Uma recente quebra de segurança no software de gerenciamento da empresa Kaseya fez mais de 1500 empresas vítimas de um ataque de ransomware reivindicado pelo grupo de hackers REvil.
A empresa, que possui sede em Miami, oferece ferramentas de TI voltadas para o gerenciamento de rede de servidores, computadores e impressoras de uma única fonte. Ela atende mais de 40.000 clientes em mais de 20 países nos mais diversos setores: manufatura, saúde, educação, mídia, finanças, etc.
A extensão total do ataque ainda é desconhecida e está sendo averiguada. Até o momento de publicação deste artigo, a informação mais recente é que uma vulnerabilidade de dia zero foi utilizado para obtenção de acesso aos servidores VSA da Kaseya, antes de implantar o ransomware nos endpoints gerenciados por esses servidores VSA. Esse modus operandi difere muito das campanhas anteriores de ransomware, que tradicionalmente eram intrusões diretas operadas por humanos.
A análise abaixo foi realizada pela Darktrace e destaca como a AI de autoaprendizagem detectou o ataque de ransomware e como o Antigena protegeu os dados do cliente na rede antes de serem criptografados.
Dissecando o REvil ransomware da perspectiva da rede
O Antigena detectou os primeiros sinais de ransomware na rede assim que a criptografia foi iniciada. O gráfico abaixo ilustra o início da criptografia de ransomware em compartilhamentos SMB. Quando o gráfico foi tirado, o ataque estava acontecendo ao vivo e nunca tinha sido visto antes. Como era uma nova ameaça, a Darktrace interrompeu a criptografia da rede sem quaisquer assinaturas estáticas ou regras.
Figura 1: Darktrace detecta criptografia do dispositivo infectado
O ransomware começou a agir às 11:08:32, mostrado pelo ‘SMB Delete Success’ do laptop infectado para um servidor SMB. Embora o laptop às vezes leia arquivos nesse servidor SMB, ele nunca exclui esses tipos de arquivos neste compartilhamento de arquivos específico, portanto, a Darktrace detectou essa atividade como nova e incomum.
Simultaneamente, o laptop infectado criou a nota de resgate ‘943860t-readme.txt’. Mais uma vez, o ‘SMB Write Success’ para o servidor SMB era uma nova atividade – e o mais importante, a Darktrace não procurava uma string estática ou uma nota de resgate conhecida. Em vez disso – aprendendo previamente o comportamento ‘normal’ de cada entidade, grupo de pares e da empresa em geral – identificou que a atividade era incomum e nova para esta organização e dispositivo.
Ao detectar e correlacionar essas anomalias sutis, a Darktrace identificou isso como os primeiros estágios da criptografia de ransomware na rede e o Antigena tomou uma ação imediata.
Figura 2: Momento de resposta do Antigena
O Antigena deu dois passos precisos:
- Aplicar ‘padrão de vida’ por cinco minutos: Isso evitou que o laptop infectado fizesse qualquer conexão nova ou incomum. Nesse caso, evitou qualquer nova atividade de criptografia SMB.
- Colocar o dispositivo em quarentena por 24 horas: normalmente, o Antigena não tomaria uma ação tão drástica, mas estava claro que essa atividade se parecia muito com o comportamento do ransomware, então o Antigena decidiu colocar o dispositivo em quarentena na rede completamente para evitar que ele causasse mais danos.
Por vários minutos, o laptop infectado continuou tentando se conectar a outros dispositivos internos via SMB para continuar a atividade de criptografia. Ele foi bloqueado pelo Antigena em todas as fases, limitando a propagação do ataque e mitigando qualquer dano causado pela criptografia da rede.
Figura 3: Fim do ataque
Em um nível técnico, o Antigena entregou os mecanismos de bloqueio por meio de integrações com controles de segurança nativos, como firewalls existentes, ou agindo por conta própria para interromper as conexões.
O gráfico a seguir mostra o ‘padrão de vida’ de todas as conexões de rede do laptop infectado. Os três pontos vermelhos representam as detecções da Darktrace e indicam o momento exato em que o REvil ransomware foi instalado no laptop. O gráfico também mostra uma parada abrupta em todas as comunicações de rede enquanto o Antigena colocava o dispositivo em quarentena.
Figura 4: conexões de rede do laptop comprometido
Os ataques sempre entrarão
Durante o incidente, parte da criptografia aconteceu localmente no dispositivo endpoint, sobre o qual a Darktrace não teve visibilidade. Além disso, o servidor Kaseya VSA voltado para a Internet que foi inicialmente comprometido não estava visível para a Darktrace neste caso.
No entanto, o Self-Learning AI detectou a infecção assim que atingiu a rede. Isso mostra a importância de ser capaz de se defender contra ransomware ativo dentro da empresa. As organizações não podem contar apenas com uma única camada de defesa para manter as ameaças afastadas. Um invasor sempre – eventualmente – violará seu ambiente. A defesa, portanto, precisa mudar sua abordagem para detectar e mitigar os danos, uma vez que o adversário esteja dentro.
Muitos ataques cibernéticos conseguem contornar os controles de endpoint e começam a se espalhar agressivamente em ambientes corporativos. O Autonomous Response pode fornecer resiliência em tais casos, mesmo para novas campanhas e novas cepas de malware.
Graças à AI de autoaprendizagem, o ransomware do ataque REvil não conseguiu realizar nenhuma criptografia na rede e os arquivos disponíveis nessa rede foram salvos. Isso incluiu os servidores de arquivos críticos da organização que não tinham o Kaseya instalado e, portanto, não receberam a carga inicial por meio da atualização maliciosa diretamente. Ao interromper o ataque conforme acontecia, o Antigena evitou que milhares de arquivos em compartilhamentos de rede fossem criptografados.
Outras observações
Exfiltração de dados
Em contraste com outras intrusões REvil, a Darktrace detectou no passado, nenhuma exfiltração de dados foi observada. Isso é interessante porque difere da tendência geral do ano passado, em que os grupos cibercriminosos geralmente se concentram mais na exfiltração de dados para manter suas vítimas em resgate, em resposta às empresas que estão se tornando melhores com backups.
Bitcoin
REvil exigiu um pagamento total de $ 70 milhões em Bitcoin. Para um grupo que tenta maximizar seus lucros, isso parece estranho por dois motivos:
Como eles esperam que uma única entidade arrecade $ 70 milhões de potencialmente milhares de organizações afetadas? Eles devem estar cientes dos enormes desafios logísticos por trás disso, mesmo que esperem que a Kaseya atue como um ponto focal para coletar o dinheiro.
Desde que o DarkSide perdeu o acesso à maior parte do resgate do Colonial Pipeline, os grupos de ransomware passaram a exigir pagamentos em Monero em vez de Bitcoin. Monero parece ser mais difícil de rastrear para as agências de aplicação da lei. O fato de REvil estar usando Bitcoin, uma criptomoeda mais rastreável, parece contraproducente para seu objetivo usual de maximizar lucros.
Ransomware-as-a-Service (Raas)
Darktrace também notou que outras operações de ransomware REvil de “grande caçada”, mais tradicionais, ocorreram no mesmo fim de semana. Isso não é surpreendente, já que a REvil está executando um modelo RaaS, então é provável que alguns grupos afiliados continuem seus ataques regulares de grande caçada enquanto o ataque à cadeia de suprimentos da Kaseya estava em andamento.
Imprevisível não é indefensável
O fim de semana de 4 de julho experimentou grandes ataques à cadeia de suprimentos contra a Kaseya e, separadamente, contra o distribuidor da Califórnia Synnex. Ameaças vêm de todas as direções – aproveitando o dia zero, táticas de engenharia social e outras ferramentas avançadas.
O estudo de caso acima demonstra como a tecnologia de autoaprendizagem detecta esses ataques e minimiza os danos. Ele funciona como uma parte crucial da defesa profunda quando outras camadas – como proteção de endpoint, inteligência de ameaças ou assinaturas e regras conhecidas – falham em detectar ameaças desconhecidas.
O ataque aconteceu em milissegundos, mais rápido do que qualquer equipe de segurança humana poderia reagir. O Autonomous Response provou ser inestimável para superar essa nova geração de ameaças à velocidade da máquina. Ele mantém milhares de organizações seguras em todo o mundo, o tempo todo, interrompendo um ataque a cada segundo.
Posts recentes