Gangue cibercriminosa da Rússia ficou meses escondida em rede do governo dos EUA

Cibercriminosos da gangue LockBit permaneceram por pelo menos cinco meses escondidos em uma rede do governo dos Estados Unidos antes de realizarem um ataque e revelarem sua presença, em um verdadeiro pesadelo de segurança para a administração pública. O período foi usado para reconhecimento, disseminação lateral e acesso remoto, potencialmente colocando dados confidenciais e a integridade dos serviços prestados à população em risco.

• Brasil é alvo preferencial de criminosos, mesmo “fora” da guerra cibernética
• Brasil é o terceiro país mais atingido pelo ransomware LockBit

O relatório publicado pelos especialistas em segurança da Sophos não revela qual a agência comprometida desta maneira, mas fala no uso de um kit de intrusão avançado como forma de estabelecer permanência na rede e, depois, explorar esse acesso de diferentes maneiras. O acesso inicial teria sido feito depois de uma operação de manutenção, na qual uma medida protetiva em sistemas de desktop remoto foi deixada desativada por engano, permitindo o comprometimento.

Depois disso, os criminosos usaram o navegador da própria máquina para baixar ferramentas para ataques de força-bruta, VPNs e sistemas de monitoramento, além de softwares que permitissem o envio de dados de volta para servidores controlados por eles. Credenciais de administradores eram o foco inicial, com essa fase de reconhecimento ocupando boa parte dos cinco meses citados até que os bandidos conseguiram acesso a uma conta com privilégios de administração.

Na segunda etapa, o foco estava novamente nas credenciais, mas a busca era por acesso de nível mais alto. Depois, veio o desligamento de sistemas de segurança e a busca por movimento lateral pela rede; foi quando a administração da agência percebeu a intrusão e começou a tomar medidas protetivas, evitando que o golpe final, um sequestro digital, fosse realizado com êxito.

Segundo a Sophos, as duas fases do ataque também parecem ter sido realizadas por agentes diferentes do mesmo grupo. Enquanto a intrusão inicial parecia ser obra de novatos, o restante dos trabalhos teria sido feito por membros de maior escalão do LockBit, devido à sensibilidade da rede invadida e o fato de se tratar de uma ação que atingia o governo dos EUA. No Brasil, o bando foi responsável por ataques importantes, com a empresa de atendimento Atento sendo sua principal baixa em nosso país.

Enquanto alguns arquivos chegaram a ser manipulados pela ferramenta de travamento do LockBit, a recuperação foi possível. Os criminosos também tentaram apagar registros de eventos, mas fragmentos acabaram permanecendo no sistema, o que permitiu aos especialistas entenderem como aconteceu a operação e quais foram as tentativas de comprometimento realizadas.

Como o ataque poderia ter sido evitado?

De acordo com os especialistas, apenas a ativação de protocolos de autenticação em duas etapas já mudaria o curso dos eventos. Ainda que a intrusão inicial fosse efetiva, os criminosos teriam mais dificuldade na movimentação lateral pela rede, uma vez de posse das credenciais, enquanto o uso de firewalls que bloqueassem acessos remotos indiscriminados também poderia impedir novas explorações.

Segundo a Sophos, administradores e técnicos de redes devem possuir manuais e checklists durante tarefas de manutenção, seguindo os passos à risca de forma que deslizes não aconteçam. Enquanto o relatório da empresa de segurança é profundo no que toca a exploração em si, detalhes sobre a agência comprometida não foram divulgados e o governo dos EUA não falou diretamente sobre o assunto.

Fonte: Sophos