A Sophos publicou recentemente o relatório “Maze Attackers Adopt Ragnar Locker Virtual Machine Technique”, que mostra como invasores tentaram, de três maneiras diferentes, executar o Maze ransomware durante um único ataque, enquanto exigiam um resgate de 15 milhões de dólares. Na terceira tentativa, os operadores do Maze tentaram alavancar máquinas virtuais (VM) para espalhar o ransomware, técnica já utilizada pelo Ragnar Locker, conforme relatado pela Sophos em maio de 2020. Maze é uma das famílias de ransomware mais notórias e está ativa desde 2019, quando evoluiu a partir do ransomware ChaCha, sendo um dos primeiros a combinar criptografia de dados com roubo de informações.
Como acontecem os ataques do Maze
A investigação revelou que os invasores haviam acessado a rede pelo menos seis dias antes de sua primeira tentativa de lançar a carga útil do ransomware. Durante esse tempo, os invasores exploraram a rede, executaram ferramentas legítimas de terceiros, estabeleceram conexões e migraram dados para um serviço de armazenamento em nuvem para preparar para o lançamento do ransomware.
Ao lançar o primeiro ataque, os operadores exigiram um resgate de 15 milhões de dólares do alvo, que optou por não pagar a quantia. Quando os invasores perceberam que esse primeiro ataque havia falhado, eles lançaram uma segunda tentativa ligeiramente diferente. Esse movimento foi interceptado por ferramentas de segurança e pela equipe Sophos Managed Threat Response (MTR), que estava lidando com os esforços de resposta a incidentes. Para a terceira tentativa, os invasores usaram uma versão reconfigurada da técnica de VM do Ragnar Locker, desta vez executando o Windows 7 em vez da VM do Windows XP, e direcionados a apenas um servidor de arquivos. O ataque e a técnica do Ragnar Locker foram imediatamente reconhecidos e bloqueados.
“A cadeia de ataque descoberta pelos respondentes às ameaças da Sophos destaca a agilidade dos adversários humanos e sua capacidade de substituir e reconfigurar rapidamente as ferramentas e retornar ao ringue para outra rodada”, conta Peter Mackenzie, gerente de resposta a incidentes da Sophos. “O uso de uma técnica de máquina virtual Ragnar Locker barulhenta, com sua grande pegada e uso de CPU, pode refletir uma crescente frustração por parte dos invasores depois que as duas primeiras tentativas de criptografar dados falharam”, completa.
Como prevenir ataques cibernéticos
A Sophos recomenda que, para evitar ataques cibernéticos, especialmente os de ransomware, as equipes de segurança de TI reduzam a superfície de ataque por meio de atualizações dos sistemas de segurança em camadas baseados em nuvem, incluindo tecnologia anti-ransomware, educação dos funcionários sobre o que procurar e considerar fazer a configuração de um serviço humano de caça a ameaças para detectar pistas de que um ataque está em andamento.
“Cada organização é um alvo, e qualquer spam ou e-mail de phishing, porta RDP exposta, dispositivo de gateway vulnerável ou credenciais de acesso remoto roubadas fornecem um ponto de entrada suficiente para os cibercriminosos ganharem uma posição”, conclui Mackenzie.
