A Sophos divulgou descobertas sobre um ataque no qual invasores violaram e passaram cinco meses operando do servidor de um governo regional dos EUA, explorando uma mistura de ferramentas de hackers e administração de TI para navegar e executar o ataque. Além disso, os cibercriminosos instalaram um criptominerador antes de exfiltrar dados e implantar o ransomware Lockbit.
As descobertas foram detalhadas em um novo artigo da companhia, intitulado “Attackers Linger on Government Agency Computers Before Deploying Lockbit Ransomware”, e mostram que diversos invasores infiltraram o servidor vulnerável. O ataque foi contido e investigado pela equipe de resposta a incidentes da Sophos.
“Esse foi um ataque complicado. Trabalhando em conjunto com o órgão alvo, os pesquisadores da Sophos conseguiram compreender o cenário completo – que inicialmente parecia ser um caso de cibercriminosos novatos que invadiram uma rede e usaram o servidor comprometido para o Google, por meio de uma combinação de versões piratas e gratuitas de hackers e ferramentas legítimas de administração para usar no ataque. Depois, eles pareceriam inseguros sobre o que fazer a seguir”, comenta Andrew Brandt, principal pesquisador de segurança da Sophos.
“Cerca de quatro meses após a violação inicial, a natureza da invasão mudou, em alguns momentos tão drasticamente que sugere que cibercriminosos com habilidades muito diferentes entraram na briga. Esses invasores tentaram desinstalar o software de segurança e, eventualmente, roubaram dados e arquivos criptografados em diversas máquinas ao implantar o ransomware Lockbit”, completa Brandt.
A sequência do ataque
A equipe da Sophos descobriu que o ponto inicial de acesso para o ataque foi uma abertura de Remote Desktop Protocol (RDP) em um firewall configurado para fornecer acesso público a um servidor. Os invasores violaram a rede em setembro de 2021. Eles usaram um navegador para pesquisar online as ferramentas a serem usadas para hackear e tentaram instalá-las. Em alguns momentos, a busca por ferramentas levou os invasores a sites de download obscuros que entregavam adware ao servidor invadido, em vez das ferramentas que procuravam.
A pesquisa também mostra que os comportamentos dos cibercriminosos mudaram significativamente em meados de janeiro, com sinais de atividade mais focada e qualificada. Esses invasores tentaram remover o criptominerador malicioso e desinstalar o software de segurança, aproveitando o fato do alvo ter deixado inadvertidamente um recurso de proteção desativado após concluir a manutenção. Assim, eles coletaram e exfiltraram dados, além de implantar o ransomware Lockbit. O ataque de ransomware obteve sucesso limitado e os invasores não conseguiram criptografar dados de algumas máquinas.
Como se manter protegido
As ferramentas que os invasores tentaram instalar para fins maliciosos incluíram Advanced Port Scanner, FileZilla, LaZagne, mimikatz, NLBrute, Process Hacker, PuTTY, Remote Desktop Passview, RDP Brute Forcer, SniffPass e WinSCP. Além disso, os atacantes introduziram dispositivos comerciais de acesso remoto, incluindo ScreenConnect e AnyDesk.
“Uma abordagem de defesa em profundidade robusta, proativa e que atue 24 horas por dia, sete dias por semana, ajudará a impedir que esse ataque seja instalado e desenvolvido. O primeiro passo é tentar evitar que invasores obtenham acesso a uma rede, por exemplo, implementando a autenticação multifator e definindo regras de firewall para bloquear o acesso remoto às portas RDP na ausência de uma conexão VPN”, alerta Brandt.
