A Sophos divulgou as descobertas de um ataque duplo de ransomware em que notas de extorsão deixadas pelo grupo de ransomware Karma foram criptografadas 24 horas depois pelo Conti, outro grupo de ransomware que estava na rede do alvo ao mesmo tempo.
A Sophos detalhou os ataques duplos no artigo “Conti and Karma Actors Attack Healthcare Provider at Same Time Through ProxyShell Exploits”, e explicou como ambos operadores obtiveram acesso à rede por meio de um servidor do Microsoft Exchange desatualizado, mas usaram táticas diferentes para implementar cada ataque.
“Ser atingido por um ataque duplo de ransomware é um cenário desafiador para qualquer organização. Ao longo da linha do tempo, houve um período de cerca de quatro dias em que os invasores Conti e Karma estavam ativos simultaneamente na rede do alvo, movendo-se entre si, baixando e executando scripts, instalando beacons Cobalt Strike, coletando e exfiltrando dados, entre outras ações”, explica Sean Gallagher, pesquisador sênior de ameaças da Sophos.
“Pudemos observar diversos casos recentemente nos quais afiliados de ransomware, incluindo os do próprio Conti, usaram funcionalidades do ProxyShell para penetrar as redes dos alvos. Também vimos exemplos de vários agentes explorando a mesma vulnerabilidade para obter acesso a uma vítima. No entanto, muito poucos desses casos envolveram dois grupos de ransomware atacando simultaneamente um alvo e isso mostra, literalmente, como o cenário de ransomware se tornou lotado e competitivo”, reitera Gallagher.
O ataque duplo
De acordo com a Sophos, o primeiro incidente começou em 10 de agosto de 2021, quando invasores, possivelmente corretores de acesso inicial (Initial Access Brokers), usaram uma aplicação do ProxyShell para obter acesso à rede e estabelecer uma posição no servidor comprometido. A investigação da Sophos mostrou que cerca de quatro meses se passaram antes que o Karma aparecesse, em 30 de novembro de 2021, e exfiltrasse mais de 52 gigabytes de dados para a nuvem.
Já em 3 de dezembro de 2021, ocorreram três ações:
• Os invasores do Karma lançaram uma mensagem de extorsão em 20 computadores, na qual exigiram um resgate e explicaram que não criptografaram os dados porque o alvo era um profissional de saúde;
• O Conti operou silenciosamente em segundo plano, também exfiltrando dados;
• O alvo do ataque passou a integrar a equipe de resposta a incidentes da Sophos para ajudar com o Karma.
Enquanto a Sophos fazia a integração, o Conti implantou seu ransomware em 4 de dezembro de 2021. Posteriormente, a companhia rastreou o início do ataque do Conti por meio de outra funcionalidade consolidada do ProxyShell em 25 de novembro de 2021.
“Independentemente se o corretor de acesso inicial deu acesso a dois grupos de ransomware diferentes, ou se o servidor Exchange vulnerável foi apenas um alvo azarado para múltiplos operadores de ransomware, a possibilidade de um possível ataque duplo é um lembrete importante para corrigir vulnerabilidades da internet na primeira oportunidade”, diz Gallagher.
“A defesa em profundidade é vital para identificar e bloquear invasores em qualquer estágio da cadeia de ataque, enquanto a busca proativa de ameaças liderada por pessoas deve investigar todos os comportamentos potencialmente suspeitos, como logins inesperados de serviços de acesso remoto ou uso de ferramentas fora do padrão normal, pois esses podem ser os primeiros sinais de alerta de um ataque de ransomware”, complementa o executivo.
