O CISA (Cybersecurity and Infrastructure Security Agency ) dos EUA emitiu um alerta esta semana com o identificador despretensioso AA20-302A . esse relatório foi um alerta conjunto da CISA, do FBI e do HHS ( Departamento de Saúde e Serviços Humanos dos EUA ) Alertando de um ataque Ransomware direcionado contra alvos no setor de saúde para infectar sistemas utilizando uma ameaça ransomware conhecida como Ryuk e Conti.

Embora o relatório seja destinado para o setor de saúde não devemos descartar e nem menosprezar esse tipo de ataque a outros segmentos de negócios, por essa razão elaboramos um material com “5 sinais de que você está prestes a ser atacado por um ransomware”.

Os invasores normalmente usam ferramentas de administração legítimas para preparar o terreno para ataques de ransomware. Em retrospecto, esses cinco indicadores representam bandeiras vermelhas investigativas para equipe sua equipe de “Threat hunting”

1. Um scanner de rede, especialmente em um servidor.

Os invasores geralmente começam obtendo acesso a uma máquina onde procuram informações: este é um Mac ou Windows, qual é o domínio e o nome da empresa, que tipo de direitos de administrador o computador possui. Em seguida, os invasores vão querer saber o que mais está na rede e o que eles podem acessar. A maneira mais fácil de determinar isso é verificar a rede. Se um scanner de rede, como AngryIP ou Advanced Port Scanner , for detectado, questione a equipe de TI se ninguém usar o scanner, é hora de investigar.

Um scanner de rede encontrado em um repositório de ferramentas usadas pelo ransomware Netwalker

2. Ferramentas para desativar o software antivírus.

Depois que os invasores têm direitos de administrador, eles geralmente tentam desabilitar o software de segurança usando aplicativos criados para ajudar na remoção forçada de software, como Process Hacker, IOBit Uninstaller, GMER e PC Hunter. Esses tipos de ferramentas comerciais são legítimos, mas nas mãos erradas podem gerar grandes danos, as equipes de segurança e os administradores precisam questionar por que eles apareceram repentinamente.

3. A presença de MimiKatz

Qualquer detecção de MimiKatz em qualquer lugar deve ser investigada. Se ninguém na equipe de administração pode atestar o uso do MimiKatz, isso é um sinal de alerta porque é uma das ferramentas de hacking mais comumente usadas para roubo de credencial. Os invasores também usam o Microsoft Process Explorer , incluído no Windows Sysinternals, uma ferramenta legítima que pode despejar o LSASS.exe da memória, criando um arquivo .dmp. Eles podem então levar isso para seu próprio ambiente e usar o MimiKatz para extrair com segurança nomes de usuário e senhas em sua própria máquina de teste.

Mimikatz e scripts PowerShell relacionados usados para iniciá-lo, encontrados em um repositório de ferramentas usadas pelos cibercriminosos ransomware da Netwalker

4. Padrões de comportamento suspeito

Qualquer detecção ocorrendo no mesmo horário todos os dias, ou em um padrão repetido, geralmente é uma indicação de que algo mais está acontecendo, mesmo que arquivos maliciosos tenham sido detectados e removidos. As equipes de segurança devem perguntar “por que está voltando?” Os responsáveis pela resposta a incidentes sabem que normalmente significa que algo malicioso está ocorrendo e que não foi (ainda) identificado.

 5. Ataques de teste

Ocasionalmente, os invasores implantam pequenos ataques de teste em alguns computadores para ver se o método de implantação e o ransomware são executados com êxito ou se o software de segurança os impede. Se as ferramentas de segurança interrompem o ataque, elas mudam de tática e tentam novamente. Isso mostrará sua mão e os invasores saberão que seu tempo agora é limitado. Muitas vezes, é uma questão de horas antes que um ataque muito maior seja lançado.

Se a sua organização está sob ataque e precisa de assistência de resposta imediata a incidentes ou um serviço Pró ativo de detecção e resposta de incidentes, entre em contato com a nossa equipe.

Mário Souza – CNSS –  é Sales Engineer na Add Value, especialista em Cibersecurança.