ransomware.jpg

Batalha em rede mostra ataque do Conti passo a passo

Paulo Brito
06/03/2022

Raramente os fornecedores de soluções, de serviços ou vítimas de ataques cibernéticos contam detalhes sobre os incidentes desse tipo. Na última quinta-feira, no entanto, foi publicado um minucioso relato de uma batalha que durou vários dias, ocorrida na rede de uma empresa de finanças do Oriente Médio, entre membros do grupo que opera o ransomware Conti e especialistas chamados para atender a emergência. De um lado, os operadores do Conti tentando ampliar sua presença na rede e nas máquinas; do outro, os especialistas buscando bloquear os avanços laterais dos cibercriminosos – que não conseguiram sequestrar toda a rede, mas destruíram os dados de um número não revelado de máquinas ao finalmente desistirem do ataque.

O relato está documentado nos logs exibidos nas 19 telas que acompanham este texto, publicadas na conta de Twitter do SophosLabs. A rede havia sido invadida em Dezembro de 2021 e o fornecedor foi chamado em Janeiro para resolver o problema: haviam sido encontradas backdoors nos sistemas e havia indícios claros de movimento lateral – ou seja, da máquina inicial (imagem01), os invasores estavam conseguindo passar para outras máquinas e dominá-las.

Veja isso
LockBit e Conti: os ransomware mais ativos no setor industrial
Hacker vaza código-fonte do ransomware Conti

O ponto de acesso inicial foi um servidor executando o Windows Server 2008 R2 Service Pack 1. Essa máquina foi a origem de várias tentativas frustradas de login em vários outros servidores. Apesar disso, 15 minutos depois os invasores conseguiram fazer login em uma segunda máquina e quatro minutos mais tarde num terceiro servidor.

Ao obterem o controle do terceiro servidor (imagem02) os invasores conseguiram privilégios de administrador. Eles abusaram de um utilitário de gerenciamento remoto chamado RemoteExec (chamado CI.exe) e, 18 minutos depois do ataque, copiaram esse utilitário para outras seis máquinas.

No minuto seguinte, esses operadores do Conti copiaram lotes de scripts para três dos seis servidores comprometidos, executando a seguir esses scripts para a execução de várias tarefas em alta velocidade. Eles também instalaram um serviço de backdoor em uma das outras máquinas comprometidas (imagem03).

Aos 26 minutos de ataque, os invasores baixaram e instalaram um segundo utilitário: um aplicativo comercial de acesso remoto chamado ScreenConnect, configurando acesso temporário para um endereço IP externo (imagem04).

Durante os 60 minutos seguintes, conta a equipe do SophosLabs, os invasores passaram de um servidor comprometido para outro e mais outro servidor comprometido, baixando e executando um conjunto de scripts em lote (imagem05). Algumas das máquinas baixaram um payload de um endereço IP pertencente ao provedor de hospedagem Green Floid, conhecido por abrigar endereços russos, diz o relato.

Nada mais aconteceu durante três dias: os invasores não tentaram se reconectar à rede. Porém, quase 72 horas após a invasão inicial eles reiniciaram os trabalhos (imagem06) e os servidores comprometidos começaram a emitir alertas de detecção de malware. Embora a proteção de endpoint tenha funcionado, os operadores do Conti tentaram fazer uso malicioso do PowerShell, instalar beacons do Cobalt Strike e executáveis de malware em compartilhamentos de rede (imagem07).

Durante um dia inteiro ele tentaram incessantemente implantar malware em uma ampla variedade de máquinas e não conseguiram. Foram mais de mais de 15 horas baixando e tentando instalar executáveis maliciosos em dispositivos ou carregá-los na memória para operação fileless (imagem08).

Depois disso, houve um intervalo de três horas, durante as quais se supõe que os invasores estiveram descansando. Terminado esse intervalo, o ataque foi reiniciado. Embora as máquinas já estivessem protegidas por detecção comportamental e de cargas na memória (fileless), as tentativas continuavam, a maioria delas para instalação de beacons do Cobalt Strike (imagem09).

Finalmente, eles pareceram ter perdido a paciência: usaram o PowerShell para tentar desabilitar o Windows Defender e aproveitaram as ferramentas de administrador que usaram anteriormente no ataque para agrupar documentos internos e enviá-los para o Mega, um provedor de armazenamento em nuvem (Imagem10).

Foram quase 24 horas para eles conseguirem baixar instaladores para o Chrome e WinRAR (Imagem11), compactar os arquivos confidenciais em arquivos zip e depois fazer upload deles para o Mega (Imagem6a). No final, fizeram uma limpeza das pistas deixadas, excluindo logs e registros do host.

Nesse ponto, os atacantes fizeram uma nova pausa: foram mais três dias até que retornassem à ação. Nessa etapa os especialistas do SophosLabs detectaram em um servidor comprometido o download de vários arquivos de texto, na preparação para a fase final do ataque, a implantação do ransomware (Imagem12). Também nessa etapa foram detectadas e bloqueadas várias outras tentativas de implantação de beacons do Cobalt Strike, Metasploit Meterpreters e malware BazarBackdoor em vários sistemas que eles controlavam (Imagem13).

Finalmente, por volta de 1h34 no fuso horário da empresa atacada no Oriente Médio, os invasores começaram a tentar implantar executáveis de ransomware. Durante as oito horas seguintes eles tentaram mas não foram ben sucedidos nas tentativas de criptografar dezenas de servidores e estações de trabalho. Nesse período, instalações de Emotet e de BazarBackdoor também foram bloqueadas (Imagem03a e Imagem14).

Os logs mostraram que enquanto tentavam implantar o ransomware, os invasores usaram algumas de suas outras ferramentas para fazer login nas máquinas em que isso era possível e verificar o que estava acontecendo. Os especialistas acham que “eles provavelmente não ficaram felizes com o que encontraram” (Imagem02a e Imagem15).

No dia seguinte, tentaram utilizar várias outras ferramentas na tentiva de desativar a proteção de endpoint: usaram PsKill, PsExec e GMER. Tentaram também usar a versão para Windows de uma ferramenta chamada FixGo e tentaram o RemCom, o ‘psexec de código aberto’ (Imagem16).

Essas foram as últimas tentativas de ataque: após três dias, os atores da ameaça decidiram desistir de criptografar as máquinas, mas decidiram também deixar terra arrasada na sua fuga – eles simplesmente arrasaram todas as máquinas que estavam ao seu alcance, apagando tudo o que havia em disco. A suposição dos pesquisadores da Sophos é de que os invasores tenham pensado em conseguir dinheiro apenas extorquindo o alvo com a ameaça de vazamento dos dados roubados. Mas pode ser – supõem os pesquisadors – que a criptografia fosse apenas um disfarce, porque talvez os invasores tenham conseguido o que procuravam no conteúdo dos arquivos exfiltrados.

Imagens dos logs

Clique nas imagens para ampliá-las

Com agências de notícias internacionais

Compartilhar: