Nos últimos dias, o mundo inteiro ouviu falar do grupo que atacou a Colonial Pipeline, chamado de DarkSide Ransomware Group. Os ataques a grandes companhias somaram cerca de U$90 milhões em Bitcoin. Foram pelo menos 47 empresas nos últimos 9 meses. Em maio, a Colonial Pipeline e o Grupo Moura foram atacadas, a segunda brasileira, por meio de um ransomware diferente do que foi registrado até aqui. Trata-se de uma modalidade altamente personalizável.
Veja os outros alertas de vulnerabilidade
Primeiros relatos de ataque do grupo que atacou a Colonial Pipeline
O primeiro relatório de um ataque do DarkSide Ransomware é de 10 de agosto de 2020, e já trazia a informação de que o ransomware era altamente personalizado, e que os pagamentos lucrativos, de milhões de dólares, vinham de grandes alvos corporativos nos setores de finanças, tecnologia e manufatura. Naquele mesmo dia, o grupo lançou o site DarkSide associado na rede Tor, que é também uma plataforma que funciona como um Ransomware-As-A-Service (RaaS). O lucro é compartilhado entre os proprietários e os parceiros ou afiliados.
Como funcionam os ataques?
Vários relatórios do setor sugerem que o ransomware não apenas criptografa os dados das vítimas, mas também se propaga lateralmente na rede e rouba informações confidenciais das máquinas afetadas. Se as vítimas se recusarem a pagar, seus dados serão postados publicamente no site Tor da DarkSide e oferecidos para download.
Embora não haja informações publicamente disponíveis sobre o vetor de infecção, como os ataques são altamente específicos, os servidores RDP (Remote Desktop Protocol) comprometidos e os ataques de phishing personalizados são duas opções altamente plausíveis.
Os primeiros ataques do ransomware DarkSide foram todos operados pelo proprietário. Depois de alguns meses de sucesso, as operações expandiram. Em 10 de novembro, os operadores DarkSide anunciaram nos fóruns em russo XSS e Exploit a formação de seu novo programa de afiliados DarkSide, fornecendo aos parceiros uma forma modificada de seu Ransomware DarkSide.
O grupo que atacou a Colonial Pipeline, DarkSide, usa Salsa20 e RSA-1024 para criptografar os arquivos das vítimas no sistema operacional Windows. Ele também viria em uma versão para Linux, embora nenhuma amostra esteja disponível publicamente. A versão Linux é escrita em C ++ e usa ChaCha20 e RSA-4096 para criptografar arquivos.
MITRE ATT&CK — táticas e técnicas
A seguir estão as táticas e técnicas do MITRE ATT&CK associadas ao DarkSide.
Colonial Pipeline e Grupo Moura
Em maio de 2021, o grupo caiu novamente na mídia após o ataque à Colonial Pipeline, vítima de um ataque do ransomware Darkside. A ação levou ao desligamento voluntário do oleoduto principal que fornecia 45% do combustível para a costa leste dos Estados Unidos. O ataque foi descrito como o pior ataque cibernético até hoje à infraestrutura crítica dos Estados Unidos.
O Grupo Moura confirmou em 12 de maio de 2021 ao website ter sofrido um ataque cibernético que atingiu seus servidores.
Em seu site de vazamentos na dark web, os bandidos publicaram o logotipo do Grupo Moura e algumas informações sobre o ataque. Inicialmente informaram que o ataque aconteceu no dia 16 de abril e que foram obtidos dados pessoais de clientes, contratos, acordos, plantas e informações sobre as atividades da empresa, num total de 400GB de arquivos. Os dados começaram a ser publicados no dia 20 de abril, em arquivos zipados de 40GB cada. Só nesse dia foram publicados seis lotes de 40GB; no dia 30 foi publicado mais um lote e no dia 1 de maio outro.
O Grupo Moura enviou a seguinte nota de esclarecimento à imprensa: “O Grupo Moura confirma que foi vítima de uma ofensiva aos seus servidores internos, o que resultou na divulgação de dados supostamente atribuídos à empresa. Estamos tomando as medidas necessárias para fortalecer todos os protocolos de segurança da informação. Os dados divulgados estão sendo analisados para seguirmos com as medidas cabíveis. Mesmo com o ataque ocorrido, a operação fabril e de distribuição da empresa não sofreu impactos”. Questionado sobre o valor do resgate pedido, a empresa respondeu que “informar valores exigidos pelos criminosos ou qualquer outra informação adicional poderá comprometer as investigações em curso”.”
Mitigação
De acordo com a Cybersecurity and Infrastructure Security Agency (CISA) e o Federal Bureau of Investigation (FBI) recomendam que os proprietários e operadores de IC (infraestrutura crítica) apliquem as seguintes atenuações para reduzir o risco de comprometimento por ataques de ransomware.
- Requer autenticação multifator para acesso remoto a redes TO (Tecnologia operacional) e TI (Tecnologia da Informação);
- Habilite filtros de spam fortes para evitar que e-mails de phishing cheguem aos usuários finais. Filtre e-mails contendo arquivos executáveis para que não cheguem aos usuários finais;
- Implemente um programa de treinamento de usuário e ataques simulados para spear phishing para desencorajar os usuários de visitar sites maliciosos ou abrir anexos maliciosos e reforçar as respostas apropriadas do usuário aos e-mails de spear phishing;
- Filtre o tráfego de rede para proibir as comunicações de entrada e saída com endereços IP maliciosos conhecidos. Evite que usuários acessem sites maliciosos implementando listas de bloqueio de URL e / ou listas de permissão;
- Atualize o software, incluindo sistemas operacionais, aplicativos e firmware em ativos de rede de TI, em tempo hábil. Considere o uso de um sistema de gerenciamento de patch centralizado; use uma estratégia de avaliação baseada em risco para determinar quais ativos de rede TO e zonas devem participar do programa de gerenciamento de patch;
- Limite o acesso a recursos nas redes, especialmente restringindo o RDP. Depois de avaliar os riscos, se o RDP for considerado operacionalmente necessário, restrinja as fontes de origem e exija a autenticação multifator;
- Configure programas antivírus / antimalware para realizar varreduras regulares de ativos de rede de TI usando assinaturas atualizadas. Use uma estratégia de inventário de ativos baseada em risco para determinar como os ativos de rede TO são identificados e avaliados quanto à presença de malware;
- Implementar prevenção de execução não autorizada:
-
- Desativando scripts de macro de arquivos do Microsoft Office transmitidos por e-mail. Considere o uso do software Office Viewer para abrir arquivos do Microsoft Office transmitidos por e-mail em vez de aplicativos completos do pacote do Microsoft Office;
- Implementar a lista de permissões de aplicativos, que só permite que os sistemas executem programas conhecidos e permitidos pela política de segurança. Implemente políticas de restrição de software (SRPs) ou outros controles para evitar que programas sejam executados em locais comuns de ransomware, como pastas temporárias que oferecem suporte a navegadores de Internet populares ou programas de compactação / descompactação, incluindo a pasta AppData/LocalAppData;
- Monitore e / ou bloqueie conexões de entrada de nós de saída Tor e outros serviços de anonimato para endereços IP e portas para as quais conexões externas não são esperadas (ou seja, outros que não sejam gateways VPN, portas de correio, portas web);
- Implante assinaturas para detectar e / ou bloquear a conexão de entrada de servidores Cobalt Strike e outras ferramentas de pós-exploração.
A CISA e o FBI recomendam que os proprietários e operadores de IC apliquem as seguintes atenuações agora para reduzir o risco de grave degradação empresarial ou funcional caso sua entidade de IC seja vítima de um ataque de ransomware no futuro:
- Implemente e garanta uma segmentação de rede robusta entre as redes de TI e TO para limitar a capacidade dos adversários de girar para a rede TO, mesmo se a rede de TI estiver comprometida. Defina uma zona desmilitarizada que elimine a comunicação não regulamentada entre as redes de TI e TO;
- Organize os ativos de TO em zonas lógicas, levando em consideração a criticidade, as consequências e a necessidade operacional. Defina conduítes de comunicação aceitáveis entre as zonas e implemente controles de segurança para filtrar o tráfego de rede e monitorar as comunicações entre as zonas. Proibir os protocolos do sistema de controle industrial (ICS) de atravessar a rede de TI;
- Identifique as interdependências de rede de TO e TI e desenvolva soluções alternativas ou controles manuais para garantir que as redes ICS possam ser isoladas se as conexões criarem risco para a operação segura e confiável dos processos de TO. Teste regularmente os planos de contingência, como controles manuais, para que as funções críticas de segurança possam ser mantidas durante um incidente cibernético. Certifique-se de que a rede TO pode operar na capacidade necessária, mesmo se a rede de TI estiver comprometida;
- Teste regularmente os controles manuais para que as funções críticas possam ser mantidas em execução se as redes ICS ou TO precisarem ser colocadas off-line;
- Implemente procedimentos regulares de backup de dados nas redes de TI e TO. Os procedimentos de backup devem ser realizados com frequência e regularidade. Os procedimentos de backup de dados também devem abordar as seguintes práticas recomendadas:
- Certifique-se de que os backups sejam testados regularmente;
- Armazene seus backups separadamente. Os backups devem ser isolados das conexões de rede que podem permitir a disseminação do ransomware. É importante que os backups sejam mantidos offline, pois muitas variantes de ransomware tentam encontrar e criptografar ou excluir backups acessíveis. Manter backups atuais offline é crítico porque se os dados da sua rede estiverem criptografados com ransomware, sua organização pode restaurar os sistemas ao estado anterior. A prática recomendada é armazenar seus backups em um dispositivo separado que não pode ser acessado de uma rede, como em um disco rígido externo;
- Mantenha “imagens de ouro” atualizadas regularmente de sistemas críticos, caso precisem ser reconstruídos. Isso envolve a manutenção de “modelos” de imagem que incluem um sistema operacional (SO) pré-configurado e aplicativos de software associados que podem ser implantados rapidamente para reconstruir um sistema, como uma máquina virtual ou servidor;
- Reter o hardware de backup para reconstruir sistemas, caso não seja preferível reconstruir o sistema principal. Hardware mais novo ou mais antigo que o sistema primário pode apresentar obstáculos de instalação ou compatibilidade ao reconstruir a partir de imagens;
- Armazene o código-fonte ou executáveis. É mais eficiente reconstruir a partir de imagens do sistema, mas algumas imagens não serão instaladas em hardware ou plataformas diferentes corretamente; ter acesso separado ao software necessário ajudará nesses casos.
- Certifique-se de que as contas de usuário e processos sejam limitadas por meio de políticas de uso de conta, controle de conta de usuário e gerenciamento de conta com privilégios. Organize os direitos de acesso com base nos princípios do menor privilégio e separação de funções.
Se sua organização for afetada por um incidente de ransomware, a CISA e o FBI recomendam as seguintes ações:
- Isole o sistema infectado. Remova o sistema infectado de todas as redes e desative a conexão sem fio do computador, o Bluetooth e quaisquer outros recursos de rede em potencial. Certifique-se de que todas as unidades compartilhadas e em rede estejam desconectadas, sejam com fio ou sem fio;
- Desligue outros computadores e dispositivos. Desligue e separe (ou seja, remova da rede) o(s) computador(es) infectado(s). Desligue e separe todos os outros computadores ou dispositivos que compartilharam uma rede com o(s) computador(es) infectado(s) que não foram totalmente criptografados pelo ransomware. Se possível, reúna e proteja todos os computadores e dispositivos infectados e potencialmente infectados em um local central, certificando-se de rotular claramente todos os computadores que foram criptografados. Desligar e segregar computadores infectados e computadores que não foram totalmente criptografados pode permitir a recuperação de arquivos parcialmente criptografados por especialistas;
- Proteja seus backups. Certifique-se de que seus dados de backup estejam offline e seguros. Se possível, analise seus dados de backup com um programa antivírus para verificar se está livre de malware.
Fontes:
https://www.flashpoint-intel.com/blog/darkside-ransomware-links-to-revil-difficult-to-dismiss/
https://www.elliptic.co/blog/darkside-ransomware-has-netted-over-90-million-in-bitcoin
https://us-cert.cisa.gov/ncas/alerts/aa21-131a
https://www.cisoadvisor.com.br/grupo-moura-e-vitima-do-ransomware-darkside/