No final de janeiro de 2025, um administrador de um provedor de serviços gerenciados (MSP) recebeu um e-mail de phishing bem elaborado contendo o que parecia ser um alerta de autenticação para a ferramenta ScreenConnect Remote Monitoring and Management (RMM). Esse e-mail fez com que os agentes do ransomware Qilin obtivessem acesso às credenciais do administrador e lançassem ataques de ransomware contra os clientes do MSP.
A equipe de Inteligência de Ameaças da Sophos MDR avalia com alta confiança que esse incidente pode ser atribuído a um afiliado de ransomware cuja atividade é rastreada pela Sophos como STAC4365. O ataque usou infraestrutura, padrões de nomes de domínio, técnicas, ferramentas e práticas semelhantes às usadas em outras campanhas de phishing que a inteligência de ameaças da Sophos MDR encontrou desde o final de 2022. Essas tentativas aproveitaram sites de phishing criados com a estrutura de ataque adversary-in-the-middle de código aberto evilginx para coletar credenciais e cookies de sessão e contornar a autenticação multifator (MFA).
Nesse caso, como em outros relacionados a esse grupo de ameaças, os invasores usaram domínios falsos do ScreenConnect para atuar como proxies no processo de login real do ScreenConnect. Depois que o administrador clicava no link de login no e-mail para revisar a autenticação, ele era redirecionado para um site de phishing malicioso, cloud.screenconnect[.]com.ms, que se disfarçava como a página de login legítima do ScreenConnect.
Depois que eles inseriam suas credenciais no site falso do ScreenConnect, os invasores conseguiam interceptar essas entradas. A Sophos acredita que o site falso do ScreenConnect fazia proxy das entradas de volta para o site legítimo do ScreenConnect para verificar as credenciais e capturar a senha de uso único baseada em tempo (TOTP) enviada do ScreenConnect para o administrador por e-mail.
Depois de interceptar as entradas de MFA, o invasor se autenticou com êxito no portal legítimo do ScreenConnect Cloud usando a conta de superadministrador do administrador. Isso concedeu a ele permissão para fazer qualquer coisa dentro dessa instância do ScreenConnect e levou a um ataque com a implantação do Qilin.
Histórico: Qilin
O Qilin é um programa de ransomware como serviço que está em operação desde 2022, operando anteriormente com o nome de “Agenda”. O grupo Qilin recruta afiliados em fóruns de crimes cibernéticos em russo. De acordo com a Microsoft Threat Intelligence, essas afiliadas cresceram este ano e passaram a incluir um agente estatal norte-coreano rotulado pela Microsoft como “Moonstone Sleet”.
O ransomware Qilin usa um site de vazamento de dados hospedado no Tor para pressionar as vítimas que estão sendo extorquidas. Em maio de 2024, essa pressão foi expandida para a Internet aberta quando os agentes de ameaças associados ao Qilin ransomware lançaram um site de vazamento de dados chamado “WikiLeaksV2”. Esse projeto foi hospedado em um endereço IP fornecido por um provedor de serviços de Internet russo que, no passado, esteve ligado a atividades de comando e controle (C2), hospedagem de malware e atividades de phishing. O site permanece ativo e foi vinculado às notas de resgate deixadas nesse incidente.
Recomendações para os defensores
Os MSPs dependem amplamente de software e serviços externos para cumprir suas tarefas operacionais para as organizações clientes. Os operadores de ransomware visam esses serviços pelo mesmo motivo: eles se tornaram um vetor cada vez mais comum para ataques downstream contra clientes de MSPs. Portanto, é importante que os MSPs e as organizações de todos os portes que utilizam esses serviços compreendam os fatores de risco associados a eles e tomem medidas para mitigá-los.
Os invasores com credenciais administrativas e acesso válidos são difíceis de deter, principalmente quando se trata de exfiltração de dados. Mas há medidas que as organizações podem tomar para evitar o comprometimento inicial das principais credenciais e para impedir a execução do ransomware.
Nesse caso, o acesso inicial foi obtido por meio de phishing direcionado e interceptação de um TOTP de MFA. Os atacantes usaram um domínio semelhante e um e-mail bem elaborado para fazer com que o alvo clicasse no link. Os defensores devem incorporar avaliações ao treinamento organizacional sobre phishing para ajudar os usuários a identificar domínios semelhantes e outros domínios suspeitos. Além disso, certifique-se de que sua solução de e-mail sinalize ou bloqueie as mensagens recebidas que não passarem por uma verificação de DMARC (Domain-based Message Authentication, Reporting and Conformance).
O ataque de phishing nesse caso usou um kit de phishing AITM para retransmitir credenciais e um TOTP para obter uma sessão válida. Quando possível, as organizações devem limitar o acesso a aplicativos corporativos e serviços de terceiros a dispositivos gerenciados conhecidos por meio de acesso condicional e migrar para serviços de autenticação resistentes a phishing (como os baseados em FIDO 2).
Nesse ataque, o agente configurou os sistemas para reiniciar em modo de segurança a fim de contornar as proteções de segurança do endpoint. As organizações devem implantar proteção contra reinicializações de inicialização seguras sem proteção de endpoint. Os clientes da Sophos podem fazer isso ativando os aprimoramentos de ataque ativo no Sophos Central por meio de políticas de proteção contra ameaças a endpoints e servidores.
