A equipe gerenciada de resposta a ameaças da Sophos enfrentando o ransomware REvil. Um caso específico mostra como os cibercriminosos trabalharam, como a equipe de Managed Threat Response (MTR) finalmente conseguiu a vantagem e que lições as empresas devem aprender com o incidente.
Como muitas outras famílias de ransomware, os cibercriminosos usam REvil ransomware para roubar e criptografar dados, a fim de exigir um resgate o mais alto possível. No entanto, o que torna o REvil especial é a forma como o ransomware é disponibilizado. Como se fosse um negócio normal, os fabricantes oferecem seu "produto" como um serviço que você pode até alugar - isso lhe dá uma boa indicação de que o negócio dos cibercriminosos vale milhões.
Ataque REvil: resgate de US$ 2 milhões
O exemplo atual de uma empresa de mídia da qual os chantagistas exigiram um resgate de mais de dois milhões mostra como o ataque funciona e como os criminosos podem ser combatidos de forma eficaz. Com cerca de 600 dispositivos em rede, incluindo 25 servidores e três domínios Active Directory para operação 24 horas por dia, 7 dias por semana, esta empresa também foi forçada a transferir grande parte de seu trabalho diário para escritórios remotos após a onda do COVID-19. As estações de trabalho externas foram conectadas à rede e a conexão à Internet ajustada - ações bem intencionadas em termos dos requisitos necessários. Mas abriu a porta para o ataque do REvil.
Tendo penetrado na rede, os criminosos abriram caminho para os dispositivos desprotegidos e outros sistemas online, instalaram suas ferramentas de ataque e as usaram para estender o ataque a mais dispositivos.
Força de Resposta Rápida
Quando a Equipe de Resposta Rápida da Sophos foi chamada para conduzir uma investigação completa da cena do crime, rapidamente ficou claro que os invasores do REvil já haviam comprometido várias contas e estavam se movendo livremente entre computadores desprotegidos. Uma análise mais detalhada dos aplicativos mostrou que 130 terminais foram equipados com o software Screen Connect 130, que é frequentemente usado como uma ferramenta de colaboração para escritórios remotos. Na verdade, a empresa desconhecia essas instalações, sugerindo que os invasores instalaram essa ferramenta junto com vários outros programas para fins criminosos.
Troca direta de golpes
À medida que os invasores começaram a se aprofundar na rede, eles sabiam que provavelmente seriam detectados e bloqueados e que a equipe MTR estava atrás deles. Eles sabiam que ferramentas de detecção baseadas em comportamento estavam sendo usadas para rastreá-los e que o CryptoGuard detectaria e bloquearia a criptografia. Os invasores então tentaram penetrar em outros endpoints desprotegidos para executar o ransomware lá.
A troca direta de golpes entre a equipe do MTR e o atacante foi mais intensa e complexa do que o normal, já que a empresa de mídia teve que manter a maior parte dos servidores online para manter sistemas e transmissões 24 horas por dia, 7 dias por semana. Por fim, a pressa começou a diminuir. No segundo dia, enquanto ataques esporádicos ainda estavam sendo detectados, ficou claro que a tentativa de ataque principal havia terminado e falhado. O vencedor desta batalha foi claro: a equipe MTR.
Balanço e Insights
Poderia ter sido significativamente pior. A equipe de segurança de TI descobriu que o dano se limitava principalmente aos dispositivos e domínios desprotegidos. O domínio online anteriormente protegido por um air gap (opção de segurança de rede) foi completamente destruído e teve de ser reconstruído, e os backups online também foram excluídos. A boa notícia: embora os invasores tenham conseguido entrar na rede, a empresa não foi totalmente paralisado e também não teve que pagar um resgate exorbitante.
“Na maioria dos casos, o ataque já está acontecendo quando somos chamados. Podemos então ajudar a conter, neutralizar e investigar as consequências”, diz Peter Mackenzie, gerente do Sophos Rapid Response. “Neste caso, fomos solicitados a prestar assistência e estivemos presentes durante a fase final do ataque e pudemos ver tanto a determinação inicial dos atacantes quanto a crescente frustração. E eles usaram todas as armas disponíveis contra nós, atirando de todas as direções que podiam."
Duas descobertas particularmente importantes
A primeira diz respeito à gestão de riscos. Quando uma empresa faz alterações em um ambiente, como mudar uma rede de air-gapped para online, como no caso dessa empresa, o risco muda. Novas vulnerabilidades estão surgindo e precisam ser identificadas e eliminadas pelas equipes de segurança de TI.
A segunda conclusão é sobre proteção de dados. A primeira conta comprometida neste ataque pertencia a um membro da equipe de TI. Todos os dados foram apagados. Isso significa que informações valiosas, como B. Detalhes da invasão original que poderiam ter sido usados para análise e investigação forense foram perdidos. Quanto mais informações forem deixadas intactas, mais fácil será entender o que aconteceu e garantir que não aconteça novamente.
Sobre a Sophos A Sophos tem a confiança de mais de 100 milhões de usuários em 150 países. Oferecemos a melhor proteção contra ameaças complexas de TI e perda de dados. Nossas soluções de segurança abrangentes são fáceis de implantar, usar e gerenciar. Eles oferecem o menor custo total de propriedade do setor. A Sophos oferece soluções de criptografia premiadas, soluções de segurança para endpoints, redes, dispositivos móveis, e-mail e web. Também há suporte da SophosLabs, nossa rede global de centros de análise proprietários. A sede da Sophos fica em Boston, EUA e Oxford, Reino Unido.