O ataque do REvil parece ser o maior incidente de ransomware em grande escala até hoje. Fez mais de 1,5 mil vítimas, clientes da Kaseya, os servidores Kaseya VSA da empresa foram atacados em 02 de julho por uma bem orquestrada campanha, usando uma vulnerabilidade do software, em um ataque de dia zero.
O resgate? Os invasores oferecem a ferramenta de descriptografia universal para todas as vítimas por uma quantia de $ 50 milhões (originalmente $ 70 milhões).
Francisco Camargo, fundador e CEO da CLM, distribuidora da solução XDR da SentinelOne, explica que o exploit, isto é um programa feito para explorar uma vulnerabilidade, provavelmente Zero Day, foi usado para entregar o ransomware Sodinokibi da REvil a milhares de endpoints em várias empresas ao mesmo tempo.
“Este tipo de ataque prova mais uma vez a necessidade de uma solução XDR baseada em inteligencia artificial, a única capaz de defender de ataques Dia Zero, impedindo o uso impróprio de executáveis confiáveis do sistema operacional (LOLBINs), neste caso, usaram as próprias ferramentas de defesa do Windows, para reconstituir o malware, transforma-lo em uma aplicativo legitimo do Windows e o executarem.”, assegura Camargo.
Diante da magnitude desse ataque, a SentinelOne, parceira da CLM, que usa Machine Learning e Inteligencia Artificial para detectar comportamentos maliciosos, na rede e nos endpoints, para todos os vetores de ataque, imediatamente mapeou os processos do ransomware REvil (que estão descritos abaixo). Segundo a empresa, essa investida é mais uma escalada na sofisticação do crime cibernético, não apenas tecnicamente, mas também na magnitude e orquestração do ataque.
A empresa, que unifica prevenção, detecção e resposta em uma única plataforma, aconselha os especialistas em segurança cibernética a sempre agir supondo que suas redes já hospedam agentes mal-intencionados. “Os lucros exorbitantes realizados pelos criminosos cibernéticos só irão aumentar a sofisticação dos ataques que continuaremos a ver, os meios e motivações já estão lá. O ransomware é uma realidade que toda organização deve enfrentar ao operar na era digital. A segurança cibernética hoje se tornou uma parte crítica das operações corporativas: a capacidade de agentes maliciosos de interromper e lucrar atingiu novos níveis de relevância como uma possível ameaça existencial para as empresas”, alerta a SentinelOne.
Camargo vai além e diz que o REvil evidencia porquê os produtos de segurança precisam se valer do poder dos dados, especificamente comportamentais, e da inteligência artificial, uma vez que malwares e ransomwares estão cada vez mais perspicazes e inovadores em suas técnicas para comprometer dispositivos.
A abordagem do SentinelOne é baseada em dados e em IA criando uma postura autônoma em relação à segurança cibernética. Já não é suficiente usar soluções legadas baseadas em assinaturas ou movidas por humanos para proteger as superfícies de ataque a uma organização, já que cada segundo conta na defesa de ataques avançados como este.
Kaseya reconhece a gravidade do ataque
A Kaseya ressaltou a gravidade da situação, instruindo os clientes a encerrar os servidores VSA até novo aviso.
Desde então, a Kaseya envolveu a comunidade de segurança e fez a triagem da causa raiz desse incidente. Esta postagem busca desvendar a cadeia de infecção, destacar indicadores relevantes e esclarecer proteções para nossos clientes.
Veja o que aconteceu com a Kaseya
A SentinelOne também explica detalhadamente como aconteceu esse ataque e como se prevenir.
A campanha de ransomware REvil, em grande escala, foi direcionada aos clientes do software de serviços gerenciados da Kaseya. O alvo foram os servidores Kaseya VSA, comumente usados por provedores de serviços de segurança gerenciados e empresas de gerenciamento de TI. O ataque explorou uma variedade de componentes autênticos, como certutil.exe, Microsoft Defender e certificados digitais, roubados como parte de sua cadeia de execução.
As descobertas, até o momento, mostram que falhas lógicas em um dos componentes do VSA (dl.asp) podem ter levado a um desvio de autenticação. Os invasores puderam então usar KUpload.dll para descartar vários arquivos, incluindo ‘agent.crt’, um certificado falso que contém o dropper de malware. Outra parte descartada, Screenshot.jpg, parece ser um arquivo JavaScript, que foi parcialmente recuperado. A SentinelOne informa que detalhes específicos sobre a natureza exata da exploração usada ainda estão sendo descobertos enquanto a análise está em andamento.
Suspeita-se que cadeia de ataques termina com uma injeção de SQL em userFilterTableRpt.asp para enfileirar uma série de procedimentos VSA que executariam o malware e eliminariam esses procedimentos dos logs.
Esta atividade foi vista se originando de uma instância AWS EC2 sequestrada 18.223.199 [.] 234. Atividade adicional foi observada originando-se de 161.35.239 [.] 148 (DigitalOcean), 162.253.124 [.] 16 (Sapioterra) e 35.226.94 [.] 113 (Google Cloud).
O procedimento malicioso foi identificado como ‘Kaseya VSA Agent Hot-fix’. Esta é uma série de comandos que verificam o acesso à internet e usam o PowerShell para desabilitar uma sequência de medidas de segurança nativas do sistema operacional, incluindo monitoramento em tempo real, prevenção de intrusão, proteção de rede e envio automático de amostra. O mecanismo então invoca o aplicativo certutil.exe nativo do sistema operacional, comumente usado para validar certificados, e o usa para decodificar o conteúdo de ‘agent.crt’ em um executável, agent.exe.
O binário do agent.exe foi compilado em 1º de julho de 2021 e atua como um dropper para dois recursos executáveis incorporados, ‘MODLIS’ e ‘SOFTIS’. “Recurso 101, SOFTIS é um executável legítimo do Microsoft Defender desatualizado que está sendo usado para transferir a carga maliciosa. É importante notar que este mecanismo de entrega de uma díade de carregamento lateral (uma cadeia de execução de duas partes) foi usado para entregar o REvil já em abril de 2021”, informa a SentinelOne.
A carga útil (o malware) em si está contida no recurso 102, sob o nome de recurso ‘MODLIS’.
Para que a carga maliciosa seja carregada pelo Microsoft Defender, a DLL é descartada em % WinDir% \ MpSvc.dll e exporta as funções ServiceCrtMain, ServiceMain e SvchostPushServiceGlobals. O arquivo é assinado com um certificado digital roubado de uma empresa de transporte canadense. É um dos vários certificados roubados recentemente empregados pela REvil. O ransomware emprega OpenSSL estaticamente vinculado para conduzir suas operações criptográficas. ServiceCRTMain () cria um thread que desofuscará a carga útil principal.
Embora os IOCs diretamente relevantes ao incidente do Kaseya sejam um subconjunto específico, coletamos amostras para um cluster de cadeias de execução semelhantes, incluindo a díade de sideload do Microsoft Defender e certificados digitais roubados ainda válidos. Fornecemos hashes e assinaturas YARA no final desta postagem para ajudar a identificar arquivos adicionais assinados com esses certificados roubados.
