Partilhar via


Estudo de caso do ransomware Microsoft Incident Response

O ransomware operado por humanos continua a manter sua posição como uma das tendências de ciberataque mais impactantes em todo o mundo e é uma ameaça significativa que muitas organizações enfrentaram nos últimos anos. Esses ataques se aproveitam de configurações incorretas de rede e prosperam com a fraca segurança interna de uma organização. Embora esses ataques representem um perigo claro e presente para as organizações e sua infraestrutura de TI e dados, eles são um desastre evitável.

A equipe de Resposta a Incidentes da Microsoft (anteriormente DART/CRSP) responde a comprometimentos de segurança para ajudar os clientes a se tornarem ciberresilientes. A Resposta a Incidentes da Microsoft fornece resposta reativa a incidentes no local e investigações proativas remotas. O Microsoft Incident Response aproveita as parcerias estratégicas da Microsoft com organizações de segurança em todo o mundo e grupos de produtos internos da Microsoft para fornecer a investigação mais completa e completa possível.

Este artigo descreve como a Microsoft Incident Response investigou um incidente recente de ransomware com detalhes sobre as táticas de ataque e mecanismos de deteção.

Consulte a Parte 1 e a Parte 2 do guia do Microsoft Incident Response para combater ransomware operado por humanos para obter mais informações.

O ataque

O Microsoft Incident Response aproveita ferramentas e táticas de resposta a incidentes para identificar comportamentos de agentes de ameaças para ransomware operado por humanos. As informações públicas sobre eventos de ransomware se concentram no impacto final, mas raramente destacam os detalhes da operação e como os agentes de ameaças foram capazes de escalar seu acesso sem serem detetados para descobrir, monetizar e extorquir.

Aqui estão algumas técnicas comuns que os atacantes usam para ataques de ransomware com base nas táticas MITRE ATT&CK.

Técnicas comuns que os atacantes usam para ataques de ransomware.

O Microsoft Incident Response usou o Microsoft Defender for Endpoint para rastrear o invasor pelo ambiente, criar uma história descrevendo o incidente e, em seguida, erradicar a ameaça e corrigi-la. Uma vez implantado, o Defender for Endpoint começou a detetar logons bem-sucedidos de um ataque de força bruta. Ao descobrir isso, a Microsoft Incident Response analisou os dados de segurança e encontrou vários dispositivos vulneráveis voltados para a Internet usando o protocolo RDP (Remote Desktop Protocol).

Depois que o acesso inicial foi obtido, o agente de ameaças usou a ferramenta de coleta de credenciais Mimikatz para despejar hashes de senha, escaneou credenciais armazenadas em texto simples, criou backdoors com manipulação de chave adesiva e se moveu lateralmente pela rede usando sessões de área de trabalho remota.

Para este estudo de caso, aqui está o caminho destacado que o invasor tomou.

O caminho que o atacante de ransomware tomou para este estudo de caso.

As seções a seguir descrevem detalhes adicionais com base nas táticas MITRE ATT&CK e incluem exemplos de como as atividades do agente de ameaças foram detetadas com o portal Microsoft Defender.

Acesso inicial

As campanhas de ransomware usam vulnerabilidades bem conhecidas para a sua entrada inicial, normalmente usando e-mails de phishing ou fraquezas na defesa do perímetro, como dispositivos com o serviço de Área de Trabalho Remota ativado exposto na Internet.

Para este incidente, o Microsoft Incident Response conseguiu localizar um dispositivo que tinha a porta TCP 3389 para RDP exposta à Internet. Isso permitiu que os agentes de ameaças executassem um ataque de autenticação de força bruta e ganhassem a posição inicial.

O Defender for Endpoint usou informações sobre ameaças para determinar que havia várias entradas de fontes conhecidas de força bruta e as exibiu no portal do Microsoft Defender. Eis um exemplo.

Um exemplo de entradas de força bruta conhecidas no portal do Microsoft Defender.

Reconhecimento

Depois que o acesso inicial foi bem-sucedido, a enumeração do ambiente e a descoberta de dispositivos começaram. Essas atividades permitiram que os agentes de ameaças identificassem informações sobre a rede interna da organização e visassem sistemas críticos, como controladores de domínio, servidores de backup, bancos de dados e recursos de nuvem. Após a enumeração e a descoberta de dispositivos, os agentes de ameaças realizaram atividades semelhantes para identificar contas de usuários, grupos, permissões e software vulneráveis.

O agente de ameaças utilizou o Advanced IP Scanner, uma ferramenta de verificação de endereços IP, para enumerar os endereços IP usados no ambiente e executar a verificação de porta subsequente. Ao procurar portas abertas, o agente de ameaças descobriu dispositivos que eram acessíveis a partir do dispositivo inicialmente comprometido.

Essa atividade foi detetada no Defender for Endpoint e usada como um indicador de comprometimento (IoC) para investigação adicional. Eis um exemplo.

Um exemplo de verificação de porta no portal do Microsoft Defender.

Roubo de credenciais

Depois de obter acesso inicial, os agentes de ameaças realizaram a coleta de credenciais usando a ferramenta de recuperação de senha Mimikatz e procurando por arquivos contendo "senha" em sistemas inicialmente comprometidos. Essas ações permitiram que os agentes de ameaças acessassem sistemas adicionais com credenciais legítimas. Em muitas situações, os agentes de ameaças usam essas contas para criar contas adicionais para manter a persistência depois que as contas comprometidas iniciais são identificadas e corrigidas.

Aqui está um exemplo do uso detetado do Mimikatz no portal do Microsoft Defender.

Um exemplo de deteção de Mimikatz no portal Microsoft Defender

Movimento lateral

O movimento entre endpoints pode variar entre diferentes organizações, mas os agentes de ameaças geralmente usam diferentes variedades de software de gerenciamento remoto que já existe no dispositivo. Ao utilizar métodos de acesso remoto que o departamento de TI normalmente usa em suas atividades diárias, os agentes de ameaças podem voar sob o radar por longos períodos de tempo.

Usando o Microsoft Defender for Identity, o Microsoft Incident Response conseguiu mapear o caminho que o agente de ameaças percorreu entre dispositivos, exibindo as contas que foram usadas e acessadas. Eis um exemplo.

O caminho que o agente de ameaça percorreu entre dispositivos no Microsoft Defender for Identity.

Evasão à defesa

Para evitar a deteção, os agentes de ameaças usaram técnicas de evasão de defesa para evitar a identificação e alcançar seus objetivos durante todo o ciclo de ataque. Essas técnicas incluem desabilitar ou adulterar produtos antivírus, desinstalar ou desabilitar produtos ou recursos de segurança, modificar regras de firewall e usar técnicas de ofuscação para ocultar os artefatos de uma intrusão de produtos e serviços de segurança.

O agente de ameaça para este incidente usou o PowerShell para desabilitar a proteção em tempo real para o Microsoft Defender em dispositivos Windows 11 e Windows 10 e ferramentas de rede local para abrir a porta TCP 3389 e permitir conexões RDP. Essas alterações diminuíram as chances de deteção em um ambiente porque modificaram os serviços do sistema que detetam e alertam sobre atividades maliciosas.

O Defender for Endpoint, no entanto, não pode ser desativado do dispositivo local e foi capaz de detetar essa atividade. Eis um exemplo.

Um exemplo de deteção do uso do PowerShell para desabilitar a proteção em tempo real para o Microsoft Defender.

Persistência

As técnicas de persistência incluem ações de agentes de ameaças para manter um acesso consistente aos sistemas após esforços da equipe de segurança para recuperar o controle dos sistemas comprometidos.

Os agentes de ameaça para este incidente usaram o hack Sticky Keys porque permite a execução remota de um binário dentro do sistema operacional Windows sem autenticação. Em seguida, eles usaram esse recurso para iniciar um prompt de comando e executar outros ataques.

Aqui está um exemplo da deteção do hack Sticky Keys no portal Microsoft Defender.

Um exemplo de deteção do hack Sticky Keys no portal Microsoft Defender.

Impacto

Os agentes de ameaças normalmente criptografam arquivos usando aplicativos ou recursos que já existem no ambiente. O uso de PsExec, Diretiva de Grupo e Microsoft Endpoint Configuration Management são métodos de implantação que permitem que um ator alcance rapidamente pontos de extremidade e sistemas sem interromper as operações normais.

O agente de ameaça para esse incidente aproveitou o PsExec para iniciar remotamente um script interativo do PowerShell a partir de vários compartilhamentos remotos. Este método de ataque aleatoriza os pontos de distribuição e torna a remediação mais difícil durante a fase final do ataque de ransomware.

Execução de ransomware

A execução de ransomware é um dos principais métodos que um agente de ameaças utiliza para rentabilizar o seu ataque. Independentemente da metodologia de execução, estruturas de ransomware distintas tendem a ter um padrão comportamental comum uma vez implantadas:

  • Ofuscar as ações do agente de ameaças
  • Estabeleça persistência
  • Desative a recuperação de erros do Windows e o reparo automático
  • Parar uma lista de serviços
  • Encerrar uma lista de processos
  • Excluir cópias de sombra e backups
  • Criptografar arquivos, potencialmente especificando exclusões personalizadas
  • Criar uma nota de ransomware

Aqui está um exemplo de uma nota de ransomware.

Um exemplo de uma nota de ransomware.

Recursos adicionais de ransomware

Principais informações da Microsoft:

Microsoft 365:

Microsoft Defender XDR:

Aplicativos do Microsoft Defender para nuvem:

Microsoft Azure:

Postagens no blog da equipe de Segurança da Microsoft: