Relatório ao vivo do ataque de ransomware Conti

8. Março 2021
| Sem comentários
Conti ransomware no relatório ao vivo

Compartilhar postagem

Cinco dias se aproximando do ransomware Conti: em três relatórios, a Sophos descreve em detalhes o processo de um ataque real de ransomware Conti e como ele foi interrompido. Também inclui: comportamento de ataque, histórico técnico e dicas práticas para administradores de TI.

Os ataques de ransomware Conti, que têm sido cada vez mais perigosos desde meados do ano passado, são um exemplo impressionante de como os cibercriminosos usam tecnologia moderna e sofisticada para planejar seu ataque de maneira direcionada e, assim, aumentar muito suas chances de penetrar com sucesso nas redes corporativas. Em três relatórios detalhados, a equipe do Sophos Rapid Response descreve um ataque real e como ele se desenrolou durante cinco dias: "Este foi um ataque muito rápido e potencialmente devastador", disse Peter Mackenzie, gerente do Sophos Rapid Response. “Durante nossa investigação forense, vimos que os invasores exploraram vulnerabilidades no firewall para comprometer a rede e obter acesso aos dados de administração do domínio em apenas 16 minutos. Depois disso, os invasores implantaram Cobalt Strike Agents nos servidores que formariam a espinha dorsal do ataque de ransomware.”

Atacante cibernético ao vivo no teclado

O que havia de especial nesse ataque era que os próprios cibercriminosos o controlavam e não deixavam tudo para uma rotina automatizada. Com esses ataques controlados por humanos, os invasores podem se adaptar e reagir a situações de mudança em tempo real. Com essa flexibilidade, esses ataques têm uma chance maior de sucesso, e as vítimas não se sentem seguras apenas porque uma tentativa inicial de ataque foi detectada e frustrada. Porque então acontece o que é descrito no seguinte diário de um ataque real de ransomware Conti - felizmente neste caso com um final feliz.

ataque dia 1

Os invasores penetram no firewall e precisam de apenas 16 minutos para sequestrar a conta do administrador em dois dos servidores da vítima. Eles então implantam um Cobalt Strike Agent no primeiro servidor até que este ataque seja detectado e parado pela vítima. Apenas 15 minutos depois, os atacantes repetem sua ação no segundo servidor e esse ataque passa despercebido. Assim que colocam o pé na porta, os invasores "esgueiram-se" pela rede corporativa da vítima e infectam um terceiro servidor.

ataque dia 2

Nenhuma atividade de ataque é notada pela vítima.

ataque dia 3

Os invasores procuram por cerca de dez horas pastas de arquivos com informações potencialmente interessantes e as extraem usando a ferramenta de gerenciamento de código aberto legítima RClone, que foi instalada despercebida no terceiro servidor sequestrado. Entre outras coisas, os dados dos departamentos de finanças, RH e TI são afetados.

ataque dia 4

Usando o que aprenderam sobre o endpoint e a estrutura do servidor desde o primeiro dia, os invasores primeiro instalaram um agente Cobalt Strike em um quarto servidor para testar o ransomware. Após a mensagem de sucesso, eles instalam o Cobalt Strike em quase 1 dispositivos e, após outros 300 minutos, lançam o ransomware Conti. Os endpoints comprometidos carregam o código de diferentes endereços de comando e controle e o executam. O pérfido sobre isso: nenhum dado é gravado nos discos rígidos, mas o ransomware é executado diretamente na memória principal para evitar a detecção. O ransomware então tenta criptografar os dados por três horas, mas é bloqueado nos computadores protegidos com o Sophos Intercept X, apesar das táticas de ofuscação. A empresa atacada corta a conexão com a internet, exceto o aplicativo Sophos, desliga a infraestrutura crítica e interrompe os processos de trabalho. A equipe do Sophos Rapid Response é chamada, identifica os endpoints e servidores infectados, interrompe os vários processos de ataque e começa a restaurar as áreas comprometidas.

ataque dia 5

A investigação final da Força-Tarefa de Resposta Rápida identifica uma segunda possível exfiltração de dados, uma segunda conta comprometida e tráfego RDP (Remote Desktop Protocol) suspeito através do firewall vulnerável. Ao mesmo tempo, a vítima restaura os endpoints inseguros e inicializa a infraestrutura crítica.

A moral da história

Muitas vezes, são os administradores de TI que estão na linha de fogo direta em um ataque de ransomware. São eles que vêm trabalhar de manhã e encontram tudo criptografado com um bilhete de resgate. Com base na experiência de sua equipe de resposta rápida, a Sophos desenvolveu uma lista de ações para lidar melhor com as primeiras horas e dias desafiadores após um ataque de ransomware.

  • Desative o Protocolo de Área de Trabalho Remota (RDP) para a Internet para impedir que criminosos cibernéticos acessem redes.
  • Se o acesso ao RDP for absolutamente necessário, ele deve ser protegido por meio de uma conexão VPN.
  • Medidas de segurança multicamadas – incluindo funções de detecção e resposta de endpoint (EDR) e equipes de resposta gerenciadas para monitoramento 24 horas por dia, 7 dias por semana das redes – evitam ataques e desempenham um papel fundamental na proteção e detecção de ataques cibernéticos.
  • Monitoramento constante de indicadores principais conhecidos que geralmente precedem ataques de ransomware.
  • Criação de um plano de resposta a incidentes, que deve ser continuamente atualizado com as mudanças na infraestrutura de TI e na empresa.
  • Especialistas externos com muita experiência podem oferecer uma excelente assistência.

Três relatórios de ransomware Conti da Sophos

Nos três relatórios da Sophos, o ataque de ransomware Conti é descrito de diferentes perspectivas e instruções concretas para ação são dadas no caso de um ataque. Os relatórios em inglês podem ser baixados nos seguintes links:

Momento de um ataque de ransomware Conti:

Um ataque diário do Conti Ransomware

Resumo técnico da SophosLabs sobre a natureza evasiva do ransomware Conti:

Conti Ransomware: Evasivo por Natureza

Instruções incluindo uma lista de verificação de 12 pontos para administradores de TI lidarem com um ataque:

O que esperar quando você for atingido pelo Conti Ransomware

Saiba mais em Sophos.com

 

Sobre a Sophos

A Sophos tem a confiança de mais de 100 milhões de usuários em 150 países. Oferecemos a melhor proteção contra ameaças complexas de TI e perda de dados. Nossas soluções de segurança abrangentes são fáceis de implantar, usar e gerenciar. Eles oferecem o menor custo total de propriedade do setor. A Sophos oferece soluções de criptografia premiadas, soluções de segurança para endpoints, redes, dispositivos móveis, e-mail e web. Também há suporte da SophosLabs, nossa rede global de centros de análise proprietários. A sede da Sophos fica em Boston, EUA e Oxford, Reino Unido.

 

Artigos relacionados ao tema

Plataforma de cibersegurança com proteção para ambientes 5G

A especialista em segurança cibernética Trend Micro revela sua abordagem baseada em plataforma para proteger a superfície de ataque em constante expansão das organizações, incluindo segurança ➡ Leia mais

Segurança de TI: NIS-2 torna-o uma prioridade máxima

Apenas num quarto das empresas alemãs a gestão assume a responsabilidade pela segurança informática. Especialmente em empresas menores ➡ Leia mais

Os ataques cibernéticos aumentam 104 por cento em 2023

Uma empresa de segurança cibernética deu uma olhada no cenário de ameaças do ano passado. Os resultados fornecem informações cruciais sobre ➡ Leia mais

Segurança de TI: base para LockBit 4.0 desativada

A Trend Micro, trabalhando com a Agência Nacional do Crime (NCA) do Reino Unido, analisou a versão não publicada que estava em desenvolvimento ➡ Leia mais

MDR e XDR via Google Workspace

Seja num café, num terminal de aeroporto ou num escritório doméstico – os funcionários trabalham em muitos locais. No entanto, este desenvolvimento também traz desafios ➡ Leia mais

Spyware móvel representa uma ameaça para as empresas

Cada vez mais pessoas utilizam dispositivos móveis tanto no dia a dia como nas empresas. Isto também reduz o risco de “móveis ➡ Leia mais

A segurança crowdsourced identifica muitas vulnerabilidades

A segurança crowdsourced aumentou significativamente no último ano. No sector público, foram comunicadas 151% mais vulnerabilidades do que no ano anterior. ➡ Leia mais

AI no Enterprise Storage combate ransomware em tempo real

A NetApp é uma das primeiras a integrar inteligência artificial (IA) e aprendizado de máquina (ML) diretamente no armazenamento primário para combater ransomware ➡ Leia mais

Sophos, Stories
, , , ,