Estudo de caso do ransomware Microsoft DART

O ransomware operado por humanos continua a manter sua posição como uma das tendências de ciberataque mais impactantes em todo o mundo e é uma ameaça significativa que muitas organizações enfrentaram nos últimos anos. Esses ataques se aproveitam de configurações incorretas de rede e prosperam com a fraca segurança interna de uma organização. Embora esses ataques representem um perigo claro e presente para as organizações e sua infraestrutura de TI e dados, eles são um desastre evitável.

A Equipe de Deteção e Resposta da Microsoft (DART) responde a comprometimentos de segurança para ajudar os clientes a se tornarem ciber-resilientes. O DART fornece resposta reativa a incidentes no local e investigações proativas remotas. O DART aproveita as parcerias estratégicas da Microsoft com organizações de segurança em todo o mundo e grupos internos de produtos da Microsoft para fornecer a investigação mais completa e completa possível.

Este artigo descreve como a DART investigou um incidente recente de ransomware com detalhes sobre as táticas de ataque e mecanismos de deteção.

Consulte a Parte 1 e a Parte 2 do guia do DART para combater ransomware operado por humanos para obter mais informações.

O ataque

O DART aproveita ferramentas e táticas de resposta a incidentes para identificar comportamentos de agentes de ameaças para ransomware operado por humanos. As informações públicas sobre eventos de ransomware se concentram no impacto final, mas raramente destacam os detalhes da operação e como os agentes de ameaças foram capazes de escalar seu acesso sem serem detetados para descobrir, monetizar e extorquir.

Aqui estão algumas técnicas comuns que os atacantes usam para ataques de ransomware com base nas táticas MITRE ATT&CK.

O DART usou o Microsoft Defender for Endpoint para rastrear o invasor pelo ambiente, criar uma história retratando o incidente e, em seguida, erradicar a ameaça e corrigi-la. Uma vez implantado, o Defender for Endpoint começou a detetar logons bem-sucedidos de um ataque de força bruta. Ao descobrir isso, o DART revisou os dados de segurança e encontrou vários dispositivos vulneráveis voltados para a Internet usando o protocolo RDP (Remote Desktop Protocol).

Depois que o acesso inicial foi obtido, o agente de ameaças usou a ferramenta de coleta de credenciais Mimikatz para despejar hashes de senha, escaneou credenciais armazenadas em texto simples, criou backdoors com manipulação de chave adesiva e se moveu lateralmente pela rede usando sessões de área de trabalho remota.

Para este estudo de caso, aqui está o caminho destacado que o invasor tomou.

As seções a seguir descrevem detalhes adicionais com base nas táticas MITRE ATT&CK e incluem exemplos de como as atividades do agente de ameaças foram detetadas com o portal Microsoft Defender.

Acesso inicial

As campanhas de ransomware usam vulnerabilidades bem conhecidas para a sua entrada inicial, normalmente usando e-mails de phishing ou fraquezas na defesa do perímetro, como dispositivos com o serviço de Área de Trabalho Remota ativado exposto na Internet.

Para este incidente, o DART conseguiu localizar um dispositivo que tinha a porta TCP 3389 para RDP exposta à Internet. Isso permitiu que os agentes de ameaças executassem um ataque de autenticação de força bruta e ganhassem a posição inicial.

O Defender for Endpoint usou informações sobre ameaças para determinar que havia várias entradas de fontes conhecidas de força bruta e as exibiu no portal do Microsoft Defender. Eis um exemplo.

Reconhecimento

Depois que o acesso inicial foi bem-sucedido, a enumeração do ambiente e a descoberta de dispositivos começaram. Essas atividades permitiram que os agentes de ameaças identificassem informações sobre a rede interna da organização e visassem sistemas críticos, como controladores de domínio, servidores de backup, bancos de dados e recursos de nuvem. Após a enumeração e a descoberta de dispositivos, os agentes de ameaças realizaram atividades semelhantes para identificar contas de usuários, grupos, permissões e software vulneráveis.

O agente de ameaças utilizou o Advanced IP Scanner, uma ferramenta de verificação de endereços IP, para enumerar os endereços IP usados no ambiente e executar a verificação de porta subsequente. Ao procurar portas abertas, o agente de ameaças descobriu dispositivos que eram acessíveis a partir do dispositivo inicialmente comprometido.

Essa atividade foi detetada no Defender for Endpoint e usada como um indicador de comprometimento (IoC) para investigação adicional. Eis um exemplo.

Roubo de credenciais

Depois de obter acesso inicial, os agentes de ameaças realizaram a coleta de credenciais usando a ferramenta de recuperação de senha Mimikatz e procurando por arquivos contendo "senha" em sistemas inicialmente comprometidos. Essas ações permitiram que os agentes de ameaças acessassem sistemas adicionais com credenciais legítimas. Em muitas situações, os agentes de ameaças usam essas contas para criar contas adicionais para manter a persistência depois que as contas comprometidas iniciais são identificadas e corrigidas.

Aqui está um exemplo do uso detetado do Mimikatz no portal do Microsoft Defender.

Movimento lateral

O movimento entre endpoints pode variar entre diferentes organizações, mas os agentes de ameaças geralmente usam diferentes variedades de software de gerenciamento remoto que já existe no dispositivo. Ao utilizar métodos de acesso remoto que o departamento de TI normalmente usa em suas atividades diárias, os agentes de ameaças podem voar sob o radar por longos períodos de tempo.

Usando o Microsoft Defender for Identity, o DART conseguiu mapear o caminho que o agente de ameaças percorreu entre dispositivos, exibindo as contas que foram usadas e acessadas. Eis um exemplo.

Evasão à defesa

Para evitar a deteção, os agentes de ameaças usaram técnicas de evasão de defesa para evitar a identificação e alcançar seus objetivos durante todo o ciclo de ataque. Essas técnicas incluem desabilitar ou adulterar produtos antivírus, desinstalar ou desabilitar produtos ou recursos de segurança, modificar regras de firewall e usar técnicas de ofuscação para ocultar os artefatos de uma intrusão de produtos e serviços de segurança.

O agente de ameaça para este incidente usou o PowerShell para desabilitar a proteção em tempo real para o Microsoft Defender em dispositivos Windows 11 e Windows 10 e ferramentas de rede local para abrir a porta TCP 3389 e permitir conexões RDP. Essas alterações diminuíram as chances de deteção em um ambiente porque modificaram os serviços do sistema que detetam e alertam sobre atividades maliciosas.

O Defender for Endpoint, no entanto, não pode ser desativado do dispositivo local e foi capaz de detetar essa atividade. Eis um exemplo.

Persistência

As técnicas de persistência incluem ações de agentes de ameaças para manter um acesso consistente aos sistemas após esforços da equipe de segurança para recuperar o controle dos sistemas comprometidos.

Os agentes de ameaça para este incidente usaram o hack Sticky Keys porque permite a execução remota de um binário dentro do sistema operacional Windows sem autenticação. Em seguida, eles usaram esse recurso para executar um prompt de comando e executar outros ataques.

Aqui está um exemplo da deteção do hack Sticky Keys no portal Microsoft Defender.

Impacto

Os agentes de ameaças normalmente criptografam arquivos usando aplicativos ou recursos que já existem no ambiente. O uso de PsExec, Diretiva de Grupo e Microsoft Endpoint Configuration Management são métodos de implantação que permitem que um ator alcance rapidamente pontos de extremidade e sistemas sem interromper as operações normais.

O agente de ameaça para esse incidente aproveitou o PsExec para iniciar remotamente um script interativo do PowerShell a partir de vários compartilhamentos remotos. Este método de ataque aleatoriza os pontos de distribuição e torna a remediação mais difícil durante a fase final do ataque de ransomware.

Execução de ransomware

A execução de ransomware é um dos principais métodos que um agente de ameaças utiliza para rentabilizar o seu ataque. Independentemente da metodologia de execução, estruturas de ransomware distintas tendem a ter um padrão comportamental comum uma vez implantadas:

• Ofuscar as ações do agente de ameaças
• Estabeleça persistência
• Desative a recuperação de erros do Windows e o reparo automático
• Parar uma lista de serviços
• Encerrar uma lista de processos
• Excluir cópias de sombra e backups
• Criptografar arquivos, potencialmente especificando exclusões personalizadas
• Criar uma nota de ransomware

Aqui está um exemplo de uma nota de ransomware.

Recursos adicionais de ransomware

Principais informações da Microsoft:

• A crescente ameaça de ransomware, post do blog Microsoft On the Issues em 20 de julho de 2021
• Ransomware operado por humanos
• Proteja-se rapidamente contra ransomware e extorsão
• Relatório de Defesa Digital da Microsoft 2021 (ver páginas 10-19)
• Ransomware: Um relatório de análise de ameaças generalizado e contínuo no portal Microsoft Defender
• Abordagem e práticas recomendadas do ransomware Microsoft DART

Microsoft 365:

• Implantar proteção contra ransomware para seu locatário do Microsoft 365
• Maximize a resiliência do ransomware com o Azure e o Microsoft 365
• Recupere-se de um ataque de ransomware
• Proteção contra malware e ransomware
• Proteja o seu PC Windows 10 contra ransomware
• Lidar com ransomware no SharePoint Online
• Relatórios de análise de ameaças de ransomware no portal Microsoft Defender

Microsoft Defender XDR:

• Encontre ransomware com caça avançada

Aplicativos do Microsoft Defender para nuvem:

• Criar políticas de deteção de anomalias no Defender for Cloud Apps

Microsoft Azure:

• Azure Defenses for Ransomware Attack
• Maximize a resiliência do ransomware com o Azure e o Microsoft 365
• Plano de backup e restauração para proteger contra ransomware
• Ajude a proteger contra ransomware com o Backup do Microsoft Azure (vídeo de 26 minutos)
• Recuperando-se do comprometimento sistêmico da identidade
• Deteção avançada de ataques em várias fases no Microsoft Sentinel
• Fusion Detection para Ransomware no Microsoft Sentinel

Postagens no blog da equipe de Segurança da Microsoft:

• 3 passos para prevenir e recuperar de ransomware (setembro de 2021)

• Um guia para combater ransomware operado por humanos: Parte 1 (setembro de 2021)

  Principais passos sobre como a Equipa de Deteção e Resposta (DART) da Microsoft conduz investigações de incidentes de ransomware.

• Um guia para combater ransomware operado por humanos: Parte 2 (setembro de 2021)

  Recomendações e melhores práticas.

• Tornando-se resiliente entendendo os riscos de cibersegurança: Parte 4 — navegando pelas ameaças atuais (maio de 2021)

  Consulte a seção Ransomware .

• Ataques de ransomware operados por humanos: um desastre evitável (março de 2020)

  Inclui análises da cadeia de ataque de ataques reais.

• Resposta do ransomware — pagar ou não pagar? (dezembro 2019)

• Norsk Hydro responde a ataque de ransomware com transparência (dezembro de 2019)