NOVO ATAQUE – Evento de REvil Ransomware

Como provavelmente já é de conhecimento de todos, no fim de semana, um importante grupo de empresas na Argentina sofreu um ataque de ransomware que paralisou suas operações administrativas por várias horas.

Agora que os detalhes do ataque são conhecidos, desde WEZEN queremos compartilhar algumas reflexões.

O ataque foi cometido com o ransomware REvil (ou Sodinokibi), aproveitando diferentes vulnerabilidades, entre as quais se destacam o acesso por meio de versões desatualizadas e expostas de RDP e a escalada de privilégios por meio de vulnerabilidades não corrigidas a tempo. Em particular, esse malware é conhecido por explorar a vulnerabilidade CVE-2018-8453, que deveria ter sido corrigida em qualquer sistema da Microsoft há quase dois anos (https://support.microsoft.com/en-us/help/4471320 ). Além de obter acesso de administrador ao Active Directory, o ataque se ocupou de cifrar os arquivos dos usuários e servidores afetados, incluindo os arquivos salvos no Onedrive. Este último, mais que um problema, pode ter contribuído para a solução.

Com base neste breve resumo, podemos oferecer (ou melhor, recordar) algumas recomendações gerais para minimizar o impacto desse tipo de ataque:

• Aplicar patches. Novas falhas no sistema são detectadas continuamente, mas apenas uma pequena porcentagem de ataques ocorre no estágio “Dia zero” (ou antes que a vulnerabilidade seja conhecida publicamente) e antes que a mesma seja corrigida pelo provedor.
• Executar Backup. A única solução para recuperar as informações após sofrer um ataque desse tipo é recorrer a backups. Não está em discussão a possibilidade de pagar um resgate por várias razões que não vamos discutir hoje. Uma peculiaridade do ataque em questão é que muitos arquivos afetados estavam localizados no Onedrive e foram criptografados nos notebooks ou PCs dos usuários. Felizmente, os arquivos nesses tipos de sistemas são facilmente recuperáveis.
• Aplicar patches. Sim, novamente. E aplicar a tempo. É necessário programar uma janela de manutenção mensal em sistemas críticos. Se um sistema deve operar non-stop, medidas adicionais rigorosas de isolamento devem ser consideradas. Ninguém se conecta a um SCADA obsoleto da Internet, NÃO É VERDADE?
• Diminuir a superfície de ataque. Isso inclui tanto não expor serviços desnecessários (quem precisa de RDP para todos os servidores?), como também evitar software supérfluo. Um RDP exposto à Internet pode permitir o acesso (devido a uma vulnerabilidade não corrigida ou ataques de força bruta ou de dicionário, phishing etc.) e, em seguida, software não essencial pode permitir uma escalada de privilégios. Pode ser bastante simples assumir o controle de um sistema.
• Aplicar patches a tempo e executar backup. Apenas em caso de que não demos suficiente ênfase.

Somente depois de haver considerado (não necessariamente resolvido, mas obrigatoriamente considerado) os pontos anteriores, podemos falar sobre medidas adicionais, como proteção contra malware, IPS, WAF (no caso de aplicativos da web), proxies reversos, latches, controle de dispositivos móveis, etc., etc., etc. Todas essas medidas fornecerão uma camada adicional de segurança, adicionando seu grão de areia à estrutura do “Modelo de queijo suíço” (https://es.wikipedia.org/wiki/Modelo_del_queso_suizo).

Se você tiver alguma dúvida, entre em contato conosco: info@wezengroup.com