SentinelOne explica a dinâmica do ataque do REvil, o maior ataque de todos os tempos
17/08/2021Ransomware fez mais de 1,5 mil vítimas, clientes da Kaseya. Ameaça é detectada e atenuada por solução XDR moderna para defender o uso impróprio de executáveis do sistema operacional integrado (LOLBINs)
O ataque do REvil parece ser o maior incidente de ransomware em grande escala até hoje. Fez mais de 1,5 mil vítimas, clientes da Kaseya, desenvolvedora de um software para gerenciamento de redes, sistemas e infraestrutura de TI. Sediada em Miami, Flórida, com filiais nos Estados Unidos, Europa e Ásia-Pacífico, os servidores Kaseya VSA da empresa foram atacados em 02 de julho por uma bem orquestrada campanha, usando uma vulnerabilidade do software, em um ataque de dia zero.
O resgate? Os invasores oferecem a ferramenta de descriptografia universal para todas as vítimas por uma quantia de $ 50 milhões (originalmente $ 70 milhões).
Francisco Camargo, fundador e CEO da CLM, distribuidora da solução XDR da SentinelOne (empresa cotada na bolsa de Nova York com valor de 10 bilhões de dólares), explica que o exploit, isto é um programa feito para explorar uma vulnerabilidade, provavelmente Zero Day, foi usado para entregar o ransomware Sodinokibi da REvil a milhares de endpoints em várias empresas ao mesmo tempo.
“Este tipo de ataque prova mais uma vez a necessidade de uma solução XDR baseada em inteligencia artificial, a única capaz de defender de ataques Dia Zero, impedindo o uso impróprio de executáveis confiáveis do sistema operacional (LOLBINs), neste caso, usaram as próprias ferramentas de defesa do Windows, para reconstituir o malware, transforma-lo em uma aplicativo legitimo do Windows e o executarem.”, assegura Camargo.
Diante da magnitude desse ataque, a SentinelOne, parceira da CLM, que usa Machine Learning e Inteligencia Artificial para detectar comportamentos maliciosos, na rede e nos endpoints, para todos os vetores de ataque, imediatamente mapeou os processos do ransomware REvil (que estão descritos abaixo). Segundo a empresa, essa investida é mais uma escalada na sofisticação do crime cibernético, não apenas tecnicamente, mas também na magnitude e orquestração do ataque.
A empresa, que unifica prevenção, detecção e resposta em uma única plataforma, aconselha os especialistas em segurança cibernética a sempre agir supondo que suas redes já hospedam agentes mal-intencionados. “Os lucros exorbitantes realizados pelos criminosos cibernéticos só irão aumentar a sofisticação dos ataques que continuaremos a ver, os meios e motivações já estão lá. O ransomware é uma realidade que toda organização deve enfrentar ao operar na era digital. A segurança cibernética hoje se tornou uma parte crítica das operações corporativas: a capacidade de agentes maliciosos de interromper e lucrar atingiu novos níveis de relevância como uma possível ameaça existencial para as empresas”, alerta a SentinelOne.
Camargo vai além e diz que o REvil evidencia porquê os produtos de segurança precisam se valer do poder dos dados, especificamente comportamentais, e da inteligência artificial, uma vez que malwares e ransomwares estão cada vez mais perspicazes e inovadores em suas técnicas para comprometer dispositivos.
A abordagem do SentinelOne é baseada em dados e em IA criando uma postura autônoma em relação à segurança cibernética. Já não é suficiente usar soluções legadas baseadas em assinaturas ou movidas por humanos para proteger as superfícies de ataque a uma organização, já que cada segundo conta na defesa de ataques avançados como este.
Kaseya reconhece a gravidade do ataque
A Kaseya ressaltou a gravidade da situação, instruindo os clientes a encerrar os servidores VSA até novo aviso.
Declaração inicial da Kaseya
Desde então, a Kaseya envolveu a comunidade de segurança e fez a triagem da causa raiz desse incidente. Esta postagem busca desvendar a cadeia de infecção, destacar indicadores relevantes e esclarecer proteções para nossos clientes.
Cadeia de execução do malware
Veja o que aconteceu com a Kaseya
A SentinelOne também explica detalhadamente como aconteceu esse ataque e como se prevenir. Mais informações estão no link.
A campanha de ransomware REvil, em grande escala, foi direcionada aos clientes do software de serviços gerenciados da Kaseya. O alvo foram os servidores Kaseya VSA, comumente usados por provedores de serviços de segurança gerenciados e empresas de gerenciamento de TI. O ataque explorou uma variedade de componentes autênticos, como certutil.exe, Microsoft Defender e certificados digitais, roubados como parte de sua cadeia de execução.
As descobertas, até o momento, mostram que falhas lógicas em um dos componentes do VSA (dl.asp) podem ter levado a um desvio de autenticação. Os invasores puderam então usar KUpload.dll para descartar vários arquivos, incluindo ‘agent.crt’, um certificado falso que contém o dropper de malware. Outra parte descartada, Screenshot.jpg, parece ser um arquivo JavaScript, que foi parcialmente recuperado. A SentinelOne informa que detalhes específicos sobre a natureza exata da exploração usada ainda estão sendo descobertos enquanto a análise está em andamento.
Suspeita-se que cadeia de ataques termina com uma injeção de SQL em userFilterTableRpt.asp para enfileirar uma série de procedimentos VSA que executariam o malware e eliminariam esses procedimentos dos logs.
Esta atividade foi vista se originando de uma instância AWS EC2 sequestrada 18.223.199 [.] 234. Atividade adicional foi observada originando-se de 161.35.239 [.] 148 (DigitalOcean), 162.253.124 [.] 16 (Sapioterra) e 35.226.94 [.] 113 (Google Cloud).
Cadeia de infecção de malware REvil
O procedimento malicioso foi identificado como ‘Kaseya VSA Agent Hot-fix’. Esta é uma série de comandos que verificam o acesso à internet e usam o PowerShell para desabilitar uma sequência de medidas de segurança nativas do sistema operacional, incluindo monitoramento em tempo real, prevenção de intrusão, proteção de rede e envio automático de amostra. O mecanismo então invoca o aplicativo certutil.exe nativo do sistema operacional, comumente usado para validar certificados, e o usa para decodificar o conteúdo de ‘agent.crt’ em um executável, agent.exe.
O binário do agent.exe foi compilado em 1º de julho de 2021 e atua como um dropper para dois recursos executáveis incorporados, ‘MODLIS’ e ‘SOFTIS’. “Recurso 101, SOFTIS é um executável legítimo do Microsoft Defender desatualizado que está sendo usado para transferir a carga maliciosa. É importante notar que este mecanismo de entrega de uma díade de carregamento lateral (uma cadeia de execução de duas partes) foi usado para entregar o REvil já em abril de 2021”, informa a SentinelOne.
A carga útil (o malware) em si está contida no recurso 102, sob o nome de recurso ‘MODLIS’.
Para que a carga maliciosa seja carregada pelo Microsoft Defender, a DLL é descartada em % WinDir% \ MpSvc.dll e exporta as funções ServiceCrtMain, ServiceMain e SvchostPushServiceGlobals. O arquivo é assinado com um certificado digital roubado de uma empresa de transporte canadense. É um dos vários certificados roubados recentemente empregados pela REvil. O ransomware emprega OpenSSL estaticamente vinculado para conduzir suas operações criptográficas. ServiceCRTMain () cria um thread que desofuscará a carga útil principal.
Embora os IOCs diretamente relevantes ao incidente do Kaseya sejam um subconjunto específico, coletamos amostras para um cluster de cadeias de execução semelhantes, incluindo a díade de sideload do Microsoft Defender e certificados digitais roubados ainda válidos. Fornecemos hashes e assinaturas YARA no final desta postagem para ajudar a identificar arquivos adicionais assinados com esses certificados roubados.
Durante esse processo, netsh.exe (como vimos com exemplos anteriores do REvil) também é chamado, fazendo o seguinte ajuste às regras de firewall locais:
Últimos desdobramentos
Na segunda-feira, 5 de julho, a Kaseya anunciou que está desenvolvendo um novo patch para instalações locais a fim de ajudar os clientes a voltarem ao serviço. A Kaseya também publicou uma ferramenta de detecção de comprometimento para que os clientes verifiquem se a instalação local foi realmente comprometida.
Desde este surto, os invasores têm procurado por servidores Kaseya expostos na internet no local, usando plataformas disponíveis publicamente, como Shodan.io. Essa janela de tempo permite que grupos de ataque além do REvil obtenham acesso imediato pela internet a redes sensíveis ao cliente.
A SentinelOne indica ainda as regras de caça YARA para artefatos REvil / Kaseya
https://www.sentinelone.com/blog/revils-grand-coup-abusing-kaseya-managed-services- software-for-massive-profits/
Sobre a CLM
CLM é um distribuidor latino-americano de valor agregado com foco em segurança da informação, proteção de dados, infraestrutura para data centers e cloud. A empresa distribui soluções de fabricantes líderes de mercado como A10 Networks, Allot, AppGate, Arista, Auth0, Awingu, Barracuda Networks, Bitglass, eG Innovations, Exagrid, Hillstone Networks, Hycu, Kemp Technologies, Lenovo, Nutanix, NSFucos, Picus Security, Proofpoint, Pure Storage, Radware, SafeGuard, SentinelOne, Varonis e Thales. Com sede em São Paulo, a empresa possui subsidiarias nos EUA, Colômbia, Equador e Peru. Com extensa rede de VARs na América Latina e enorme experiência no mercado, a CLM está constantemente em busca de soluções inovadoras e disruptivas para fornecer cada vez mais valor para seus canais e seus clientes.
www.CLM.international
Junte-se ao nosso grupo exclusivo WhatsApp e tenha acesso a artigos, notícias e dicas sobre o universo da segurança. ENTRAR NO GRUPO.