Obrigado a Bill Kearney do Sophos Rapid Response por seu trabalho neste artigo.
Se você leu o recente Relatório de Ameaças do Sophos 2021, você saberá que nós deliberadamente incluímos uma seção sobre todo o malware lá fora que não é ransomware.
Seguramente, o ransomware é compreensivelmente uma manchete da mídia hoje em dia, mas a criminalidade cibernética vai muito além dos ataques de ransomware.
Indeed, como já notamos antes, muitos incidentes de ransomware acontecem devido a outros malwares que se infiltraram na sua rede primeiro e trouxeram o ransomware depois.
Na verdade, muitas intrusões de rede não envolvem nenhum malware, porque os criminosos cibernéticos têm muitas outras formas de sangrar dinheiro dos seus usuários, da sua empresa, ou de ambos.
Aqui está um exemplo que a equipe de resposta rápida da Sophos encontrou recentemente – uma intrusão de rede oportunista que era muito menos sofisticada do que um típico ataque de resgate ou roubo de dados, mas perigosa e desconcertante.
Avalo ainda para os funcionários da empresa, esses bandidos não estavam especificamente atrás da empresa como um todo, mas pareciam atacar a rede simplesmente porque representava uma forma conveniente de hacking em muitos indivíduos ao mesmo tempo.
Muito simplesmente colocado, os ladrões estavam atrás do maior número de contas que podiam aceder para comprar o maior número de cartões-presente que podiam o mais rápido possível.
Como você provavelmente sabe, os cartões-presente que você compra online são normalmente entregues por e-mail a um destinatário da sua escolha como um código secreto e um link de registo.
Então, receber um código de cartão presente é um pouco como obter o número, data de validade e código de segurança de um cartão de crédito pré-pago – falando vagamente, quem quer que tenha o código pode gastá-lo.
Embora os cartões-presente devam ser usados apenas pelo destinatário pretendido – não devem ser transferíveis – não há muito para impedir que o destinatário permita que outra pessoa os use se assim o desejar, e isso significa que eles podem ser vendidos na rede de crimes cibernéticos.
E por tudo isso um vale-presente de $200, vendido ilegalmente online por, digamos, metade do seu valor facial, não parece muito…
…vigaristas com acesso ao valor de utilizadores de toda uma empresa – nesta história, a VPN da empresa suporta cerca de 200 pessoas – podem tentar adquirir não apenas um, mas potencialmente centenas de cartões-presente pré-pagos em ordem curta.
Os criminosos neste caso não se importaram se as vítimas deixadas de fora eram os funcionários individuais, a própria empresa, ou ambos.
Rumbled and repelled
A boa notícia aqui é que os bandidos só chegaram a gastar 800 dólares do dinheiro de outras pessoas antes que a equipe de Resposta Rápida fosse capaz de expulsá-los da rede, e até onde sabemos, as compras fraudulentas foram detectadas e revertidas no tempo para que ninguém acabasse fora do bolso.
Como verá, a principal razão pela qual os vigaristas foram agredidos e repelidos cedo foi porque um administrador de sistema da empresa afectada agiu assim que detectaram que algo estava errado.
Se você assistiu ao vídeo Naked Security Live da semana passada, intitulado “Beat the Threat”, você saberá que em nossas dicas no final do vídeo, nós dissemos:
Any tipoff que você pode obter que sugere que um bandido pode estar em sua rede é uma dica que vale a pena olhar. porque você está olhando para algo que você não consegue justificar, mas que você viu antes e que estava OK da última vez – não assuma que está OK desta vez. Isso é um pouco como ouvir seu alarme de fumaça disparar na cozinha e pensar: ‘Sabe de uma coisa, da última vez foi o vapor da chaleira que acionou por engano, então eu vou assumir que é isso que está acontecendo’. Desta vez, pode ser algo no fogão que já pegou fogo.
Por tudo o que estamos orgulhosos de que a equipe Sophos Rapid Response foi capaz de reagir rapidamente e lidar com o ataque, a parte vital foi que a vítima acionou uma resposta adequada rapidamente, em primeiro lugar.
Como aconteceu
Estes bandidos não tiveram tempo para se limparem a si próprios – ou talvez não tivessem intenção de o fazer de qualquer forma – mas, tanto quanto podemos dizer, o ataque desenrolou-se de forma simples e rápida.
Não podemos ter a certeza de como os bandidos entraram para começar, mas o que sabemos é:
- O servidor VPN da vítima não tinha sido remendado há vários meses. Só isto poderia ter sido suficiente para deixar os bandidos invadir – existia um exploit para a versão antiga que poderia, em teoria, ter permitido que os bandidos se infiltrassem na rede.
- O servidor VPN não tinha sido configurado para requerer 2FA. Isto significa que uma senha phishing bem sucedida de um único usuário poderia ter sido suficiente para dar-lhes a sua cabeça de praia. (Apesar da vulnerabilidade não corrigida, suspeitamos que foi assim que os atacantes quebraram desta vez.)
- Uma vez “dentro” da VPN, os bandidos foram capazes de usar o RDP internamente para saltar de computador para computador. Isto significava que eles podiam abrir navegadores web nos computadores dos usuários e ver de quais contas online eles não tinham feito logout, incluindo suas contas de e-mail pessoais (por exemplo, Gmail e Outlook.com). Certifique-se de proteger o RDP tão firmemente de dentro da sua rede quanto de fora.
- Os vigaristas usaram contas de e-mail individuais para fazer um conjunto de redefinições de senha. Em computadores onde os vigaristas podiam acessar contas de e-mail devido às credenciais em cache, mas não podiam entrar em outras contas interessantes porque o usuário estava logado fora delas, eles fizeram redefinições de senha através da conta de e-mail. As contas que os vigaristas procuravam incluíam Best Buy, Facebook, Google Pay, PayPal, Venmo e Walmart.
Felizmente, parece que apenas alguns dos usuários atacados desta forma tinham guardado os detalhes do seu cartão de crédito para reutilização automática ao fazer compras, e é provavelmente por isso que os vigaristas só conseguiram algumas centenas de dólares de compras com cartão presente antes de serem descobertos.
Aparentemente, inúmeros usuários que precisavam redefinir suas senhas alteradas para voltar às suas contas notaram que havia cartões-presente em fila para compra em seus carrinhos de compras online, mas que os vigaristas não tinham conseguido finalizar essas compras.
(Não podemos dizer se os vigaristas deixaram as compras mal sucedidas para trás porque foram apanhados antes de poderem limpar, porque esperavam que fossem ignorados e comprados por engano pelo titular legítimo da conta mais tarde, ou porque estavam concentrados na velocidade e não se importavam com o que acontecia depois.)
Mas há mais
Como com muitos ataques, este não teve apenas um único propósito, embora a obtenção de “dinheiro para venda” parece ter sido o principal motivador aqui.
Os criminosos também baixaram e instalaram uma popular ferramenta gratuita de busca de arquivos para ajudá-los a procurar por arquivos interessantes através da rede.
Esta ferramenta deixou para trás um arquivo de log que revela que os criminosos estavam ativamente caçando por dados pessoais e confidenciais relacionados tanto à empresa como ao seu pessoal.
Não sabemos o quanto os criminosos foram capazes de adquirir dos arquivos pelos quais estavam caçando, se é que podiam, mas sabemos no que estavam interessados, que incluía:
- Extratos bancários relacionados a indivíduos e ao negócio.
- Acordos com comerciantes para aceitar pagamentos com cartão de crédito.
- Aplicações de cartão de crédito.
- Pormenores de registo para condutores de empresas.
Até onde podemos dizer, a busca do arquivo parece ter sido um interesse secundário para estes criminosos, que foram apenas determinados e persistentes em suas tentativas de fazer compras fraudulentas contra o maior número de usuários da rede que puderam.
Não obstante, interesse secundário ou não, os vigaristas não estavam apenas atrás de cartões presente.
Após tudo, dados pessoais e corporativos que supostamente são privados também têm valor sobre o crime cibernético no subsolo – não apenas para revenda a outros criminosos, mas como um veículo para ajudar na continuação da atividade criminosa.
Reacção lúcida compensa
Felizmente, estes bandidos parecem ter ficado atolados no início do seu ataque.
Presumivelmente frustrados porque não conseguiam entrar em tantas contas de e-mail de utilizadores como queriam, eles redefiniram senhas em várias contas relacionadas com a empresa para estender o seu acesso.
Isso teve o efeito colateral de bloquear usuários, incluindo um dos administradores de sistema, de vários sistemas da empresa…
…e o administrador de sistema não só resolveu o problema imediato para corrigir o quê, mas também desencadeou uma resposta para descobrir o porquê.
Essa reação levou muito rapidamente os vigaristas a serem expulsos da rede.
Como dissemos acima, qualquer tipoff é um bom tipoff!
O que fazer?
A velocidade e determinação desses bandidos, especulativamente entrando em conta de email após conta de email, é um excelente lembrete de porque a defesa em profundidade é importante.
Todas essas dicas teriam ajudado aqui:
- Patch early, patch often. A VPN vulnerável mencionada neste artigo provavelmente não foi a forma como os bandidos tiveram acesso neste caso, mas de qualquer forma foi um caminho possível para dentro. Porquê estar atrás dos bandidos quando podia estar à frente em vez disso?
- Use 2FA sempre que puder. Um segundo factor de autenticação tanto para o VPN externo como para os servidores RDP internos pode ter sido suficiente por si só para manter estes vigaristas fora.
- Sair das contas quando não os está a usar. Sim, é um problema voltar a entrar nas contas sempre que precisar de as usar, mas combinado com o 2FA torna muito mais difícil para os vigaristas tirarem partido de si se tiverem acesso ao seu browser.
- Repense quais os websites que permite para manter os dados dos cartões de pagamento online para a próxima vez. Empresas que possuem detalhes de cartão de pagamento apenas para compras específicas, como pagar uma conta de serviços públicos, são um risco muito menor do que os serviços online através dos quais o seu cartão pode ser usado para pagar quase tudo, especialmente para itens que são “entregues” imediatamente via e-mail.
- Não bloqueie malware sozinho com o seu produto de proteção contra ameaças. Bloqueie também aplicativos potencialmente indesejados (PUAs) e ferramentas de hacking. Os criminosos cibernéticos estão se voltando cada vez mais para softwares legítimos de segurança cibernética e gerenciamento de rede que você já tem no seu sistema, em vez de usar malware – uma técnica chamada de “viver fora da terra” – na esperança de se parecerem com os próprios sysadmins. Apanhe-os se conseguir.
- Tenha um sítio onde os utilizadores possam reportar problemas de segurança. Se você for bloqueado da sua própria conta inesperadamente, certifique-se de que sua reação não é simplesmente “Eu preciso voltar online”, mas também “Eu preciso encontrar a causa subjacente”. Um endereço de e-mail ou número de telefone da empresa facilmente lembrado para relatórios de segurança cibernética pode ajudá-lo a transformar toda a sua empresa em olhos e ouvidos para a equipe de segurança de TI.
- Mantenha seus usuários alertas sobre as últimas tendências em phishing. Considere um produto de treinamento anti-phish, como o Sophos Phish Threat. Ainda não podemos ter certeza, mas parece que uma única senha phishing pode ter sido como os bandidos começaram os ataques.
- Não se deixe desviar por ameaças específicas, como o resgate. Ferramentas específicas de resgate são úteis como parte de uma abordagem de defesa em profundidade, mas não teriam parado este ataque por si só. Entretanto, uma abordagem holística que teria bloqueado esses bandidos teria muito provavelmente parado a maioria dos ataques de resgate também.