Trojan familiar aprende novo truque: Roubar dados do Active Directory

O TrickBot trojan tem estado por aí há algum tempo, identificado pela primeira vez em 2016. Uma vez no sistema alvo, utiliza uma variedade de módulos que pode descarregar para obter capacidades específicas. Um investigador de segurança descobriu recentemente que um novo módulo TrickBot, chamado "ADll", permite ao trojan encontrar, aceder e exfiltrar bases de dados do Active Directory armazenadas em controladores de domínio Windows.

Isso adiciona uma capacidade perniciosa, com riscos elevados, a uma ameaça cibernética já altamente capaz.

Malware multi-capaz

TrickBot (também conhecido como TrickLoader, Trickster) é o produto de mais de uma década de evolução de ameaças. Foi originalmente concebido para roubar dados bancários online, com uma lista em constante mudança de sites bancários online a atacar. Mas à medida que evoluiu, a sua natureza modular deu-lhe uma lista crescente de capacidades, sendo utilizado para atacar vítimas em múltiplos setores. É frequentemente utilizado para infiltrar o ransomware Ryuk, mas está longe de ser tudo o que pode fazer.

Como um relatório técnico abrangente da Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) coloca:

"Os operadores do TrickBot dispõem de um conjunto de ferramentas capaz de abranger a totalidade do MITRE ATT&CK framework, desde a recolha ativa ou passiva de informações que podem ser utilizadas para apoiar a seleção de alvos (Reconhecimento [TA0043]), até à tentativa de manipular, interromper ou destruir sistemas e dados (Impacto [TA0040])."

Apenas algumas das suas muitas capacidades:

• Roubo de dados de email e navegador

• Roubo de criptomoeda direcionado a coinbase.com

• Exploração EternalBlue para movimento lateral

• Configuração em tempo real via Servidor de Comando e Controle (C2)

• Desativar controlos de segurança

• Encriptar dados (malware Ryuk)

Mitigação do risco de dados do Active Directory

Existem múltiplos riscos específicos que resultam do uso do módulo ADll para identificar e exfiltrar e/ou destruir dados do Active Directory.

Em primeiro lugar, dá aos atacantes a capacidade de usar credenciais roubadas para expandir o acesso de forma muito mais rápida e descobrir alvos dentro da sua rede. Isto significa que tem muito menos tempo para detetar e bloquear essa atividade antes que uma carga útil, como ransomware, seja detonada.

Além disso, permite a personificação, comprometimento do e-mail empresarial, sequestro de conversas e outros tipos de ataques que podem levar a fraudes dispendiosas, bem como à perda de dados.

No caso de os dados do Active Directory serem destruídos (enquanto possivelmente também são roubados), a interrupção da capacidade de operação da sua organização seria severa e dispendiosa — e provavelmente levaria dias ou semanas para ser resolvida completamente.

Finalmente, contribui para o já crescente mercado clandestino de credenciais de rede roubadas e outros dados identificativos. Como já referi anteriormente neste espaço, por vezes chamamos a isto a era "pós-violação" devido ao número incrivelmente vasto de registos de dados roubados (incluindo "fullz") que já estão por aí, disponíveis para o maior licitador.

A melhor forma de mitigar estes riscos é com uma solução de segurança abrangente e em camadas que combine:

• Arquitetura de confiança zero para reduzir o risco de acesso não autorizado à rede utilizando credenciais roubadas. Isto é significativamente mais eficaz do que a autenticação multifator (MFA).

• Monitorização avançada de dados e tráfego de comunicações intra-rede, aproveitando o poder do machine learning e da inteligência artificial para detetar anomalias e potenciais ameaças.

• Backup moderno baseado na nuvem que protege os dados do Active Directory e permite uma recuperação e restauração de dados rápida e fiável.

Confira Barracuda Email Protection e veja como obter estas e outras capacidades numa única plataforma integrada e fácil de usar.