilidades conhecidas e configurações incorretas como as principais táticas para obter acesso a uma rede. Semelhante aos outros ransomwares modernos, a entrada inicial em uma rede não é tudo o que o invasor precisa para implementar o ransomware. Os invasores usam muitas outras táticas para ir do ponto de entrada aos dados ou aos resultados desejados.
Enumeração e reconhecimento
Os invasores precisam reunir informações para saber por onde podem se mover em uma rede. Frequentemente, essa enumeração indica o Active Directory, que contém informações sobre contas, privilégios e recursos de rede. O DarkSide costuma usar ferramentas como PowerShell e Bloodhound para coletar essas informações. Essas ferramentas funcionam com privilégios somente leitura para obter as informações necessárias de um controlador de domínio. Depois que a enumeração do Active Directory é concluída, o invasor determina quais objetos e configurações podem ser atacados e quais podem ser explorados. Se o invasor tiver coletado credenciais no ponto de entrada, ele poderá comparar rapidamente as credenciais obtidas com os dados enumerados para verificar se alguma credencial existente tem privilégios no Active Directory. Se for esse o caso, nenhum outro ataque será necessário para se obter controle total do Active Directory.
Movimento lateral e escalonamento de privilégios
Claramente, o DarkSide tem o Active Directory e os controladores de domínio como os principais alvos para a realização de um ataque. Ao utilizar o Active Directory, o DarkSide busca roubar credenciais, escalonar privilégios e adquirir outros ativos valiosos para a aquisição de dados. Depois de obter os privilégios do Active Directory, o DarkSide aproveita a política de grupos e o compartilhamento da rede do DC para a implementação de ransomware em todos os computadores associados ao domínio. As técnicas e os métodos de movimento lateral incluem PSExec e RDP. No entanto, dependendo do dispositivo que foi explorado mais recentemente, quase qualquer técnica de APT pode ser utilizada para fazer a correspondência de hardware, software, aplicações, serviços e patches à sua frente.
Fim do jogo
De forma semelhante ao Ryuk, o DarkSide também exclui cópias de sombra de volume e backups e interrompe outras soluções que seriam úteis para restaurar os dispositivos a um estado normal. O DarkSide também é conhecido por práticas de dupla extorsão que colocam as vítimas entre a cruz e a espada: pagar um resgate ou ter seus dados expostos para o mundo todo. Curiosamente, o ransomware nunca entrou no lado de tecnologia operacional (OT) da rede. O duto foi fechado para impedir que isso acontecesse. Era claro que a próxima etapa do ataque seria entrar na rede de OT e provocar a interrupção, além de adicionar backdoors para acesso futuro.
Como se defender contra ransomware
Em poucas palavras, ransomware é a monetização da má higiene cibernética. O que significa ter uma boa higiene cibernética? Essencialmente, a implementar os principais preceitos básicos. Especialistas cibernéticos como a U.S. Cybersecurity and Infrastructure Security Agency (CISA) e o U.K. National Cyber Security Centre (NCSC) enfatizam continuamente os preceitos básicos, como:
Promover sessões de treinamentos de conscientização sobre segurança cibernética para diminuir os ataques de phishing;
Segmentar as redes para separar diversas unidades de negócios e recursos para conter uma invasão;
Habilitar a autenticação multifator (MFA) em todos os lugares;
Manter backups criptografados frequentes dos dados e das imagens do sistema;
Realizar continuamente o gerenciamento de vulnerabilidades baseado em riscos e a avaliação do Active Directory de toda a superfície de ataque.
Defender-se contra ransomware exige abordar as falhas de forma proativa antes que elas sejam utilizadas em ataques. É crítico ver todas as vulnerabilidades e as configurações incorretas na sua superfície de ataque, prever os principais problemas com base em threat intel e agir rapidamente para abordar o risco cibernético. Incorporar essas seis etapas no aspecto diário das operações de segurança será uma grande ajuda para mitigar as ameaças representadas por ransomware, para que ataques de ransomware não passem de tentativas.
Fonte: Tenable