Num incidente já confirmado pela própria empresa, na madrugada do passado dia 27 de novembro aconteceu um ciberataque possivelmente causado por uma APT (Ameaça Persistente Avançada) com implantação de ransomware que afetou a empresa de segurança Prosegur, em Portugal e Espanha.
À luz destas informações, os especialistas da S21sec, a maior empresa Pure Player de serviços de cibersegurança da Península Ibérica, dão a sua visão, enquanto profundos conhecedores de incidentes de similares características:
- Tipologia do ataque: Com base nas informações publicadas que falam de uma possível infeção pela botnet Emotet/Trickbot, e posterior implantação do ransomware Ryuk, os analistas da S21sec destacam: “Qualquer ciberataque em esteja implicada uma APT (Ameaça Persistente Avançada) com download final de ransomware, tem que ser considerado de risco muito alto, já que realiza uma combinação de duas técnicas que consistem numa intrusão silenciosa durante muito tempo numa organização (APT) juntamente com um ataque tradicional de Ransomware”, sublinha Jorge Hurtado, vice-presidente de Serviços Geridos de S21sec.
- Modo de atuação:
- do Ryuk consiste normalmente numa infeção inicial de entrada através de um email que contém o malware Emotet, implantação do Trickbot e, em alguns casos, o Empire como framework de pós-exploração. Os movimentos laterais acontecem através da captura (“Memory Scraping”) de credenciais em memória e da utilização das mesmas para a execução remota (psexec) assim como da exploração de vulnerabilidades comuns.
- Propagação: Noutros incidentes similares , foram observados movimentos laterais de forma massiva em todo o ambiente visível dos equipamentos afetados, incluindo saltos entre organizações e domínios, pelo que “nestes casos recomenda-se sempre fazer uma avaliação ao nível de comprometimento da organização com os indicadores de ameaça disponíveis, sendo urgente realizá-lo também nas entidades com ligação à empresa atacada”, refere Hurtado.
O tempo de atividade maliciosa observada em incidentes deste tipo pode oscilar entre várias semanas e mais de um ano, tempo que os criminosos aproveitam para plantar novas ameaças e backdoors com a motivação de não perder o controlo em caso de deteção.
Devido à complexidade da ameaça, em caso de deteção de Indicadores específicos de comprometimento do Emotet, Trickbot ou Empire, é recomendável contar com uma equipa profissional de resposta a incidentes, para impedir o lançamento da segunda fase do ataque (Ransomware Ryuk).
Os especialistas da S21sec fazem esta série de recomendações: globais para empresas que possam ser afetadas pelo Emotet/Trickbot e recomendações gerais perante um ataque do Ryuk:
RECOMENDAÇÕES GLOBAIS CONTRA EMOTET/TRICKBOT:
- Comprovar, através de indicadores, que não existem ligações aos painéis de controlo das diferentes ameaças que vão ocorrendo durante o ataque;
- Verificar que não se estão a realizar movimentos laterais com as ferramentas usadas pelo grupo criminoso;
- Analisar os eventos do sistema relacionados com este tipo de ameaças e verificar que não existem movimentos laterais;
- Recomenda-se que desconfie e ignore os emails de remetentes desconhecidos e/ou não verificados, assim como dos seus conteúdos anexos, além de informar a equipa de segurança acerca do email suspeito.
RECOMENDAÇÕES PERANTE UM ATAQUE DO RYUK
- Ativar um Plano de Continuidade do Negócio que contemple um ataque de ransomware, estabelecendo, entre outras coisas, a criação de cópias de segurança para evitar perdas de informação. Devido ao facto de o Ryuk ser uma ameaça implantada depois de a empresa ter sido comprometida, poderia conduzir a uma possível eliminação das cópias de segurança.
- É recomendável manter atualizado tanto o sistema operativo como as aplicações.
- Recomenda-se impedir o download de documentos anexos, software e outros ficheiros de fontes não fiáveis. Em caso de dúvida, verificar sempre a extenção real do ficheiro.
- É importante manter o antivírus e os restantes programas de deteção e/ou prevenção atualizados, já que todos os dias surgem novas amostras de malware que se juntam às bases de dados dos mesmos.