A Sophos publicou uma pesquisa detalhada de três partes sobre o ransomware Conti, detalhando como o ataque se desenrolou ao longo de cinco dias, explicando seus recursos técnicos e comportamentos, além de apresentar conselhos de defensores para administradores de TI, pesquisadores e profissionais de operações de segurança.
O primeiro material, “O dia a dia de um ataque do ransomware Conti”, apresenta uma linha do tempo de um ataque do ransomware Conti ativo, desde o comprometimento inicial até a recuperação das operações do alvo. O Sophos Rapid Response, equipe de resposta rápida a incidentes da Sophos, neutralizou, conteve e investigou o ataque. O artigo inclui, também, indicadores de comprometimento (IoCs), além de táticas, técnicas e procedimentos (TTPs) para ajudar os respondentes a procurar e se preparar contra futuros ataques do Conti.
“Este foi um ataque muito rápido e potencialmente devastador”, conta Peter Mackenzie, gerente do Sophos Rapid Response. “Descobrimos que os invasores conseguiram prejudicar a rede do alvo e obter acesso às credenciais do administrador do domínio em até 16 minutos após a exploração de um firewall vulnerável. Em poucas horas, os cibercriminosos implantaram a ferramenta beacons Cobalt Strike em servidores que representam a parte principal da estrutura do ataque de ransomware”, completa.
Já o segundo, é um artigo técnico de pesquisadores da SophosLabs, “Conti Ransomware: Evasivo por Natureza”, que mostra como os invasores tentaram obstruir a análise do ransomware implantando beacons Cobalt Strike (aparelhos que emitem um sinal de rádio através da tecnologia bluetooth low energy — BLE —, conhecida também como bluetooth 4.0) legítimos em máquinas comprometidas e, em seguida, carregando o código diretamente na memória durante seus ataques, sem deixar artefatos para os investigadores encontrarem e examinarem.
“Em ataques em que humanos estão no controle, os invasores podem se adaptar e reagir às mudanças de situação em tempo real. Nesse caso, eles obtiveram acesso simultâneo a dois servidores. Então, quando o alvo detectou e desabilitou um deles — e acreditou que havia interrompido o ataque a tempo — os invasores simplesmente mudaram e continuaram o ataque usando o segundo servidor. Ter um “Plano B” é uma abordagem comum para ataques liderados por humanos e um lembrete de que só porque alguma atividade suspeita na rede foi interrompida, isso não significa que o ataque acabou”, explica o gerente do Sophos Rapid Response.
“Depois de extrair os dados, os invasores implantaram beacons Cobalt Strike em quase 300 dispositivos e lançaram o ransomware. O alvo ficou sem escolha a não ser encerrar a infraestrutura crítica e as operações de trabalho, procurando então a Sophos, que conseguiu neutralizar e conter o ataque em 45 minutos. Em um dia, a vítima conseguiu recuperar os computadores afetados e retomar suas operações”, conta Mackenzie.
O terceiro artigo da série, “O que esperar quando você for atingido pelo Conti Ransomware”, fornece orientações essenciais para administradores de TI que possam vir a sofrer um ataque do Conti. O material aborda o que fazer imediatamente e, em seguida, fornece uma lista de verificação de 12 pontos para ajudar esses profissionais a investigar o ataque, orientando tudo o que os cibercriminosos podem fazer enquanto estão na rede e os TTPs primários que eles provavelmente usarão.
“Em empresas que não contam com equipe de segurança de TI, geralmente são os administradores que estão na linha de fogo de um ataque de ransomware”, conta Mackenzie. “São eles que, geralmente, chegam no trabalho pela manhã e encontram tudo bloqueado e uma nota de resgate ameaçadora na tela, às vezes seguida por e-mails e até mesmo telefonemas”, conclui.
Conselhos imediatos para defensores
• Desligue o protocolo de desktop remoto (RDP) voltado para a Internet para impedir o acesso de cibercriminosos às redes;
• Se precisar de acesso ao RDP, coloque-o atrás de uma conexão VPN;
• Use a segurança em camadas para prevenir, proteger e detectar ataques cibernéticos, incluindo recursos de detecção e resposta de endpoint (EDR) e equipes de resposta gerenciadas que vigiam as redes 24 horas por dia, 7 dias por semana;
• Esteja ciente dos cinco primeiros indicadores de que um invasor está presente para impedir ataques de ransomware;
• Tenha um plano de resposta a incidentes eficaz e atualize-o conforme necessário. Se você não se sente confiante de que possui as habilidades ou recursos disponíveis para fazer isso, monitorar ameaças ou responder a incidentes de emergência, considere recorrer a especialistas externos para obter ajuda;
• Saiba mais sobre o serviço Rapid Response da Sophos que contém, neutraliza e investiga ataques 24 horas por dia, 7 dias por semana.
