Darkside Ransomware: Melhores práticas para defender seu negócio de ataques de ransomware

ataque de ransomware darkside tecnologia da informação

Resumo

A Cybersecurity and Infrastructure Security Agency (CISA) e o Federal Bureau of Investigation (FBI) estão cientes de um ataque de ransomware que afetou uma entidade de infraestrutura crítica (IC) – uma empresa de dutos – nos Estados Unidos. Atores cibernéticos mal-intencionados implantaram o ransomware DarkSide contra a rede de tecnologia da informação (TI) da empresa de dutos. [1] No momento, não há indicação de que as redes de tecnologia operacional (TO) da entidade tenham sido afetadas diretamente pelo ransomware.

A CISA e o FBI estimulam os proprietários e operadores de ativos de IC a adotar um estado elevado de consciência e implementarem as recomendações listadas na seção Mitigações deste Conselho Conjunto de Segurança Cibernética, incluindo a implementação de segmentação de rede robusta entre redes de TI e TO; testar controles manuais regularmente; e garantir que os backups sejam implementados, testados regularmente e isolados das conexões de rede. Essas atenuações ajudarão os proprietários e operadores de IC a melhorar a resiliência funcional de suas entidades, reduzindo sua vulnerabilidade a ransomware e o risco de degradação severa dos negócios se afetados por ransomware.

Detalhes técnicos

Observação: a análise neste comunicado conjunto de segurança cibernética está em andamento e as informações fornecidas não devem ser consideradas abrangentes. A CISA e o FBI atualizarão este comunicado à medida que novas informações estiverem disponíveis.

Depois de obter acesso inicial à rede da empresa de dutos, os atores do DarkSide implantaram o ransomware DarkSide contra a rede de TI da empresa. Em resposta ao ataque cibernético, a empresa relatou que desconectou proativamente certos sistemas TO para garantir a segurança dos sistemas. [2] No momento, não há indicações de que o ator da ameaça mudou lateralmente para os sistemas TO.

DarkSide é ransomware-as-a-service (RaaS) – os desenvolvedores do ransomware recebem uma parte dos rendimentos dos cibercriminosos que o implantam, conhecidos como “afiliados”. De acordo com relatórios de código aberto, desde agosto de 2020, os atores do DarkSide têm como alvo várias organizações grandes e de alta receita, resultando na criptografia e roubo de dados confidenciais. O grupo DarkSide declarou publicamente que prefere visar organizações que podem pagar grandes resgates em vez de hospitais, escolas, organizações sem fins lucrativos e governos.

De acordo com relatórios de código aberto, os atores do DarkSide foram observados anteriormente obtendo acesso inicial por meio de phishing e explorando contas e sistemas acessíveis remotamente e Virtual Desktop Infrastructure (VDI) (Phishing, Exploração de aplicativo voltado para o público, Serviços remotos externos). Os atores do DarkSide também foram observados usando o Remote Desktop Protocol (RDP) para manter a persistência.

Depois de obter acesso, os atores do DarkSide implantam o ransomware DarkSide para criptografar e roubar dados confidenciais (Criptografia de Dados por Impacto). Os atores então ameaçam divulgar publicamente os dados se o resgate não for pago. O ransomware DarkSide usa criptografia Salsa20 e RSA.

Os atores do DarkSide usam principalmente o Onion Router (TOR) para Comando e Controle (C2) (Proxy: Multi-hop Proxy). Os atores também foram observados usando Cobalt Strike para C2 .

Mitigações

CISA e o FBI recomendam que os proprietários e operadores de IC apliquem imediatamente as seguintes atenuações para reduzir o risco de comprometimento por ataques de ransomware.

  • Exigir autenticação de multifator para acesso remoto a redes TO e TI.
  • Habilitar filtros de spam fortes para evitar que e-mails de phishing cheguem aos usuários finais. Filtrar e-mails contendo arquivos executáveis ​​para que não cheguem aos usuários finais.
  • Implementar um programa de treinamento de usuário e ataques simulados de spearphishing para desencorajar os usuários de visitar sites maliciosos ou abrir anexos maliciosos e reforçar as respostas apropriadas do usuário a e-mails de spearphishing.
  • Filtrar o tráfego de rede para proibir as comunicações de entrada e saída com endereços IP maliciosos conhecidos. Evitar que usuários acessem sites maliciosos implementando listas de bloqueio de URL e / ou listas de permissão.
  • Atualizar os softwares, incluindo sistemas operacionais, aplicativos e firmwares em ativos de rede de TI, em tempo hábil. Considerar o uso de um sistema de gerenciamento de patch centralizado; usar uma estratégia de avaliação baseada em risco para determinar quais ativos de rede TO e zonas delimitadas devem participar do programa de gerenciamento de patch.
  • Configurar programas antivírus / antimalware para realizar varreduras regulares de ativos de rede de TI usando assinaturas atualizadas. Usar uma estratégia de inventário de ativos baseada em risco para determinar como os ativos de rede TO são identificados e avaliados quanto à presença de malware.
  • Implementar prevenção de execução não autorizada:
  1. Desativando scripts de macro de arquivos do Microsoft Office transmitidos por e-mail. Considere o uso do software Office Viewer para abrir arquivos do Microsoft Office transmitidos por e-mail em vez de aplicativos completos do pacote do Microsoft Office.
  1. Implementando uma lista de permissões de aplicativos, que só permite que os sistemas executem programas conhecidos e autorizados pela política de segurança. Implemente políticas de restrição de software (SRPs) ou outros controles para evitar que programas sejam executados em locais comuns de ransomware, como pastas temporárias que oferecem suporte a navegadores de Internet populares ou programas de compactação / descompactação, incluindo a pasta AppData / LocalAppData.
  1. Monitore e / ou bloqueie conexões de entrada de nós de saída TOR e outros serviços anônimos para endereços IP e portas para as quais conexões externas não são esperadas (ou seja, outros que não sejam gateways VPN, portas de e-mail, portas da web). Para obter mais orientações, consulte o Aviso conjunto de segurança cibernética AA20-183A: Defesa contra atividades cibernéticas maliciosas originadas do TOR.
  1. Implante assinaturas para detectar e / ou bloquear a conexão de entrada de servidores Cobalt Strike e outras ferramentas de pós-exploração.

CISA e o FBI também recomendam aos proprietários e operadores de IC que apliquem imediatamente as seguintes ações para mitigar o risco de grave degradação empresarial ou funcional caso sua entidade de IC venha a ser vítima de um ataque de ransomware no futuro.

  • Implemente e garanta uma segmentação de rede robusta entre as redes de TI e TO para limitar a capacidade dos adversários de girar para a rede TO, mesmo se a rede de TI estiver comprometida. Defina uma zona desmilitarizada que elimine a comunicação não regulamentada entre as redes de TI e TO.
  • • Organize os ativos de TO em zonas lógicas, levando em consideração a criticidade, as consequências e a necessidade operacional. Defina canais de comunicação ​​entre as zonas e implemente controles de segurança para filtrar o tráfego de rede e monitorar as comunicações entre as zonas. Proibir os protocolos do sistema de controle industrial (ICS) de atravessar a rede de TI.
  • Identifique as interdependências de rede de TO e TI e desenvolva soluções alternativas ou controles manuais para garantir que as redes IC possam ser isoladas se as conexões criarem risco para a operação segura e confiável dos processos de TO. Teste regularmente planos de contingência, como controles manuais, para que as funções críticas de segurança possam ser mantidas durante um incidente cibernético. Certifique-se de que a rede TO pode operar na capacidade necessária, mesmo se a rede de TI estiver comprometida.
  • • Teste regularmente os controles manuais para que as funções críticas possam ser mantidas em execução se as redes IC ou TO precisarem ser colocadas off-line.
  • Implemente procedimentos regulares de backup de dados nas redes de TI e TO. Os procedimentos de backup devem ser realizados com frequência e regularidade. Os procedimentos de backup de dados também devem abordar as seguintes práticas recomendadas:
  1. Certifique-se de que os backups sejam testados regularmente.
  1. Armazene seus backups separadamente. Os backups devem ser isolados das conexões de rede que podem permitir a disseminação do ransomware. É importante que os backups sejam mantidos offline, pois muitas variantes de ransomware tentam encontrar e criptografar ou excluir backups acessíveis. Manter backups atuais offline é crítico porque se os dados da sua rede estiverem criptografados com ransomware, sua organização pode restaurar os sistemas ao estado anterior. A prática recomendada é armazenar seus backups em um dispositivo separado que não pode ser acessado de uma rede, como em um disco rígido externo. (Consulte a página do Software Engineering Institute sobre ransomware).
  1. Mantenha “imagens” atualizadas regularmente de sistemas críticos, caso precisem ser reconstruídos. Isso envolve a manutenção de “modelos” de imagem que incluem um sistema operacional (SO) pré-configurado e aplicativos de software associados que podem ser implantados rapidamente para reconstruir um sistema, como uma máquina virtual ou servidor.
  1. Reter o hardware de backup para reconstruir sistemas, caso a reconstrução do sistema principal não seja preferível. Hardware mais novo ou mais antigo que o sistema primário pode apresentar obstáculos de instalação ou compatibilidade ao reconstruir a partir de imagens.
  1. Armazene o código-fonte ou os executáveis. É mais eficiente reconstruir a partir de imagens do sistema, mas algumas imagens não serão instaladas em hardware ou plataformas diferentes corretamente; ter acesso separado ao software necessário ajudará nesses casos.
  1. Certifique-se de que as contas de usuário e processos sejam limitados por meio de políticas de uso de conta, controle de conta de usuário e gerenciamento de conta com privilégios. Organize os direitos de acesso com base nos princípios do privilégio mínimo e separação de funções.

Se sua organização for afetada por um incidente de ransomware, a CISA e o FBI recomendam as seguintes ações:

  • • Isole o sistema infectado. Remova o sistema infectado de todas as redes e desative a rede sem fio do computador, Bluetooth e quaisquer outros recursos de rede em potencial. Certifique-se de que todas as unidades compartilhadas e em rede estejam desconectadas, sejam com fio ou sem fio.
  • Desligue outros computadores e dispositivos. Desligue e separe (ou seja, remova da rede) o(s) computador(es) infectado(s). Desligue e separe todos os outros computadores ou dispositivos que compartilharam uma rede com o(s) computador(es) infectado(s) que não foram totalmente criptografados pelo ransomware. Se possível, reúna e proteja todos os computadores e dispositivos infectados e potencialmente infectados em um local central, certificando-se de rotular claramente todos os computadores que foram criptografados. Desligar e segregar computadores infectados e computadores que não foram totalmente criptografados pode permitir a recuperação de arquivos parcialmente criptografados por especialistas.
  • Proteja seus backups. Certifique-se de que seus dados de backup estejam offline e seguros. Se possível, analise seus dados de backup com um programa antivírus para verificar se está livre de malware.

Nota: a CISA e o FBI não encorajam o pagamento de resgate a criminosos. Pagar um resgate pode encorajar os adversários a visar organizações adicionais, encorajar outros atores criminosos a se envolver na distribuição de ransomware e / ou pode financiar atividades ilícitas. Pagar o resgate também não garante que os arquivos da vítima serão recuperados. A CISA e o FBI recomendam que você relate incidentes de ransomware ao escritório local do FBI.

Posts relacionados: Explicando o Ransomware DarkSide: Como funciona e quem está por trás / NCIJTF lança ficha informativa sobre riscos de Ransomware e Ameaças de Ransomware as a Service (RaaS)

Informações obtidas/adaptadas de DarkSide Ransomware: Best Practices for Preventing Business Disruption from Ransomware Attacks