Barracuda full logo

Os ficheiros de casos SOC: XDR deteta ransomware Akira a explorar conta ‘fantasma’ e servidor desprotegido

Tópicos:
5 fev. 2025
|
Eric Russo

Resumo do incidente

  • Uma empresa de manufactura foi atingida pelo ransomware Akira nas primeiras horas da manhã.
  • Os atacantes violaram a rede através de uma conta "fantasma" (uma conta que foi criada para um fornecedor externo e não foi desativada quando o fornecedor saiu).
  • Às 1:17 da manhã, os atacantes saíram da cobertura e tentaram mover-se lateralmente e desativar a segurança do endpoint — ambas as tentativas foram bloqueadas pelo Barracuda Managed XDR.
  • Em seguida, mudaram o foco da sua atividade para um servidor desprotegido, elevando os seus privilégios e lançando o ransomware às 2:54 da manhã.
  • Às 2:59 da manhã, todos os dispositivos afetados cobertos pelo XDR foram neutralizados.
  • Os engenheiros do SOC trabalharam com o alvo na recuperação e investigação.

O SOC faz parte de Barracuda Managed XDR, um serviço de visibilidade, deteção e resposta (XDR) alargadas que oferece aos clientes serviços de deteção, análise e mitigação de ameaças, liderados por humanos e IA, 24 horas por dia, para proteção contra ameaças complexas.

Como o ataque se desenrolou

Áreas expostas no ambiente de TI do alvo

  • Havia várias áreas de risco pré-existentes na infraestrutura de TI e nas políticas de segurança do alvo que aumentaram a sua vulnerabilidade e as hipóteses de uma violação bem-sucedida. Estas incluíam:
    • Dispositivos desprotegidos na rede
    • Um canal VPN aberto no seu firewall
    • Autenticação multifator não aplicada em toda a empresa
    • Uma conta que tinha sido criada para um fornecedor terceirizado não foi desativada quando ele saiu.
  • Em algum momento antes de lançar o ataque principal, o agente de ameaça obteve as credenciais para a conta ‘fantasma’ de terceiros e usou-as para se conectar através de um canal VPN aberto para obter acesso à rede.
  • Vale a pena notar que a implementação adicional da Segurança de Rede XDR teria detetado a atividade suspeita da VPN e ajudado a bloquear o ataque numa fase anterior.

O ataque principal

  • A XDR Endpoint Security detetou pela primeira vez o agente de ameaça às 1:17 da manhã, enquanto tentavam mover-se lateralmente pela rede usando o malware de roubo de informação e um método de hacking que pode contornar senhas para obter acesso a um sistema informático (conhecido como técnica pass-the-hash).
  • Ambas técnicas foram mitigadas com sucesso pela Segurança de Endpoint XDR. Movimento lateral suspeito é um dos indicadores mais claros de um ataque de ransomware. Em 2024, 44% dos incidentes de ransomware em desenvolvimento foram detectados durante o movimento lateral.
  • Os atacantes perseveraram. Quando perceberam que a proteção de endpoint estava implementada em dispositivos por toda a rede, retaliaram de duas maneiras.
  • Primeiro, às 1:37 da manhã, executaram uma ferramenta chamada Advanced IP Scanner para encontrar e listar todos os dispositivos na rede. Em seguida, tentaram executar comandos para desativar a Segurança de Endpoint XDR, o que falhou graças às capacidades anti-manipulação do XDR.
  • Alguns minutos depois, às 1:41 a.m., o ator da ameaça começou a executar uma ferramenta chamada WinRAR para preparar os dados para exfiltração. O WinRAR pode abrir a maioria dos tipos de ficheiros e é utilizado para comprimir e descomprimir ficheiros, tornando o processo de os descarregar mais rápido e fácil.
  • Ao mesmo tempo, o agente de ameaça mudou o foco do seu ataque para um servidor desprotegido onde planeavam continuar o ataque longe da visibilidade e restrições da segurança de endpoint instalada.
  • Os atacantes conseguiram elevar os seus privilégios para o nível de administrador a partir do servidor desprotegido e aproveitar isso para executar o ataque. Se o servidor estivesse coberto pela proteção XDR, a atividade suspeita do administrador teria sido sinalizada.
  • O agente de ameaça lançou o ransomware Akira pouco mais de uma hora depois, às 2:54 da manhã. O Akira é uma oferta prolífica de ransomware como serviço (RaaS) que surgiu em 2023.
  • Os atacantes executaram primeiro o ransomware no servidor desprotegido e depois tentaram encriptar remotamente dispositivos que conseguiam alcançar através da rede. A encriptação remota é uma tática comum que os agentes de ameaça usam para contornar os controlos de segurança que podem ser ativados se tentarem executar o ransomware em cada host individual.
  • No entanto, assim que o processo de encriptação remota foi iniciado, as regras personalizadas STAR do XDR Endpoint Security detetaram a atividade maliciosa e começaram a isolar os endpoints visados da rede.
  • Dentro de quatro minutos, até às 02:59, todos os endpoints alvo protegidos por XDR tinham sido desconectados da rede.
  • Pouco tempo depois, a equipa do XDR SOC emitiu um alerta de segurança de alto risco para a organização e contactou-a para informá-la sobre o caso.

Restaurar e recuperar

  • Depois de neutralizado o incidente, os engenheiros de segurança de endpoints do SOC trabalharam com o alvo para investigar o incidente e ajudar na recuperação.
  • A equipa SOC utilizou o XDR Endpoint Security para emitir comandos de reversão para os endpoints alvo e restaurá-los para o seu instantâneo mais recente de antes do incidente.
  • A investigação pós-incidente revelou o canal VPN aberto no firewall e a falta de aplicação consistente de MFA.
Empresa de manufatura atacada por ransomware Akira

As principais ferramentas e técnicas utilizadas no ataque

Ferramentas e técnicas utilizadas num ataque de ransomware Akira

Indicadores de Compromisso detetados neste ataque (valores de hash SHA1):

  • 66930dc7e9c72cf47a6762ebfc43cc6a5f7a1cd3
  • b29902f64f9fd2952e82049f8caaecf578a75d0d

Lições aprendidas

Este incidente ilustra como os ciberataques se tornaram cada vez mais em várias etapas e níveis, com atacantes prontos para mudar de direção e adaptar-se a circunstâncias inesperadas ou em mudança, caçando e explorando quaisquer áreas que fiquem desprotegidas e expostas.

A melhor proteção contra esses ataques são defesas abrangentes e em camadas, com visibilidade integrada e ampliada.

Isto deve ser acompanhado por um foco robusto nos fundamentos de cibersegurança. Por exemplo:

  • Sempre imponha MFA, especialmente em contas de VPN que são acessíveis externamente.
  • Implemente uma política de senhas para rodar regularmente as credenciais de modo a evitar senhas obsoletas.
  • Audite regularmente as contas de utilizadores ativas e desative as que já não estão em uso.

Neste estudo de caso, a cobertura de segurança incompleta ajudou os agentes de ameaça a obter acesso à rede e a permanecer sob o radar até decidirem mover-se lateralmente. Também lhes permitiu preparar e lançar diferentes fases do ataque a partir de um dispositivo que não podia ser analisado e monitorizado por ferramentas de segurança.

Todas as tentativas de progressão do ataque que envolveram um endpoint protegido por XDR foram mitigadas e remediadas em poucos minutos.

O XDR pode ajudar de outras formas, incluindo:

  • A XDR Endpoint Security fornece proativamente dados sobre dispositivos não protegidos, para que as organizações sejam informadas sobre dispositivos na sua rede que não têm segurança de endpoint implementada e que possam ser potencialmente aproveitados por atacantes.
  • A extensão da cobertura XDR para a segurança da rede poderia ter detetado a atividade suspeita de VPN numa fase anterior do ataque. O XDR utiliza SOAR (orquestração, automação e resposta de segurança), e isso teria garantido que o endereço IP malicioso usado pelos atacantes teria sido bloqueado automaticamente.
  • Por último, a extensão da cobertura XDR para incluir a segurança do servidor poderia ter detetado a atividade incomum e a elevação de privilégios que ocorriam silenciosamente no servidor.

Funcionalidades do Barracuda Managed XDR, como inteligência de ameaças, Resposta a Ameaças Automatizada e a integração de soluções mais amplas, como XDR Server Security, XDR Network Security e XDR Cloud Security, oferecem proteção abrangente e podem reduzir drasticamente o tempo de permanência.

Para mais informações: Barracuda Managed XDR e SOC.

Esteja um passo à frente dos atacantes com cibersegurança gerida 24/7
Eric Russo

Eric Russo é Diretor de Segurança Defensiva do SOC na Barracuda.

Artigos Relacionados:
Coming soon: Your chance to take on the hacker’s role
Coming soon: Your chance to take on the hacker’s role
 Email breach delays can multiply ransomware risk eight-fold
Email breach delays can multiply ransomware risk eight-fold
 Defense wins championships: What sports teach us about cybersecurity
Defense wins championships: What sports teach us about cybersecurity
 Barracuda Managed XDR: Saving time, empowering users and fighting AI with AI
Barracuda Managed XDR: Saving time, empowering users and fighting AI with AI
Pesquisar o blogue

O Relatório de Perspetivas sobre Ransomware 2025

Principais conclusões sobre a experiência e o impacto do ransomware nas organizações em todo o mundo

Obtenha o relatório

Subscreva o Blogue Barracuda.

Inscreva-se para receber destaques sobre ameaças, comentários do setor e muito mais.

Segurança de Vulnerabilidades Geridas: Remediação mais rápida, menos riscos, conformidade mais fácil

Veja como pode ser fácil encontrar as vulnerabilidades que os cibercriminosos querem explorar

ASSISTA AO WEBINAR

Inscreva-se para receber destaques sobre ameaças, comentários do setor e muito mais.

Receba as últimas notícias, estudos e análises diretamente na sua caixa de correio eletrónico.