Sophos descobre novo ramsomware Memento

O ransomware Memento bloqueia ficheiros em arquivos protegidos por password quando não é capaz de encriptar os dados e exige 1 millhão de dólares em Bitcoin

A Sophos, líder global em soluções de cibersegurança de próxima geração, acaba de publicar os detalhes de um novo ransomware Python, designado de Memento. A investigação “New Ransomware Actor Uses Password Protected Archives to Bypass Encryption Protection” descreve o ataque, que bloqueia ficheiros num arquivo protegido por password caso o ransomware Memento não seja capaz de encriptar os dados pretendidos.

“Os ataques de ransomware liderados por humanos no mundo real raramente são claros e lineares,” comentou Sean Gallagher, Senior Threat Researcher da Sophos. “Os atacantes aproveitam as oportunidades quando as encontram, ou cometem erros e aí mudam a sua estratégia com rapidez. Se conseguirem aceder à rede de um alvo, não vão querer sair de mãos vazias. O ataque Memento é um bom exemplo disto, e um lembrete fundamental para a utilização de segurança de defesa em profundidade. Ser capaz de detetar ransomware e tentativas de encriptação é vital, mas também é importante possuir tecnologias de segurança que alertem os gestores de TI para outras atividades inesperadas, como os movimentos laterais”.

O cronograma do ataque

Os investigadores da Sophos acreditam que os agentes por detrás do Memento acederam à rede da vítima em meados de abril de 2021, tirando partido de uma falha no vSphere da VMWare, uma ferramenta de virtualização de computação na Cloud voltada para a internet, para conseguirem posicionar-se no servidor. As provas forenses encontradas pelos investigadores da Sophos indicam que os atacantes iniciaram a intrusão principal no princípio de maio de 2021.

Tendo utilizado os primeiros meses para movimentos laterais e reconhecimento, recorreram ao Remote Desktop Protocol (RDP), a um scanner de rede NMAP, Advanced Port Scanner e à ferramenta Plink Secure Shell (SSH), para estabelecerem uma conexão interativa com o servidor violado. Os atacantes também utilizaram o mimikatz para recolher credenciais de contas, a utilizar em fases posteriores do ataque.

De acordo com os investigadores da Sophos, a 20 de outubro de 2021 os atacantes utilizaram a ferramenta legítima WinRAR para comprimir um conjunto de ficheiros e exfiltraram-nos através do RDP.

Lançamento do Ransomware

Os atacantes lançaram o ataque pela primeira vez a 23 de outubro de 2021. Os investigadores da Sophos descobriram que os atacantes tentaram, inicialmente, encriptar diretamente os ficheiros, mas tal foi bloqueado por medidas de segurança. Alteraram, então, as suas táticas, reequipando o ransomware, e voltaram a lançá-lo. Copiaram os ficheiros não encriptados para arquivos protegidos por password utilizando uma versão gratuita do WinRAR com um novo nome, antes de encriptarem a password e apagarem os ficheiros originais.

Os atacantes exigiram um resgate de 1 milhão de dólares em bitcoin para devolverem os ficheiros. Felizmente, a organização vítima foi capaz de recuperar os dados sem ser necessário envolver os atacantes.

Pontos de acesso abertos deixam entrar novos atacantes

Enquanto os atacantes do Memento estavam dentro da rede da vítima, outros dois atacantes conseguiram entrar nela através do mesmo ponto de acesso vulnerável, utilizando estratégias semelhantes. Cada um destes atacantes deixou cryptominers no mesmo serviço violado: um deles instalou um cryptominer XMR a 18 de maio, enquanto o segundo deixou um cryptominer CMRig a 8 de setembro e de novo a 3 de outubro.

“Já assistimos a este fenómeno diversas vezes – quando as vulnerabilidades voltadas para a internet se tornam públicas e não são corrigidas, vários atacantes vão tirar partido delas com rapidez. Quanto mais tempo as vulnerabilidades ficarem por resolver, mais atacantes atrairão,” sublinha Gallagher. “Os cibercriminosos estão constantemente a analisar a internet para encontrar pontos de entrada online vulneráveis e não ficam à espera na fila quando encontram um. Ser atingido por diversos atacantes agrava a disrupção e o tempo de recuperação, e também dificulta que os investigadores forenses possam atuar e perceber quem fez o quê – uma informação importante para que os especialistas em resposta a ameaças consigam ajudar as organizações a prevenir a repetição dos ataques.”

Conselhos de segurança

A Sophos acredita que este incidente, em que múltiplos atacantes exploraram um servidor desprotegido exposto à internet, realça a importância de aplicar patches com rapidez, bem como de verificar, junto dos integradores, programadores ou fornecedores de serviços externos, a segurança do seu software.

A Sophos recomenda ainda as seguintes boas práticas gerais para auxiliar na defesa contra ransomware e outros ciberataques relacionados:

A nível estratégico

• Implementar proteção por camadas. À medida que cada vez mais ataques de ransomware começam a envolver extorsão, as cópias de backup são necessárias, mas insuficientes. Agora, mais do que nunca, é importante impedir a entrada dos adversários ou detetá-los rapidamente, antes que causem danos. É necessário utilizar proteção por camadas para bloquear e detetar atacantes no maior número possível de pontos de acesso de uma rede.
• Combinar especialistas humanos e tecnologia anti ransomware. O segredo para impedir um ataque de ransomware é uma defesa em profundidade, que combine tecnologias anti ransomware dedicadas e threat hunting liderado por humanos. A tecnologia proporciona a escala e a automação de que uma organização precisa, enquanto os especialistas humanos estão mais bem capacitados para detetar as táticas, técnicas e procedimentos que indicam que um atacante está a tentar entrar na rede. Se uma organização não tiver estas capacidades na sua equipa, pode recorrer ao apoio de especialistas em cibersegurança.

A nível tático no quotidiano

• Monitorizar e dar resposta a alertas. É importante garantir que as ferramentas, processos e recursos humanos estão disponíveis para monitorizar, investigar e dar resposta às ameaças detetadas na rede. É frequente os atacantes de ransomware agendarem os seus ataques para as horas sem movimento, como fins de semana e feriados, assumindo que poucos ou nenhuns colaboradores estarão a monitorizar.
• Criar e implementar passwords fortes. As passwords sólidas são uma das primeiras linhas de defesa. Devem ser únicas ou complexas, e nunca devem ser reutilizadas. Isto é mais fácil de executar através de um gestor de passwords, que pode armazenar as credenciais dos colaboradores.
• Utilizar a Autenticação Multifator (MFA). Até as passwords mais sólidas podem ficar comprometidas. Qualquer formato de autenticação multifator é melhor do que não utilizar nenhum, de forma a proteger o acesso a recursos importantes como o email, ferramentas de gestão remota e ativos de rede.
• Bloquear serviços acessíveis. É necessário realizar análises à rede a partir do exterior, e identificar e bloquear os acessos mais utilizados por VNC, RDP e outras ferramentas de acesso remoto. Se um dispositivo precisa de estar acessível através de uma ferramenta de gestão remota, esta deve ser colocada sob proteção de uma VPN ou uma solução de acesso à rede zero-trust, que utilize a MFA como parte do login.
• Aplicar segmentação e zero-trust. Separar os servidores críticos entre si e criar estações de trabalho, colocando-os em VLANs separadas à medida que se trabalha para um modelo de rede zero-trust.
• Fazer cópias de backup offline da informação e das aplicações. Manter os backups atualizados, garantir que são recuperáveis e manter uma cópia offline.
• Fazer um inventário de ativos e contas. Os dispositivos desconhecidos, desprotegidos ou sem patches na rede aumentam o nível de risco e criam situações em que atividades maliciosas podem passar despercebidas. É essencial ter um inventário corrente de todos os dispositivos e ligações de computação. É importante utilizar análises de rede, ferramentas IaaS e análises físicas para os localizar e catalogar, bem como instalar software de proteção de endpoints em quaisquer máquinas que estejam desprotegidas.
• Garantir que os produtos estão corretamente configurados. Os sistemas e dispositivos com baixo nível de proteção também estão vulneráveis. É importante garantir que as soluções de segurança estão configuradas de forma correta, verificá-las e, onde necessário, validar e atualizar as políticas de segurança regularmente. As atualizações de segurança nem sempre ficam automaticamente ativas. Não se deve desativar a proteção contra violações nem criar amplas áreas de exclusão de deteção, uma vez que tal facilitará o trabalho dos atacantes.
• Audit Active Directory (AD). Tal significa conduzir auditorias regulares em todas as contas de AD, garantindo que nenhuma tem mais acesso do que o necessário para o seu propósito. Por exemplo, devem desativar-se as contas dos colaboradores assim que deixam de trabalhar na empresa.
• Fazer patches de tudo. É necessário manter o Windows e outros sistemas operativos e softwares atualizados. Tal significa também fazer uma dupla verificação de que os patches foram instalados corretamente e que estão colocados nos sistemas críticos, como máquinas voltadas para a internet e controlos de domínio.

Os produtos de endpoint da Sophos, como é o caso do Intercept X, protegem os utilizadores aos detetarem as ações e comportamentos do ransomware e de outros ataques. A tentativa de encriptar ficheiros é bloqueada pela funcionalidade CryptoGuard. A deteção e resposta integrada de endpoints, incluindo o Sophos Extended Detection and Response (XDR), pode ajudar a capturar a atividades nefastas, por exemplo a criação de arquivos protegidos por passwords por parte dos atacantes, tal como registado no ataque de ransomware Memento.

Para mais informações, consulte o artigo sobre o ransomware Memento publicado no SophosLabs Uncut.