Relatório da Cisco aponta ransomware como principal ameaça

Pelo sétimo trimestre consecutivo, o Cisco Talos Incident Response (CTIR) observou os ataques de ransomware dominando o cenário de ameaças. As principais variantes foram Ryuk e Vatet, o que é notável, dada a ausência do Ryuk no último trimestre. Também foram observados variantes dos malwares Egregor e WastedLocker continuando a visar organizações em todo o mundo. Ao contrário do último trimestre, no entanto, esses ataques de ransomware dependeram esmagadoramente de phishing entregando cavalos de troia, como Zloader, BazarLoader e IcedID. Quase 70% dos ataques de ransomware dependeram de cavalos de troia comuns neste trimestre. Os cibercrinimosos também empregam ferramentas disponíveis comercialmente, como Cobalt Strike, ferramentas de pós-exploração de código aberto como Bloodhound e ferramentas nativas no sistema da vítima, como PowerShell. Essas informações constam do relatório trimestral Incident Response Trends from Winter 2020-21, da Cisco.

O CTIR se envolveu em vários compromissos de resposta a incidentes nos quais as organizações, sem saber, baixaram atualizações de cavalos de troia para o software Orion da SolarWinds amplamente implantado. Apenas um desses incidentes envolveu atividade pós-compromisso.

Olhando para o futuro, a Microsoft anunciou recentemente quatro vulnerabilidades no Exchange Server e revelou que um ator de ameaças chamado Hafnium estava explorando essas vulnerabilidades para lançar shells da Web, visando uma série de organizações. Logo, outros agentes de ameaças também começaram a aproveitar essas explorações, desde APTs (Ataque Persistente Avançado) a grupos de criptomoedas, com organizações afetadas estimadas em dezenas de milhares. O CTIR tem respondido a um número crescente de incidentes envolvendo as vulnerabilidades do Microsoft Exchange.

Alvos

Os cibercriminosos visavam uma ampla gama de setores verticais, incluindo gestão de negócios, construção, educação, energia e serviços públicos, entretenimento, finanças, governo, saúde, distribuição industrial, jurídico, manufatura e tecnologia. Entre os principais alvos visados por ataques de ransomware está o setor de Saúde. É importante notar que houve um aumento nos incidentes envolvendo o malware Vatet, que era conhecido por ter como alvo organizações de Saúde. O CTIR identificou um padrão potencial no qual clínicas regionais associadas a um hospital em um determinado estado são atacadas inicialmente e podem servir como alvos subsequentes, principalmente se tiverem conexões VPN ativas com a organização afetada. Existem muitas razões pelas quais os atores continuam a visar o setor de Saúde, incluindo a pandemia de Covid-19, incentivando as vítimas a pagar para restaurar os serviços o mais rápido possível.

O ransomware continuou a representar a maioria das ameaças observadas pelo CTIR. Ao contrário do último trimestre, que marcou a ausência de trojans de commodities, a maioria desses ataques contou com phishing de maldocs de cavalos de troia como vetor de infecção. Os adversários também continuam a usar ferramentas disponíveis comercialmente: Cobalt Strike foi observado em metade de todos os ataques de ransomware neste trimestre. Também houve vários compromissos de ransomware que alavancaram ferramentas de reconhecimento de código aberto, como ADFind, ADRecon e Bloodhound. Os utilitários do Windows também eram comuns. Por exemplo, o PowerShell foi observado em quase 65% de todos os ataques de ransomware, enquanto o uso do PsExec foi observado em mais de 30%. Outras ferramentas observadas incluem ferramentas de uso duplo, como TightVNC e CCleaner, e ferramentas de compressão, como 7-Zip e WinRAR.

SolarWinds

Em dezembro de 2020, o Cisco Talos tomou conhecimento de um sofisticado ataque à cadeia de suprimentos no qual os adversários obtiveram acesso às redes das vítimas por meio de atualizações de trojan do software Orion da SolarWinds. Este ataque teve como alvo várias grandes empresas e agências governamentais dos Estados Unidos. O CTIR se envolveu em várias respostas a incidentes em que as organizações instalaram inadvertidamente a atualização comprometida. Apenas um desses compromissos envolveu atividades pós-comprometimento, como a execução maliciosa do PowerUP PowerShell. O PowerUP parece fazer parte do PowerSploit e é uma coleção de módulos do PowerShell usados para ajudar nas atividades de formação de equipes vermelhas. Embora o script PowerShell semelhante ao PowerUP não tenha executado nada neste momento, ele parecia estar configurado como um wrapper ou utilitário, possivelmente para o código adicional ser canalizado.

A partir de março, o CTIR está respondendo a um número crescente de incidentes envolvendo as vulnerabilidades do Microsoft Exchange. Em um caso, um cliente no setor de processador/tecnologia de pagamento não viu nenhuma indicação de que o CVE-2021-26855 foi explorado. No entanto, eles observaram o comportamento de varredura de um endereço IP conhecido vinculado a esses ataques, que enviou pacotes para um servidor Exchange específico a partir de 28 de fevereiro. Em outro incidente, um cliente do setor de Saúde viu um exploit CVE-2021-26855, embora ainda não foi determinado se a atividade se limitou apenas à digitalização neste momento.

Em um caso de resposta a incidentes que afetou uma organização na Alemanha, foi notado um ligeiro desvio da atividade pós-exploração nos compromissos mencionados acima. A atividade começou quase da mesma maneira, com o adversário instalando shells da Web no ambiente da vítima. No entanto, antes da implementação, o cliente viu que a senha da conta do Admin de Domínio foi redefinida por meio da presença do atributo “Última senha definida” no Active Directory (AD).

Vetores iniciais

Foi difícil identificar um vetor de infecção inicial em muitos incidentes no último trimestre. No entanto, em casos em que o vetor inicial pode ser identificado, ou razoavelmente presumido, o phishing foi o principal vetor de infecção pelo sétimo trimestre consecutivo. A grande maioria deles era composta de phishing maldoc. No entanto, também havia compromissos envolvendo o comprometimento do e-mail comercial, como quando um funcionário de uma empresa de entretenimento recebeu um phishing com uma página de login falsificada do Microsoft Online, após o qual o cibercriminoso tentou se autenticar em sua conta do Office 365 de vários locais. O adversário autenticou e contornou o MFA com sucesso por meio do uso de um aplicativo legado, destacando a necessidade de desabilitar os protocolos legados.

O CTIR incentiva todas as organizações a salvar seus registros para tornar mais eficientes e eficazes quaisquer compromissos de resposta a incidentes em potencial.

Outros vetores iniciais notáveis incluíram a exploração de aplicativos voltados ao público, como uma organização educacional que teve seu balanceador de carga F5 explorado via CVE-2020-5902 – uma vulnerabilidade de execução remota de código em F5 – no curso de um ataque DDoS. Também houve várias instâncias de exploração de uma vulnerabilidade na interface do usuário da Telerik, rastreada como CVE-2019-18935 . O Talos viu pela primeira vez um aumento de atores explorando a interface do usuário da Telerik no terceiro trimestre de 2020 – uma tendência que continua até hoje.

Serviço
https://talosintelligence.com