A Sophos, empresa líder global em cibersegurança de próxima geração, divulgou hoje descobertas sobre um ataque no qual invasores violaram e passaram cinco meses operando do servidor de um governo regional dos EUA, explorando uma mistura de ferramentas de hackers e administração de TI para navegar e executar o ataque. Além disso, os cibercriminosos instalaram um criptominerador antes de exfiltrar dados e implantar o ransomware Lockbit. As descobertas foram detalhadas em um novo artigo da companhia, intitulado “Attackers Linger on Government Agency Computers Before Deploying Lockbit Ransomware”, e mostram que diversos invasores infiltraram o servidor vulnerável. O ataque foi contido e investigado pela equipe de resposta a incidentes da Sophos.

“Esse foi um ataque complicado. Trabalhando em conjunto com o órgão alvo, os pesquisadores da Sophos conseguiram compreender o cenário completo - que inicialmente parecia ser um caso de cibercriminosos novatos que invadiram uma rede e usaram o servidor comprometido para o Google, por meio de uma combinação de versões piratas e gratuitas de hackers e ferramentas legítimas de administração para usar no ataque. Depois, eles pareceriam inseguros sobre o que fazer a seguir”, comenta Andrew Brandt, principal pesquisador de segurança da Sophos. “Cerca de quatro meses após a violação inicial, a natureza da invasão mudou, em alguns momentos tão drasticamente que sugere que cibercriminosos com habilidades muito diferentes entraram na briga. Esses invasores tentaram desinstalar o software de segurança e, eventualmente, roubaram dados e arquivos criptografados em diversas máquinas ao implantar o ransomware Lockbit”.

A sequência do ataque

A equipe da Sophos descobriu que o ponto inicial de acesso para o ataque foi uma abertura de Remote Desktop Protocol (RDP) em um firewall configurado para fornecer acesso público a um servidor. Os invasores violaram a rede em setembro de 2021. Eles usaram um navegador para pesquisar online as ferramentas a serem usadas para hackear e tentaram instalá-las. Em alguns momentos, a busca por ferramentas levou os invasores a sites de download obscuros que entregavam adware ao servidor invadido, em vez das ferramentas que procuravam.

A pesquisa também mostra que os comportamentos dos cibercriminosos mudaram significativamente em meados de janeiro, com sinais de atividade mais focada e qualificada. Esses invasores tentaram remover o criptominerador malicioso e desinstalar o software de segurança, aproveitando o fato do alvo ter deixado inadvertidamente um recurso de proteção desativado após concluir a manutenção. Assim, eles coletaram e exfiltraram dados, além de implantar o ransomware Lockbit. O ataque de ransomware obteve sucesso limitado e os invasores não conseguiram criptografar dados de algumas máquinas.

Como se manter protegido

As ferramentas que os invasores tentaram instalar para fins maliciosos incluíram Advanced Port Scanner, FileZilla, LaZagne, mimikatz, NLBrute, Process Hacker, PuTTY, Remote Desktop Passview, RDP Brute Forcer, SniffPass e WinSCP. Além disso, os atacantes introduziram dispositivos comerciais de acesso remoto, incluindo ScreenConnect e AnyDesk.

“Se um membro da equipe de TI não instalou essas ferramentas com um propósito específico, a presença delas em máquinas é um sinal de alerta para um ataque em andamento ou iminente”, explica Brandt. “Atividades inesperadas ou incomuns, como uma máquina digitalizando a rede, são outros indicadores desse tipo. Falhas repetidas de login RDP é um indicativo de que alguém pode estar usando uma ferramenta mais agressiva para tentar se mover lateralmente. Assim como as conexões ativas de ferramentas comerciais de acesso remoto, a equipe de TI pode não ter instalado as soluções ou usado no passado, mas sem acessá-las há algum tempo".

“Uma abordagem de defesa em profundidade robusta, proativa e que atue 24 horas por dia, sete dias por semana, ajudará a impedir que esse ataque seja instalado e desenvolvido. O primeiro passo é tentar evitar que invasores obtenham acesso a uma rede, por exemplo, implementando a autenticação multifator e definindo regras de firewall para bloquear o acesso remoto às portas RDP na ausência de uma conexão VPN”, completa o executivo.

Para mais informações, leia o artigo “Attackers Linger on Government Agency Computers Before Deploying Lockbit Ransomware” no Sophos News.

Informações adicionais

Os produtos de endpoint da Sophos, como o Intercept X, protegem os usuários por meio da detecção de ações e comportamentos dos invasores;
Mais detalhes sobre o cenário de ameaças cibernéticas em evolução podem ser encontrados no Relatório de Ameaças Sophos 2022;
Táticas, técnicas e procedimentos (TTPs) e muito mais para diferentes tipos de ameaças estão disponíveis no SophosLabs Uncut, que fornece a mais recente inteligência de ameaças da Sophos;
Informações sobre comportamentos de invasores, relatórios de incidentes e conselhos para profissionais de operações de segurança estão disponíveis no Sophos News SecOps;
Saiba mais sobre o serviço de Rapid Response da Sophos que contém, neutraliza e investiga ataques 24 horas por dia, sete dias por semana;
As quatro principais dicas para responder a um incidente de segurança do Sophos Rapid Response e do Managed Threat Response Team;
Leia as últimas notícias de segurança no site de notícias da Sophos Naked Security e no Sophos News.

Sobre a Sophos

A Sophos é líder mundial em cibersegurança de próxima geração, protegendo mais de 500.000 organizações e milhões de consumidores em mais de 150 países contra as ameaças cibernéticas mais avançadas da atualidade. Impulsionada por inteligência de ameaças, IA e machine learning da SophosLabs e SophosAI, oferece um amplo portfólio de produtos e serviços avançados para proteger usuários, redes e endpoints contra ransomware, malware, exploits, phishing e uma ampla gama de outros ataques cibernéticos. A Sophos fornece um único console de gerenciamento baseado em nuvem integrado, Sophos Central – a peça central de um ecossistema de segurança cibernética adaptável que apresenta um data lake centralizado que alavanca um conjunto rico de APIs abertas disponíveis para clientes, parceiros, desenvolvedores e outros fornecedores de cibersegurança. A Sophos vende seus produtos e serviços por meio de parceiros revendedores e provedores de serviços gerenciados (MSPs) em todo o mundo. A Sophos está sediada em Oxford, Reino Unido.