Golpe Duplo (Double Whammy): Quando um Ataque Mascara Outro

Em alguns contextos, um “golpe duplo” pode significar uma coisa boa, um golpe de sorte seguido por outro: quando sua equipe favorita ganha dois jogos seguidos, quando duas barras de chocolate caem da máquina de venda automática no lugar de uma, etc.

No entanto, no contexto da segurança cibernética, um golpe duplo pode se traduzir em ser atacado enquanto ainda está se recuperando de outro ataque.

No ambiente de segurança cibernética, muitas organizações se concentram em lidar com fraquezas individuais e vulnerabilidades exploráveis, acreditando que isso será o suficiente para barrar um ataque. Embora isso às vezes seja verdade, os hackers são atualmente muito mais sofisticados e determinados do que os criminosos virtuais do passado. Se um plano para atingir um alvo não funcionar, um hacker continuará tentando até conseguir achar uma brecha no sistema. 

Recentemente, um novo estilo de hacking nasceu: desencadeando não só um, mas dois ataques de malware ao mesmo tempo. Nesta configuração, um dos ataques serve de distração, mascarando as atividades maliciosas de outro malware que passa desapercebido pelo radar – abrindo caminho para outras infecções ou para o roubo de dados e outros direitos de propriedade intelectual. Os hackers geralmente utilizam amostras bem visíveis de ransomware no ataque inicial, a distração ideal neste estilo de ataque de golpe duplo (double whammy). Veremos um aumento deste tipo de ataque no começo de 2018.  

Mas, como é este tipo de ataque? E como as organizações podem se proteger quando ataques como estes dão golpes duplos em seus sistemas de segurança cibernética? Vamos analisar melhor o que acontece quando um ataque mascara o outro: 

BadRabbit esconde o spear phishing 

Um exemplo recente de um ataque lançado por hackers para disfarçar ou mascarar outro mais prejudicial envolveu Bad Rabbit. Este ransomware surgiu no outono de 2017 quando foi usado como plataforma de lançamento (launch pad) para infectar mais de 200 organizações na Rússia e na Ucrânia, segundo a Hacker News. O exploit BadRabbit utilizou um exploit roubado da NSA pelo grupo de hackers Shadow Brokers, permitindo que se infiltrasse rapidamente e se espalhasse pelas redes das vítimas. 

Outras amostras bem conhecidas, recentemente potencializaram o EternalBlue – como o ransomware NotPetya, que discutiremos um pouco mais a frente. O BadRabbit, por outro lado, usou o recurso EternalRomance RCE para executar sua atividade maliciosa. Esta vulnerabilidade explora uma falha no Microsoft Windows Server Messaging, identificada como CVE-2017-0145. A vulnerabilidade afeta a transferência de dados entre endpoints do Windows e permite que os hackers ignorem os protocolos de segurança para suportar a remoção do código. 

Quando os ataques surgiram pela primeira vez, os pesquisadores descobriram que a infecção começou com um download drive-by de sites Russos de mídia infectados que utilizavam um falso player Flasher para instalar o malware. 

Das infecções bem-sucedidas, os pesquisadores descobriram rapidamente que o BadRabbit não era apenas uma infecção de ransomware corriqueira: a amostra também escondia uma forte campanha de spear phishing

“Várias entidades Ucranianas foram alvos de campanhas de phishing juntamente com a disseminação do BadRabbit”, escreveu o colaborador do KnowBe4, Stu Sjouwerman. “O objetivo dessas campanhas era de comprometer informações financeiras e outros dados confidenciais”.

Desta forma, o Ransomware BadRabbit inicial era apenas uma distração para um ataque mais direcionado que visava encontrar dados valiosos da empresa. Serhiy Demedyuk, chefe da polícia cibernética da Ucrânia, nomeou as ocorrências de “ataques híbridos” e notou que se presta muita atenção ao primeiro ataque, o que permite que o segundo ataque tenha “resultados devastadores”. 

Não se engane: no começo, o BadRabbit parecia tirar vantagem de uma vulnerabilidade do Windows, mas na verdade ele mascarou um poderoso ataque de spear phishing.

 

NotPetya quer destruir

O NotPetya também serve como um poderoso exemplo de ataque no estilo double whammy (golpe duplo). O Bad Rabbit mascarou outras atividades maliciosas de phishing, mas o NotPetya surgiu como um ransomware que visava apenas destruir e não roubar os sistemas das vítimas. 

A primeira vez que muitos ouviram falar deste ataque foi quando seu antecessor, Petya, surgiu em março de 2016, de acordo com o colaborador da CSO Online, Josh Fruhlinger. O Petya era enviado através de um email infectado para violar vítimas e, em seguida, passava a criptografar arquivos individuais, incluindo arquivos .exe. 

Então, em junho de 2017, o NotPetya surgiu. Inicialmente parecia uma infecção normal de ransomware, capaz de se espalhar rapidamente de vítima em vítima e rede em rede. Apesar do NotPetya ser muito parecido com o Petya – incluindo o método usado para criptografar arquivos e a notificação solicitando Bitcoins em troca da devolução do acesso – o NotPetya rapidamente se mostrou diferente. 

Fruhlinger observou que, o Petya usava um e-mail infectado, como muitos ransomware, mas o NotPetya conseguiu se espalhar sozinho, usando várias abordagens diferentes para estimular a infecção, incluindo um backdoor forçado que não requer interação humana para encontrar e usar uma brecha. O NotPetya também consegue criptografar mais arquivos, a ponto de tornar o disco rígido inoperável. 

Como observou Fruhlinger, o NotPetya não é exatamente um ransomware. Seu processo de infecção e criptografia é usado para ocultar sua verdadeira intenção: destruir. 

“Parece um ransomware, incluindo até uma tela que diz que a vítima poderá descriptografar seus arquivos caso envie Bitcoins para uma conta digital específica”, explica Fruhlinger. “No Petya, esta tela inclui um identificador que deve ser enviado com o resgate e os atacantes usam esse código para descobrir qual vítima fez o pagamento. Mas nos computadores infectados com o NotPetya esse número é gerado aleatoriamente e não será usado para nada. E durante o processo de criptografia dos dados, o NotPetya os danifica para que não seja possível recuperá-los”. 

O processo de infecção e criptografia é usado para ocultar sua verdadeira intenção: destruir.

Surpreendentemente, o objetivo do NotPetya não é de roubar dados e depois vender essas informações ou usá-las para roubar identidades ou outros objetivos maliciosos. O NotPetya aparentemente só quer destruir os sistemas das vítimas, mesmo que paguem o resgate.

Como se Proteger contra ataques híbridos 

Com os hacks cada vez mais complexos e sofisticados e atacantes com habilidades cada vez mais flexíveis, é essencial que as empresas possam acompanhar esse ritmo e se protegerem contra os mais recentes estilos de ameaças. Esses ataques híbridos ou mascarados mostram a importância de ter uma maior visibilidade das atividades na rede, garantindo que, mesmo que uma atividade suspeita seja detectada em uma área, as vítimas não se distraiam tanto a ponto de permitir um segundo ataque mais prejudicial. 

As precauções, incluindo o monitoramento de ponta a ponta (end-to-end), são ideais, ajudando a prevenir comandos maliciosos e suspeitos. Os líderes de TI e tomadores de decisões devem buscar soluções que possam ajudar a identificar uma atividade associada a um ataque direcionado, proporcionando visibilidade granular de toda a rede. Trend Micro Deep Discovery e Connected Threat Defense podem ajudar a garantir que sua organização tenha uma segurança abrangente.