Novas variantes de ransomware

Este grupo tem como alvo diferentes verticais, sendo que o maior número de ataques se tem verificado nas áreas da educação, indústria e retalho. Embora o seu alvo preferencial seja o mercado americano e inglês, existem vítimas em vários países europeus, entre os quais Portugal. Nos casos onde estes ataques foram bem sucedidos, os valores de resgate pedidos chegam a 1,6 milhões de dólares e já existiram vítimas a pagar 470 mil dólares para recuperar os seus dados e não ver a sua informação (e dos seus clientes) exposta.

Modo de operação

Este ransomware utiliza o protocolo RDP para aceder à infraestrutura das suas vítimas. Depois de obter acesso, utilizam ferramentas nativas do Windows para facilitar o acesso a outras máquinas na organização e para roubar credenciais. São utilizadas técnicas de dupla extorsão, ou seja, antes de encriptar qualquer máquina, o ransomware Mespinoza retira a informação que considera de valor para um servidor remoto através de um script de powershell. Desta forma pode ameaçar a vítima com a divulgação desta informação, aumentando assim a probabilidade de esta vir a pagar o valor do resgate. Após comprometer as máquinas, este ransomware instala um backdoor para manter acesso à organização mesmo que a ligação de RDP seja removida.

Outro detalhe importante neste ransomware é a forma como este comunica com o servidor de Command&Control (C&C). É utilizado o protocolo DNS para comunicar com a infraestrutura de C&C em vez do protocolo HTTP. Esta técnica é conhecida como DNS tunneling e é cada vez mais utilizada, já que a grande maioria das organizações não monitorizam o seu tráfego de DNS. Isto diminui consideravelmente a possibilidade de o ransomware ser descoberto antes de este conseguir atingir os seus objetivos.

Como reduzir a probabilidade de um ataque

Ataques de ransomware como o descrito neste artigo têm a particularidade de não necessitar de utilizar qualquer tipo de email de phishing ou engenharia social para ter sucesso. Através da exploração do protocolo RDP este ransomware pode comprometer uma organização sem nunca existir a necessidade de qualquer ação por parte do utilizador final. Este protocolo representa um dos maiores riscos de segurança para qualquer organização. No relatório de 2021 do Cortex Xpanse sobre a superfície de ataque das organizações a nível mundial, podemos ver que a exposição de máquinas ao exterior através de RDP representa 32% dos problemas de segurança encontrados.

Talvez seja interessante as equipas de IT deixarem de associar a sigla RDP a “Remote Desktop Protocol” e passarem a associá-la a “Ransomware Delivery Protocol”!

Eliminar o uso deste protocolo para acesso a uma organização deve ser uma prioridade para qualquer empresa que pretenda reduzir a sua superfície de ataque. Para situações onde não seja possível removê-lo é importante as organizações aumentarem a complexidade das passwords utilizadas e utilizarem tecnologia de NGFW para prevenir exploits a este protocolo. Para organizações de grande dimensão onde existe dificuldade em identificar todos os assets expostos ao exterior e por sua vez identificar este tipo de problemas é possível tirar proveito de uma solução de Attack Surface Management como o Cortex Xpanse para automatizar esse processo.

Por último é cada vez mais crítico para as organizações possuírem soluções que permitam identificar e barrar a propagação lateral deste tipo de ataques assim como controlar o seu canal de DNS de forma a impedir a comunicação e fuga de dados. As soluções da Paloalto Networks Cortex XDR e DNS Security podem ajudar a combater estes desafios.

Conteúdo co-produzido pela MediaNext e pela Palo Alto Networks