Segurança da Informação – Como um ataque tipo SamSam acontece e o que você pode fazer para prevenir.
Segurança da Informação – Os agentes de ameaça por trás do ransomware SamSam, agora identificado pelo FBI em uma denúncia (e um cartaz muito extravagante de Most Wanted), foram pioneiros em um manual muito específico em seus ataques que inspirou uma série de imitadores.
Os atacantes do SamSam começaram por conduzir a vigilância das vítimas. Eles queriam saber se as vítimas tinham “bolsos cheios” para pagar o resgate, o que, com o passar do tempo, alcançou a média de US$ 30 mil, com as taxas de câmbio do Bitcoin oscilando.
De fato, a vigilância pode ter usado uma série de ferramentas disponíveis gratuitamente, mas os principais motivos parecem ser que as vítimas foram baseadas na “Anglo-esfera” (mundo de língua inglesa, mas principalmente nos EUA) e que tinham dinheiro. Alguns atacantes de ransomware parecem ter evitado atacar escolas ou hospitais, mas não o SamSam.
Os atacantes contaram com “frutos fáceis” para invadir redes. A maioria dos ataques começa com as senhas forçando os invasores para máquinas Windows que têm RDP (Remote Desktop Protocol) expostas por meio de um buraco no firewall.
“Se você tiver portas abertas em seu firewall para permitir que o RDP seja da Internet e não esteja atrás de uma VPN, feche essas portas agora. Não importa o quão forte é a senha do Windows. É não vale o risco de mantê-lo aberto.”
Alguns ataques iniciais começaram com explorações contra vulnerabilidades em um serviço de aplicativo chamado JBOSS (agora conhecido como Wildfly). Os atacantes usam uma ferramenta de hacking chamada gray-hat publicamente disponível chamada JexBoss. Um IoC desse tipo de ataque é o arquivo jbossass.war (MD5: CBDEAF83F58A64B09DF58B94063E0146). Este método rapidamente caiu em desuso em vez de usar o RDP.
Depois que os invasores do SamSam ganharam uma posição na rede, eles usaram uma variedade de ferramentas de administrador e de sistemas para escalar seus próprios privilégios. O objetivo: obter credenciais de administrador de domínio, geralmente farejando-as usando o Mimikatz.
Assim que eles tinham a senha do administrador de domínio, os invasores do SamSam assumiram o controle do controlador de domínio. Eles alavancaram o DC para distribuir o ransomware para todas as máquinas da rede, mas não o fizeram imediatamente. Eles fizeram os testes primeiro, antes da implantação, para garantir que o DC tivesse privilégios de gravação nas máquinas sob seu domínio.
Usando a ferramenta gratuita da Microsoft, PsExec, os atacantes empurraram o ransomware para todas as máquinas que puderam acessar do DC, tudo de uma vez.
Eles esperavam até tarde da noite, nos fins de semana ou feriados para lançar o ataque, quando o menor número de pessoas notaria antes que fosse tarde demais.
Nos casos em que um produto de segurança de endpoints estava impedindo a execução do malware, eles aprenderam como usar os consoles de administrador que as empresas usam para gerenciar produtos de segurança e desabilitar seletivamente produtos de segurança usando (você adivinhou) credenciais de administrador roubadas.
No mínimo, os usuários do nível de administrador devem usar a autenticação de dois fatores para todos os serviços e contas confidenciais.
Para tornar mais difícil para os especialistas em segurança analisar o malware, eles criaram amostras exclusivas para cada organização vítima e as executaram usando um arquivo em lotes que descriptografou a carga útil com uma senha que eles alteraram para cada ataque.
O malware sempre excluiu seu próprio instalador de qualquer outro traço como uma etapa final. Obter cópias dos arquivos associados ao ataque tem sido um desafio desde os primeiros dias, mas não foi impossível.
O ransomware SamSam também aumentou os limites de eficiência. Ele criptografou os arquivos mais importantes primeiro e depois tudo o mais que não era essencial para manter a máquina em execução.
Os consensos eram mais sérios do que com o ransomware convencional. Por exemplo, você não pode simplesmente restaurar arquivos de dados de backups para voltar a funcionar, porque todos os seus aplicativos também estão inacessíveis.
Você precisa recriar a imagem do disco primeiro e restaurar todos os aplicativos antes de poder restaurar os arquivos de dados.
Era um ato puramente maligno e praticamente garantido que os dados eram irrecuperáveis em uma quantidade razoável de tempo na escala de redes inteiras, tudo de uma vez.
Se fosse necessário (apenas por exemplo) 30 minutos para recriar a imagem de um disco em uma única máquina e outros 15 para recuperar os dados de backups off-line, quanto tempo levaria para fazer o mesmo em 100, 1000 ou em 10.000 máquinas?
Você poderia fazer isso por uma organização global massiva com rapidez suficiente para não incorrer em grandes perdas?
Diante de uma perspectiva de, talvez, semanas de inatividade e recuperação meticulosa, e a consequente perda de produtividade, não é surpreendente que muitas vítimas tenham optado por pagar os invasores do SamSam.
Para muitos, era uma questão de sobrevivência organizacional, apesar de ser uma lição custosa de aprender.
Todas as vítimas recebiam um endereço único na ”Deep Web”. No outro extremo, havia um tipo de sistema de bate-papo em que a vítima interagia diretamente com os invasores do SamSam.
Estes desapareceram assim que a vítima pagou. Apenas alguns screenshots existem. Este foi compartilhado por uma vítima para ajudar na investigação do ataque retrospectivamente.
Os pagamentos do Bitcoin foram rastreados para um pequeno número de carteiras. O cryptocurrency foi então “tombado” para ofuscar a sua origem e destino.
Embora muitas vítimas, incluindo a cidade de Atlanta, tenham admitido abertamente que haviam sido alvo do SamSam, mais da metade das vítimas pagantes nunca fez nenhum tipo de anúncio público.
Todas essas “vítimas silenciosas” eram grandes empresas.
Também está claro que os invasores do SamSam tinham um único país basicamente em sua mira, uma vez que você correlaciona a localização das organizações vitimadas.
Agora que sabemos quem foram os atacantes, a motivação parece óbvia.
As notícias sobre o FBI identificando e acusando os agentes de ameaça do SamSam nos deixam felizes, mas isso não significa que o caso esteja encerrado. Longe disso, na verdade.
Ninguém foi preso, e ainda há muita coisa por aí.
Pior, vários outros grupos de ameaças perceberam esse modus operandi e estão imitando a técnica SamSam para espalhar o ransomware. Esses ataques direcionados, com luvas manuais e entregues manualmente ainda estão em andamento.
Então, todos nós temos muito trabalho a fazer. Essa luta só está entrando na próxima fase. Feche as portas RDP! Patch suas caixas antigas! Segmente a rede para que tudo não possa ser alcançado a partir de um único ponto.
Tem algo a dizer sobre este artigo? Comente abaixo ou compartilhe conosco no Facebook, Twitter ou no nosso LinkedIn.
Leia também:
– Segurança da Informação – O que é Confiança Zero? Proteja a Transformação Digital.
– Práticas recomendadas de segurança física de um Data Center.
– Ransomware Ryuk surge em campanha altamente segmentada e altamente lucrativa.
– Pesquisadores desenvolveram Malware Furtivo com Inteligência Artificial.
– Monitoramento Contínuo de Segurança da Informação para combate a ameaças contínuas.