pixabay

O ataque à Kaseya, visto pela SentinelOne

Ataque fez mais de 1,5 mil vítimas, clientes da Kaseya, desenvolvedora de um software para gerenciamento de redes, sistemas e infraestrutura de TI
Da Redação
10/07/2021
Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest

O ataque do REvil parece ser o maior incidente de ransomware em grande escala até hoje. Fez mais de 1,5 mil vítimas, clientes da Kaseya, desenvolvedora de um software para gerenciamento de redes, sistemas e infraestrutura de TI. Sediada em Miami, Flórida, com filiais nos Estados Unidos, Europa e Ásia-Pacífico, os servidores Kaseya VSA da empresa foram atacados em 02 de julho por uma bem orquestrada campanha, usando uma vulnerabilidade do software, em um ataque de dia zero.

Francisco Camargo, fundador e CEO da CLM, distribuidora da solução XDR da SentinelOne (empresa cotada na bolsa de Nova York com valor de 10 bilhões de dólares), explica que o exploit, isto é um programa feito para explorar uma vulnerabilidade, provavelmente Zero Day, foi usado para entregar o ransomware Sodinokibi da REvil a milhares de endpoints em várias empresas ao mesmo tempo.

Veja isso
Vídeo da Huntress mostra como foi o ataque à Kaseya
CompTIA oferece ajuda a vítimas do ataque à Kaseya

“Este tipo de ataque prova mais uma vez a necessidade de uma solução XDR baseada em inteligencia artificial, a única capaz de defender de ataques Dia Zero, impedindo o uso impróprio de executáveis confiáveis do sistema operacional (LOLBINs), neste caso, usaram as próprias ferramentas de defesa do Windows, para reconstituir o malware, transforma-lo em uma aplicativo legitimo do Windows e o executarem”, assegura Camargo.

A SentinelOne imediatamente mapeou os processos do ransomware REvil (que estão descritos abaixo). Segundo a empresa, essa investida é mais uma escalada na sofisticação do crime cibernético, não apenas tecnicamente, mas também na magnitude e orquestração do ataque.

A campanha de ransomware REvil, em grande escala, foi direcionada aos clientes do software de serviços gerenciados da Kaseya. O alvo foram os servidores Kaseya VSA, comumente usados por provedores de serviços de segurança gerenciados e empresas de gerenciamento de TI. O ataque explorou uma variedade de componentes autênticos, como certutil.exe, Microsoft Defender e certificados digitais, roubados como parte de sua cadeia de execução.

As descobertas, até o momento, mostram que falhas lógicas em um dos componentes do VSA (dl.asp) podem ter levado a um desvio de autenticação. Os invasores puderam então usar KUpload.dll para descartar vários arquivos, incluindo ‘agent.crt’, um certificado falso que contém o dropper de malware. Outra parte descartada, Screenshot.jpg, parece ser um arquivo JavaScript, que foi parcialmente recuperado. A SentinelOne informa que detalhes específicos sobre a natureza exata da exploração usada ainda estão sendo descobertos enquanto a análise está em andamento.

Suspeita-se que cadeia de ataques termina com uma injeção de SQL em userFilterTableRpt.asp para enfileirar uma série de procedimentos VSA que executariam o malware e eliminariam esses procedimentos dos logs.

Esta atividade foi vista se originando de uma instância AWS EC2 sequestrada 18.223.199 [.] 234. Atividade adicional foi observada originando-se de 161.35.239 [.] 148 (DigitalOcean), 162.253.124 [.] 16 (Sapioterra) e 35.226.94 [.] 113 (Google Cloud).

O procedimento malicioso foi identificado como ‘Kaseya VSA Agent Hot-fix’. Esta é uma série de comandos que verificam o acesso à internet e usam o PowerShell para desabilitar uma sequência de medidas de segurança nativas do sistema operacional, incluindo monitoramento em tempo real, prevenção de intrusão, proteção de rede e envio automático de amostra. O mecanismo então invoca o aplicativo certutil.exe nativo do sistema operacional, comumente usado para validar certificados, e o usa para decodificar o conteúdo de ‘agent.crt’ em um executável, agent.exe.

O binário do agent.exe foi compilado em 1º de julho de 2021 e atua como um dropper para dois recursos executáveis incorporados, ‘MODLIS’ e ‘SOFTIS’. “Recurso 101, SOFTIS é um executável legítimo do Microsoft Defender desatualizado que está sendo usado para transferir a carga maliciosa. É importante notar que este mecanismo de entrega de uma díade de carregamento lateral (uma cadeia de execução de duas partes) foi usado para entregar o REvil já em abril de 2021”, informa a SentinelOne.

A carga útil (o malware) em si está contida no recurso 102, sob o nome de recurso ‘MODLIS’.

Para que a carga maliciosa seja carregada pelo Microsoft Defender, a DLL é descartada em % WinDir% \ MpSvc.dll e exporta as funções ServiceCrtMain, ServiceMain e SvchostPushServiceGlobals. O arquivo é assinado com um certificado digital roubado de uma empresa de transporte canadense. É um dos vários certificados roubados recentemente empregados pela REvil. O ransomware emprega OpenSSL estaticamente vinculado para conduzir suas operações criptográficas. ServiceCRTMain () cria um thread que desofuscará a carga útil principal.

Embora os IOCs diretamente relevantes ao incidente do Kaseya sejam um subconjunto específico, coletamos amostras para um cluster de cadeias de execução semelhantes, incluindo a díade de sideload do Microsoft Defender e certificados digitais roubados ainda válidos. Fornecemos hashes e assinaturas YARA no final desta postagem para ajudar a identificar arquivos adicionais assinados com esses certificados roubados.

Durante esse processo, netsh.exe (como vimos com exemplos anteriores do REvil) também é chamado, fazendo o seguinte ajuste às regras de firewall locais:

Últimos desdobramentos

Na segunda-feira, 5 de julho, a Kaseya anunciou que está desenvolvendo um novo patch para instalações locais a fim de ajudar os clientes a voltarem ao serviço. A Kaseya também publicou uma ferramenta de detecção de comprometimento para que os clientes verifiquem se a instalação local foi realmente comprometida.

Desde este surto, os invasores têm procurado por servidores Kaseya expostos na internet no local, usando plataformas disponíveis publicamente, como Shodan.io. Essa janela de tempo permite que grupos de ataque além do REvil obtenham acesso imediato pela internet a redes sensíveis ao cliente.

A SentinelOne indica ainda as regras de caça YARA para artefatos REvil / Kaseya

https://www.sentinelone.com/blog/revils-grand-coup-abusing-kaseya-managed-services- software-for-massive-profits/

Com informações da assessoria de imprensa

Compartilhar:

Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest