Por Microsoft Threat Protection Intelligence Team e Microsoft Threat Intelligence Center (MSTIC)
As campanhas de ransomware (ameaças digitais conhecidas por sequestrar sistemas particulares ou corporativos em troca de resgate) operadas por humanos estão sempre à procura um ponto vulnerável para ganhar acesso ao sistema das empresas. Durante esse período de crise, à medida que as organizações adotaram o modelo de trabalho remoto, os operadores de ransomware encontraram um alvo prático: os dispositivos de rede como gateway e dispositivos de rede virtual privada (VPN). Infelizmente, um setor particularmente exposto a esses ataques é o de saúde.
Como parte do monitoramento intensificado e da remoção de ameaças que exploram a crise do COVID-19, a Microsoft tem enfatizado a proteção de serviços críticos, especialmente hospitais. Agora, mais do que nunca, os hospitais precisam se proteger de ataques que podem impedir o acesso a esses sistemas, causar tempo de inatividade ou roubar informações confidenciais.
Por que os invasores usam ransomware operado por humanos
Diversos criminosos digitais exploram vulnerabilidades em dispositivos de rede, mas as campanhas de ransomware operadas por humanos estão vendo uma grande oportunidade. A REvil (também conhecida como Sodinokibi) é uma das campanhas de ransomware que exploram ativamente as vulnerabilidades de gateway e VPN para marcar presença nas organizações-alvo. Após uma pesquisa bem sucedida, os invasores roubam credenciais, aumentam seus privilégios no sistema e avançam lateralmente pelas redes comprometidas para garantir a oportunidade de instalar o ransomware ou outras ameças.
A Microsoft tem acompanhado o REvil como parte de um monitoramento mais amplo de ataques de ransomware operados por humanos. Nossas campanhas de informações sobre ransomware mostram uma sobreposição entre a infraestrutura de malware que o REvil foi observado usando no ano passado e a infraestrutura usada em ataques VPN mais recentes. Isso indica uma tendência contínua entre os invasores de redirecionar táticas, técnicas e procedimentos antigos para novos ataques que tiram vantagem da crise atual. Não vimos inovações técnicas nesses novos ataques, apenas táticas de engenharia social adaptadas para atacar os medos das pessoas e a necessidade urgente de informações.
Eles empregam métodos operados por humanos para atingir organizações que são mais vulneráveis a interrupções – as que que não tiveram tempo ou recursos para verificar sua segurança, como instalação de patches mais recentes, atualização de firewalls e verificação dos níveis de integridade e privilégio de usuários e endpoints – aumentando, portanto, a probabilidade de um pagamento de resgate.
Os ataques de ransomware operados por humanos são superiores aos automatizados. Os adversários por trás deles exibem amplo conhecimento de administração de sistemas e das configurações de segurança incorretas mais comuns que, geralmente, estão mais abaixo na lista de prioridades para “corrigir agora”. Depois que os invasores se infiltram em uma rede, eles realizam um reconhecimento completo e escalam seus privilégios com base nas deficiências de segurança e nos serviços vulneráveis que descobrem em suas explorações.
Nesses ataques, os adversários se mantêm em redes não detectadas, às vezes por meses, analisando o ambiente. Por fim, instalam o ransomware. Esse tipo de ataque é mais difícil de corrigir. Trata-se de um desafio para os defensores, que devem procurar extensivamente onde os invasores instalaram o código, portas de entrada do sistema, credenciais, pontos de extremidade ou aplicativos de email comprometidos.
Vimos algo e dissemos alguma coisa
A crise global exige que todos avancem, pois os criminosos também estão explorando a crise de forma ativa. Por meio da vasta rede de fontes de inteligência com foco em ameaças da Microsoft, identificamos dezenas de hospitais com dispositivos de gateway e VPN vulneráveis em sua infraestrutura. Para ajudar esses hospitais, muitos deles lotados de pacientes, enviamos uma notificação inédita, com informações importantes sobre as vulnerabilidades, como os atacantes podem tirar proveito delas e uma recomendação para aplicar atualizações de segurança que protegerão contra vulnerabilidades específicas.
Ao gerenciar a infraestrutura de VPN ou servidor virtual privado (VPS), é essencial que as organizações saibam o status atual dos patches de segurança relacionados. As equipes de inteligência de ameaças da Microsoft observaram vários criminosos visando sistemas VPN desprotegidos por meses. Em outubro de 2019, a National Security Agency (NSA) e o National Cyber Security Centre (NCSC) emitiram alertas sobre esses ataques e incentivaram as empresas a corrigir as falhas.
À medida que as organizações adotam o trabalho remoto à luz da pandemia, estamos vendo sinais nos serviços de Proteção contra Ameaças da Microsoft (Microsoft Defender ATP, Office 365 ATP e Azure ATP) de que os atacantes por trás do ransomware REvil estão ativamente procurando por sistemas vulneráveis. Os invasores também foram observados usando os recursos de atualização dos clientes VPN para implantar malware.
A Microsoft recomenda enfaticamente que todas as empresas analisem a infraestrutura VPN para atualizações, pois os atacantes estão adaptando ativamente as explorações para aproveitar os trabalhadores remotos.
Como detectar, proteger e impedir esse tipo de ransomware
A Agência de Segurança Cibernética e Segurança de Infraestrutura do Departamento de Segurança Interna (DHS) (CISA) e o Instituto Nacional de Padrões e Tecnologia do Departamento de Comércio (NIST) publicaram orientações úteis sobre a proteção da infraestrutura VPN / VPS.
Entendemos o quão estressante e desafiador é esse tempo para todos nós, incluindo os administradores de sistema. Por isso, recomendamos o foco imediato para reduzir o risco de ameaças que exploram gateways e vulnerabilidades da VPN:
- Aplique todas as atualizações de segurança disponíveis nas configurações de VPN e firewall.
- Monitore e preste atenção especial à sua infraestrutura de acesso remoto. Quaisquer detecções de produtos de segurança ou anomalias encontradas nos logs de eventos devem ser investigadas imediatamente. Em caso de comprometimento, verifique se qualquer conta usada nesses dispositivos possui uma redefinição de senha, pois as credenciais podem ter sido extraídas.
- Ative as regras de redução da superfície de ataque, incluindo regras que bloqueiam o roubo de credenciais e a atividade de ransomware. Para lidar com atividades maliciosas iniciadas por meio de documentos armados do Office, use regras que bloqueiem atividades avançadas de macro, conteúdo executável, criação de processos e injeção de processos iniciados por aplicativos do Office. Para avaliar o impacto dessas regras, implante-as no modo de auditoria.
- Ative o AMSI para Office VBA se você tiver o Office 365.
Para ajudar as organizações a criar uma postura de segurança mais forte contra o ransomware operado por humanos, publicamos um relatório abrangente e fornecemos etapas de mitigação para tornar as redes resistentes a essas ameaças e ataques cibernéticos em geral. Essas mitigações incluem:
- Proteja os ativos voltados para a Internet e garanta que eles tenham as atualizações de segurança mais recentes. Use o gerenciamento de ameaças e vulnerabilidades para auditar regularmente esses ativos em busca de vulnerabilidades, configurações incorretas e atividades suspeitas.
- Proteja o Gateway de Área de Trabalho Remota usando soluções como a Autenticação Multifator do Azure (MFA). Se você não possui um gateway MFA, ative a autenticação no nível da rede (NLA).
- Pratique o princípio do menor privilégio e mantenha a limpeza das credenciais. Evite o uso de contas de serviço em nível de administrador e em todo o domínio. Aplique senhas fortes de administrador local, aleatórias e just-in-time. Use ferramentas como o LAPS.
- Monitore as tentativas de força bruta. Verifique tentativas excessivas de autenticação com falha (ID de evento de segurança do Windows 4625).
- Monitore a limpeza de logs de eventos, especialmente o log de eventos de segurança e os logs operacionais do PowerShell. O Microsoft Defender ATP gera o alerta “O log de eventos foi limpo” e o Windows gera uma identificação de evento 1102 quando isso ocorre.
- Determine onde as contas altamente privilegiadas estão fazendo logon e expondo credenciais. Monitore e investigue eventos de logon (ID do evento 4624) para atributos do tipo logon. Contas de administrador de domínio e outras contas com alto privilégio não devem estar presentes nas estações de trabalho.
- Utilize o Windows Defender Firewall e o firewall da rede para impedir a comunicação RPC e SMB entre os terminais sempre que possível. Isso limita o movimento lateral, bem como outras atividades de ataque.
Continuamos a trabalhar com nossos clientes, parceiros e a comunidade de pesquisa para rastrear ransomware operado por humanos e outras tendências que os atacantes estão usando para tirar proveito dessa crise global.
Para obter mais orientações sobre como permanecer protegido durante essa crise, continuaremos compartilhando atualizações em nossos canais do blog.
Fale Conosco
Perguntas, preocupações ou ideias sobre essa história? Participe de discussões na comunidade de tecnologia Microsoft Threat Protection.
Leia todas as postagens do blog de inteligência de segurança da Microsoft.
Siga-nos no Twitter @MsftSecIntel.
