O CISA (Cybersecurity and Infrastructure Security Agency ) dos EUA emitiu um alerta esta semana com o identificador despretensioso AA20-302A. Esse relatório foi um alerta conjunto da CISA, FBI e do HHS ( Departamento de Saúde e Serviços Humanos dos EUA ) Alertando de um ataque Ransomware direcionado contra alvos no setor de saúde para infectar sistemas utilizando uma ameaça ransomware conhecida como Ryuk e Conti.
Embora o relatório seja destinado para o setor de saúde não devemos descartar e nem menosprezar esse tipo de ataque a outros segmentos de negócios, pois temos visto todos os dias novos casos de vazamento e sequestro de dados envolvendo ataques de ransomware.
Por essa razão é fundamental que sua equipe de segurança ou SOC esteja 100% alerta de atividades suspeitas na rede e servidores e monitore de perto os logs dos seus sistemas de segurança e Endpoint Detect Response.
Abaixo destacamos “5 sinais de que você está prestes a ser atacado por um ransomware”.
Um scanner de rede, especialmente em um servidor.
Os invasores geralmente começam obtendo acesso a uma máquina onde procuram informações: este é um Mac ou Windows, qual é o domínio e o nome da empresa, que tipo de direitos de administrador o computador possui. Em seguida, os invasores vão querer saber o que mais está na rede e o que eles podem acessar. A maneira mais fácil de determinar isso é verificar a rede. Se um scanner de rede, como AngryIP ou Advanced Port Scanner , for detectado, questione a equipe de TI se ninguém usar o scanner, é hora de investigar.
Ferramentas para desativar o software antivírus.
Depois que os invasores têm direitos de administrador, eles geralmente tentam desabilitar o software de segurança usando aplicativos criados para ajudar na remoção forçada de software, como Process Hacker, IOBit Uninstaller, GMER e PC Hunter. Esses tipos de ferramentas comerciais são legítimos, mas nas mãos erradas podem gerar grandes danos, as equipes de segurança e os administradores precisam questionar por que eles apareceram repentinamente.
A presença de MimiKatz
Qualquer detecção de MimiKatz em qualquer lugar deve ser investigada. Se ninguém na equipe de administração pode atestar o uso do MimiKatz, isso é um sinal de alerta porque é uma das ferramentas de hacking mais comumente usadas para roubo de credencial. Os invasores também usam o Microsoft Process Explorer , incluído no Windows Sysinternals, uma ferramenta legítima que pode despejar o LSASS.exe da memória, criando um arquivo .dmp. Eles podem então levar isso para seu próprio ambiente e usar o MimiKatz para extrair com segurança nomes de usuário e senhas em sua própria máquina de teste.
Padrões de comportamento suspeito
Qualquer detecção ocorrendo no mesmo horário todos os dias, ou em um padrão repetido, geralmente é uma indicação de que algo mais está acontecendo, mesmo que arquivos maliciosos tenham sido detectados e removidos. As equipes de segurança devem perguntar “por que está voltando?” Os responsáveis pela resposta a incidentes sabem que normalmente significa que algo malicioso está ocorrendo e que não foi (ainda) identificado.
Ataques de teste
Ocasionalmente, os invasores implantam pequenos ataques de teste em alguns computadores para ver se o método de implantação e o ransomware são executados com êxito ou se o software de segurança os impede. Se as ferramentas de segurança interrompem o ataque, elas mudam de tática e tentam novamente. Isso mostrará sua mão e os invasores saberão que seu tempo agora é limitado. Muitas vezes, é uma questão de horas antes que um ataque muito maior seja lançado.
Se a sua organização deseja conhecer melhor nossa solução de “Threat Hunting” ou “Managed Threat Response” entre em contato com a nossa equipe.