SentinelOne explica a dinâmica do ataque do REvil, o maior ataque de todos os tempos
Ransomware fez mais de 1,5 mil vítimas, clientes da Kaseya. Ameaça é detectada e atenuada por solução XDR moderna para defender o uso impróprio de executáveis do sistema operacional integrado (LOLBINs)
O ataque do REvil parece ser o maior
incidente de ransomware em grande escala até hoje. Fez mais de 1,5 mil vítimas,
clientes da Kaseya, desenvolvedora de um software para gerenciamento de redes,
sistemas e infraestrutura de TI. Sediada em Miami, Flórida, com filiais nos
Estados Unidos, Europa e Ásia-Pacífico, os servidores Kaseya VSA da empresa
foram atacados em 02 de julho por uma bem orquestrada campanha, usando uma
vulnerabilidade do software, em um ataque de dia zero.
O resgate? Os invasores oferecem a
ferramenta de descriptografia universal para todas as vítimas por uma quantia
de $ 50 milhões (originalmente $ 70 milhões).
Francisco Camargo, fundador e CEO da
CLM, distribuidora da solução XDR da SentinelOne (empresa cotada na bolsa de
Nova York com valor de 10 bilhões de dólares), explica que o exploit, isto é um
programa feito para explorar uma vulnerabilidade, provavelmente Zero Day, foi
usado para entregar o ransomware Sodinokibi da REvil a milhares de endpoints em várias empresas ao mesmo tempo.
“Este tipo de ataque prova mais uma vez
a necessidade de uma solução XDR baseada em inteligencia artificial, a única
capaz de defender de ataques Dia Zero, impedindo o uso impróprio de
executáveis confiáveis do sistema operacional (LOLBINs), neste caso, usaram as próprias ferramentas de defesa
do Windows, para reconstituir o malware, transforma-lo em uma aplicativo
legitimo do Windows e o executarem.”, assegura Camargo.
Diante da magnitude desse ataque, a
SentinelOne, parceira da CLM, que usa Machine Learning e Inteligencia
Artificial para detectar comportamentos maliciosos, na rede e nos endpoints,
para todos os vetores de ataque, imediatamente mapeou os processos do
ransomware REvil (que estão descritos abaixo). Segundo a empresa, essa
investida é mais uma escalada na sofisticação do crime cibernético, não apenas
tecnicamente, mas também na magnitude e orquestração do ataque.
A empresa, que unifica prevenção,
detecção e resposta em uma única plataforma, aconselha os especialistas em
segurança cibernética a sempre
agir supondo que suas redes já hospedam agentes mal-intencionados.
“Os lucros exorbitantes realizados pelos criminosos cibernéticos só irão
aumentar a sofisticação dos ataques que continuaremos a ver, os meios e
motivações já estão lá. O ransomware é uma realidade que toda organização deve
enfrentar ao operar na era digital. A segurança
cibernética hoje se tornou uma parte crítica das operações
corporativas: a capacidade de agentes maliciosos de interromper e lucrar
atingiu novos níveis de relevância como uma possível ameaça existencial para as
empresas”, alerta a SentinelOne.
Camargo vai além e diz que o REvil
evidencia porquê os produtos de segurança precisam se valer do poder dos dados,
especificamente comportamentais, e da inteligência artificial, uma vez que
malwares e ransomwares estão cada vez mais perspicazes e inovadores em suas
técnicas para comprometer dispositivos.
A abordagem do SentinelOne é baseada em
dados e em IA criando uma postura autônoma em relação à segurança cibernética.
Já não é suficiente usar soluções legadas baseadas em assinaturas ou movidas
por humanos para proteger as superfícies de ataque a uma organização, já que
cada segundo conta na defesa de ataques avançados como este.
Kaseya reconhece a gravidade do ataque
A Kaseya ressaltou a gravidade da
situação, instruindo os clientes a encerrar os servidores VSA até novo aviso.
Desde então, a Kaseya envolveu a
comunidade de segurança e fez a triagem da causa raiz desse incidente. Esta
postagem busca desvendar a cadeia de infecção, destacar indicadores relevantes
e esclarecer proteções para nossos clientes.
Veja o que aconteceu com a Kaseya
A SentinelOne também explica
detalhadamente como aconteceu esse ataque e como se prevenir. Mais informações
estão no link.
A campanha de ransomware REvil, em
grande escala, foi direcionada aos clientes do software de serviços gerenciados
da Kaseya. O alvo foram os servidores Kaseya VSA, comumente usados por
provedores de serviços de segurança gerenciados e empresas de gerenciamento de
TI. O ataque explorou uma variedade de componentes autênticos, como
certutil.exe, Microsoft Defender e certificados digitais, roubados como parte
de sua cadeia de execução.
As descobertas, até o momento, mostram
que falhas lógicas em um dos componentes do VSA (dl.asp) podem ter levado a um desvio de autenticação.
Os invasores puderam então usar KUpload.dll
para descartar vários arquivos, incluindo ‘agent.crt’, um certificado falso que
contém o dropper
de malware. Outra parte descartada, Screenshot.jpg, parece ser um arquivo
JavaScript, que foi parcialmente recuperado. A SentinelOne informa que detalhes
específicos sobre a natureza exata da exploração usada ainda estão sendo
descobertos enquanto a análise está em andamento.
Suspeita-se que cadeia de ataques
termina com uma injeção de
SQL em userFilterTableRpt.asp
para enfileirar uma série de procedimentos VSA que executariam o malware e
eliminariam esses procedimentos dos logs.
Esta atividade foi vista se originando
de uma instância AWS EC2 sequestrada 18.223.199 [.] 234. Atividade adicional
foi observada originando-se de 161.35.239 [.] 148 (DigitalOcean), 162.253.124
[.] 16 (Sapioterra) e 35.226.94 [.] 113 (Google Cloud).
Cadeia
de infecção de malware REvil
O procedimento malicioso foi
identificado como ‘Kaseya
VSA Agent Hot-fix’. Esta é uma série de comandos que verificam
o acesso à internet e usam o PowerShell para desabilitar uma sequência de medidas de segurança nativas
do sistema operacional, incluindo monitoramento em tempo real,
prevenção de intrusão, proteção de rede e envio automático de amostra. O
mecanismo então invoca o aplicativo certutil.exe
nativo do sistema operacional, comumente usado para validar certificados, e o
usa para decodificar o conteúdo de ‘agent.crt’
em um executável, agent.exe.
O binário do agent.exe foi compilado em
1º de julho de 2021 e atua como um dropper
para dois recursos executáveis incorporados, ‘MODLIS’ e ‘SOFTIS’. “Recurso 101, SOFTIS é um executável legítimo do Microsoft
Defender desatualizado que está sendo usado para transferir a
carga maliciosa. É importante notar que este mecanismo de entrega de uma díade
de carregamento lateral (uma cadeia de execução de duas partes) foi usado para
entregar o REvil já em abril de 2021”, informa a SentinelOne.
A carga útil (o malware) em si está
contida no recurso 102, sob o nome de recurso ‘MODLIS’.
Para que a carga maliciosa seja carregada pelo Microsoft Defender,
a DLL é descartada em %
WinDir% \ MpSvc.dll e exporta as funções ServiceCrtMain,
ServiceMain e SvchostPushServiceGlobals. O arquivo é assinado com um certificado digital roubado
de uma empresa de transporte canadense. É um dos vários certificados roubados
recentemente empregados pela REvil. O ransomware emprega OpenSSL estaticamente
vinculado para conduzir suas operações criptográficas. ServiceCRTMain () cria
um thread que desofuscará a carga útil principal.
Embora os IOCs diretamente relevantes ao
incidente do Kaseya sejam um subconjunto específico, coletamos amostras para um
cluster de cadeias de execução semelhantes, incluindo a díade de sideload do
Microsoft Defender e certificados digitais roubados ainda válidos. Fornecemos
hashes e assinaturas YARA no final desta postagem para ajudar a identificar
arquivos adicionais assinados com esses certificados roubados.
Durante esse processo, netsh.exe (como
vimos com exemplos anteriores do REvil) também é chamado, fazendo o seguinte
ajuste às regras de firewall locais:
Últimos desdobramentos
Na segunda-feira, 5 de julho, a Kaseya
anunciou que está desenvolvendo um novo patch para instalações locais a fim de
ajudar os clientes a voltarem ao serviço. A Kaseya também publicou uma
ferramenta de detecção de comprometimento para que os clientes verifiquem se a
instalação local foi realmente comprometida.
Desde este surto, os invasores têm
procurado por servidores Kaseya expostos na internet no local, usando
plataformas disponíveis publicamente, como Shodan.io. Essa janela de tempo
permite que grupos de ataque além do REvil obtenham acesso imediato pela
internet a redes sensíveis ao cliente.
A SentinelOne indica ainda as regras de
caça YARA para artefatos REvil / Kaseya
https://www.sentinelone.com/blog/revils-grand-coup-abusing-kaseya-managed-services-
software-for-massive-profits/
Sobre a CLM
CLM é um distribuidor latino-americano
de valor agregado com foco em segurança da informação, proteção de dados,
infraestrutura para data centers e cloud. A empresa distribui soluções de
fabricantes líderes de mercado como A10 Networks, Allot, AppGate, Arista,
Auth0, Awingu, Barracuda Networks, Bitglass, eG Innovations, Exagrid, Hillstone
Networks, Hycu, Kemp Technologies, Lenovo, Nutanix, NSFucos, Picus Security,
Proofpoint, Pure Storage, Radware, SafeGuard, SentinelOne, Varonis e Thales.
Com sede em São Paulo, a empresa possui subsidiarias nos EUA, Colômbia, Equador
e Peru. Com extensa rede de VARs na América Latina e enorme experiência no
mercado, a CLM está constantemente em busca de soluções inovadoras e
disruptivas para fornecer cada vez mais valor para seus canais e seus clientes.
.jpg)
.jpg)
Nenhum comentário