Caso aconteceu num cliente atendido pelo DART, a Equipe de Detecção e Resposta do Grupo de Soluções de Segurança Cibernética da Microsoft
A rede de um cliente da Microsoft teve de ser desativada porque o malware Emotet, que a contaminou por meio de um e-Mail de phishing enviado a um funcionário, provocou excesso de processamento e superaqueceu os computadores. A revelação foi feita na última quinta-feira por um blog do DART, a Equipe de Detecção e Resposta do Grupo de Soluções de Segurança Cibernética da Microsoft.
O Emotet, que tem permanecido entre os dez malwares mais frequentes na lista mensal da Check Point Research, é um “Trojan avançado, autopropagável e modular”. Ele já foi usado como trojan bancário, mas tem sido usado mais como distribuidor de outros malwares ou campanhas maliciosas e na montagem de botnets. Segundo a Check Point, ele usa vários métodos para manter técnicas de persistência e evasão. Além disso, pode se espalhar por meio de e-mails de phishing contendo anexos ou links maliciosos.
No caso do cliente da Microsoft, ele infectou os sistemas roubando as credenciais da conta de administrador e autenticando-se em novos sistemas. Após essa etapa, fez movimentos laterais infectando outros sistemas na mesma rede. O vírus congelou os serviços principais ao maximizar o uso da CPU em dispositivos Windows.
Segundo a Microsoft, a empresa só ligou para o DART oito dias depois que o funcionário abriu o email de phishing. Nesse momento, todas as operações de TI da empresa haviam parado, incluindo a rede de câmeras de vigilância. Segundo o relatório do DART, “o Emotet se propaga por compartilhamentos de rede e protocolos herdados, e nesse caso encerrou os principais serviços da organização, depois de evitar a detecção de soluções antivírus. Isso foi feito através de atualizações regulares do malware vindas de uma infraestrutura de comando e controle (C2). ”
Os especialistas observaram que os PCs estavam superaquecendo, congelando e reiniciando por causa de telas azuis, enquanto as conexões com a Internet estavam diminuindo devido ao Emotet consumir toda a largura de banda.
Quando a última de suas máquinas superaqueceu, diz o relatório, a empresa considerou o problema fora de controle. A organização tinha um extenso sistema para evitar ataques cibernéticos, mas esse novo malware evitou todos os firewalls e software antivírus. O malware usou os computadores comprometidos para iniciar um ataque de negação de serviço (DDoS) e dominar a rede.
Por causa disso, o departamento financeiro não conseguia fazer nenhuma transação bancária e as organizações parceiras não conseguiram acessar nenhum banco de dados da empresa. Naquele momento, segundo o relatório do DART, não era possível saber se era um ataque cibernético externo ou um vírus interno.
Os especialistas da Microsoft controlaram a infecção do Emotet usando controles de ativos e zonas de buffer que isolavam ativos com privilégios de administrador. A remoção foi concluída após o upload de assinaturas de antivírus e a implantação de licenças de avaliação do Defender Advanced Threat Protection, do Azure Security Scan, dos serviços de Proteção Avançada contra Ameaças do Azure e de outras ferramentas especiais de detecção de malware da Microsoft. Além disso, foi reparado o Microsoft System Center Configuration Manager, permitindo que a empresa ficasse de pé novamente.