Estudo de caso de ransomware da Resposta a Incidentes da Microsoft

O ransomware operado por humanos continua a manter sua posição como uma das tendências de ataque cibernético mais impactantes em todo o mundo e é uma ameaça significativa que muitas organizações enfrentaram nos últimos anos. Esses ataques aproveitam as configurações incorretas de rede e prosperam na fraca segurança interior de uma organização. Embora esses ataques representem um perigo claro e presente para as organizações e sua infraestrutura e dados de TI, eles são um desastre evitável.

A equipe de Resposta a Incidentes da Microsoft (anteriormente DART/CRSP) responde a compromissos de segurança para ajudar os clientes a se tornarem resilientes à segurança cibernética. A Resposta a Incidentes da Microsoft fornece resposta a incidentes reativos no local e investigações proativas remotas. A Resposta a Incidentes da Microsoft aproveita as parcerias estratégicas da Microsoft com organizações de segurança em todo o mundo e grupos internos de produtos da Microsoft para fornecer a investigação mais completa e completa possível.

Este artigo descreve como a Resposta a Incidentes da Microsoft investigou um incidente recente de ransomware com detalhes sobre as táticas de ataque e os mecanismos de detecção.

Consulte a parte 1 e a parte 2 do guia da Resposta a Incidentes da Microsoft para combater ransomware operado por humanos para obter mais informações.

O ataque

A Resposta a Incidentes da Microsoft aproveita as ferramentas e táticas de resposta a incidentes para identificar comportamentos de atores de ameaças para ransomware operado por humanos. Informações públicas sobre eventos de ransomware se concentram no impacto final, mas raramente realçam os detalhes da operação e como os atores de ameaça foram capazes de escalar seu acesso sem serem detectados para descobrir, monetizar e extorquir.

Aqui estão algumas técnicas comuns que os invasores usam para ataques de ransomware com base em táticas MITRE ATT&CK.

A Resposta a Incidentes da Microsoft usou o Microsoft Defender para Ponto de Extremidade para rastrear o invasor por meio do ambiente, criar uma história ilustrando o incidente e, em seguida, erradicar a ameaça e corrigir. Uma vez implantado, o Defender para Ponto de Extremidade começou a detectar logons bem-sucedidos de um ataque de força bruta. Quando a Resposta a Incidentes da Microsoft descobriu isso, eles revisaram os dados de segurança e encontraram vários dispositivos vulneráveis voltados para a Internet usando o Protocolo de Área de Trabalho Remota (RDP).

Depois que o acesso inicial foi obtido, o ator de ameaça usou a ferramenta de coleta de credenciais Mimikatz para despejar hashes de senha, verificou credenciais armazenadas em texto sem formatação, criou backdoors com manipulação de Chave Autoadesiva e se moveu lateralmente pela rede usando sessões de área de trabalho remota.

Para este estudo de caso, aqui está o caminho realçado que o invasor tomou.

As seções a seguir descrevem detalhes adicionais com base nas táticas MITRE ATT&CK e incluem exemplos de como as atividades do ator de ameaças foram detectadas com o portal do Microsoft Defender.

Acesso inicial

As campanhas de ransomware usam vulnerabilidades conhecidas para sua entrada inicial, normalmente usando emails de phishing ou pontos fracos na defesa de perímetro, como dispositivos com o serviço de Área de Trabalho Remota habilitado exposto na Internet.

Para este incidente, a Resposta a Incidentes da Microsoft conseguiu localizar um dispositivo que tinha a porta TCP 3389 para RDP exposta à Internet. Isso permitiu que os atores de ameaça realizassem um ataque de autenticação de força bruta e ganhassem a base inicial.

O Defender para Ponto de Extremidade usou inteligência contra ameaças para determinar que havia várias entradas de fontes de força bruta conhecidas e as exibia no portal do Microsoft Defender. Veja um exemplo.

Reconhecimento

Depois que o acesso inicial foi bem-sucedido, a enumeração de ambiente e a descoberta do dispositivo começaram. Essas atividades permitiram que os atores de ameaça identificassem informações sobre a rede interna da organização e direcionassem sistemas críticos, como controladores de domínio, servidores de backup, bancos de dados e recursos de nuvem. Após a enumeração e a descoberta do dispositivo, os atores de ameaça realizaram atividades semelhantes para identificar contas de usuário, grupos, permissões e software vulneráveis.

O ator de ameaça aproveitou o Scanner IP Avançado, uma ferramenta de verificação de endereço IP, para enumerar os endereços IP usados no ambiente e executar a verificação de porta subsequente. O ator de ameaça verificou portas abertas para descobrir dispositivos acessíveis do dispositivo inicialmente comprometido.

Essa atividade foi detectada no Defender para Ponto de Extremidade e usada como um indicador de comprometimento (IoC) para uma investigação mais aprofundada. Veja um exemplo.

Roubo de credenciais

Depois que os atores de ameaça obtiveram acesso inicial, eles realizaram a coleta de credenciais usando a ferramenta de recuperação de senha Mimikatz e pesquisando arquivos contendo "senha" em sistemas inicialmente comprometidos. Essas ações permitiram que os atores de ameaça acessassem sistemas adicionais com credenciais legítimas. Em muitas situações, os atores de ameaça usam essas contas para criar contas adicionais para manter a persistência depois que as contas iniciais comprometidas são identificadas e corrigidas.

Aqui está um exemplo do uso detectado do Mimikatz no portal do Microsoft Defender.

Movimento lateral

A movimentação entre pontos de extremidade pode variar entre diferentes organizações, mas os atores de ameaça geralmente usam diferentes variedades de software de gerenciamento remoto que já existem no dispositivo. Utilizando métodos de acesso remoto que o departamento de TI normalmente usa em suas atividades diárias, os atores de ameaça podem voar sob o radar por longos períodos de tempo.

A Resposta a Incidentes da Microsoft usou o Microsoft Defender para Identidade para mapear o caminho que o ator de ameaça tomou entre os dispositivos, exibindo as contas que foram usadas e acessadas. Veja um exemplo.

Evasão de defesa

Para evitar a detecção, os atores de ameaça usaram técnicas de evasão de defesa para evitar a identificação e atingir seus objetivos durante todo o ciclo de ataque. Essas técnicas incluem desabilitar ou adulterar produtos antivírus, desinstalar ou desabilitar produtos ou recursos de segurança, modificar regras de firewall e usar técnicas de ofuscação para ocultar os artefatos de uma intrusão de produtos e serviços de segurança.

O ator de ameaça para esse incidente usou o PowerShell para desabilitar a proteção em tempo real para o Microsoft Defender em dispositivos Windows 11 e Windows 10 e ferramentas de rede locais para abrir a porta TCP 3389 e permitir conexões RDP. Essas alterações diminuíram as chances de detecção em um ambiente porque modificaram os serviços do sistema que detectam e alertam sobre atividades mal-intencionadas.

O Defender para Ponto de Extremidade, no entanto, não pode ser desabilitado do dispositivo local e foi capaz de detectar essa atividade. Veja um exemplo.

Persistência

As técnicas de persistência incluem ações de atores de ameaça para manter o acesso consistente aos sistemas depois que os esforços são feitos pela equipe de segurança para recuperar o controle de sistemas comprometidos.

Os atores de ameaça para esse incidente usaram o hack sticky keys porque ele permite a execução remota de um binário dentro do sistema operacional Windows sem autenticação. Em seguida, eles usaram essa funcionalidade para iniciar um Prompt de Comando e executar novos ataques.

Aqui está um exemplo da detecção do hack de Chaves Autoadesivas no portal do Microsoft Defender.

Impacto

Os atores de ameaça normalmente criptografam arquivos usando aplicativos ou recursos que já existem dentro do ambiente. O uso de PsExec, Política de Grupo e Gerenciamento de Configuração de Ponto de Extremidade da Microsoft são métodos de implantação que permitem que um ator alcance rapidamente pontos de extremidade e sistemas sem interromper operações normais.

O ator de ameaça para esse incidente aproveitou o PsExec para iniciar remotamente um Script interativo do PowerShell de vários compartilhamentos remotos. Esse método de ataque randomiza pontos de distribuição e dificulta a correção durante a fase final do ataque de ransomware.

Execução de ransomware

A execução de ransomware é um dos principais métodos que um ator de ameaça usa para monetizar seu ataque. Independentemente da metodologia de execução, estruturas de ransomware distintas tendem a ter um padrão comportamental comum uma vez implantadas:

• Ofuscar ações do ator de ameaça
• Estabelecer persistência
• Desabilitar a recuperação de erros do Windows e o reparo automático
• Interromper uma lista de serviços
• Encerrar uma lista de processos
• Excluir cópias de sombra e backups
• Criptografar arquivos, potencialmente especificando exclusões personalizadas
• Criar uma nota de ransomware

Aqui está um exemplo de uma nota de ransomware.

Recursos adicionais de ransomware

Informações importantes da Microsoft:

• A crescente ameaça de ransomware, postagem no blog Microsoft On the Issues em 20 de julho de 2021
• Ransomware operado por humanos
• Proteger rapidamente contra ransomware e extorsão
• Relatório de Defesa Digital da Microsoft 2021 (consulte as páginas 10-19)
• Ransomware: um relatório difundido e contínuo de análise de ameaças no portal do Microsoft Defender
• Abordagem de ransomware de Resposta a Incidentes da Microsoft e práticas recomendadas

Microsoft 365:

• Implantar proteção contra ransomware para seu locatário do Microsoft 365
• Maximizar a resiliência do Ransomware com o Azure e o Microsoft 365
• Recuperar-se de um ataque de ransomware
• Proteção contra malware e ransomware
• Proteger seu computador Windows 10 contra ransomware
• Manipulando ransomware no SharePoint Online
• Relatórios de análise de ameaças para ransomware no portal do Microsoft Defender

Microsoft Defender XDR:

• Localizar ransomware com busca avançada

Microsoft Defender para Aplicativos de Nuvem:

• Criar políticas de detecção de anomalias no Defender para Aplicativos de Nuvem

Microsoft Azure:

• Defesas do Azure para ataque de ransomware
• Maximizar a resiliência do Ransomware com o Azure e o Microsoft 365
• Plano de backup e restauração para proteger contra ransomware
• Ajudar a proteger contra ransomware com o Backup do Microsoft Azure (vídeo de 26 minutos)
• Recuperando-se do comprometimento sistêmico de identidade
• Detecção avançada de ataque multiestágio no Microsoft Sentinel
• Detecção de fusão para ransomware no Microsoft Sentinel

Postagens no blog da equipe de segurança da Microsoft:

• 3 etapas para impedir e recuperar do ransomware (setembro de 2021)

• Um guia para combater ransomware operado por humanos: Parte 1 (setembro de 2021)

  Principais etapas sobre como a Resposta a Incidentes da Microsoft conduz investigações de incidentes de ransomware.

• Um guia para combater ransomware operado por humanos: Parte 2 (setembro de 2021)

  Recomendações e práticas recomendadas.

• Tornando-se resiliente ao entender os riscos de segurança cibernética: Parte 4 – navegando em ameaças atuais (maio de 2021)

  Consulte a seção Ransomware .

• Ataques de ransomware operados por humanos: um desastre evitável (março de 2020)

  Inclui análises de cadeia de ataques de ataques reais.

• Resposta de ransomware : para pagar ou não pagar? (dezembro de 2019)

• Norsk Hydro responde a ataque de ransomware com transparência (dezembro de 2019)