Gangue cibercriminosa da Rússia ficou meses escondida em rede do governo dos EUA

Gangue cibercriminosa da Rússia ficou meses escondida em rede do governo dos EUA

Por Felipe Demartini | Editado por Claudio Yuge | 13 de Abril de 2022 às 13h20
Elements/mstandret

Cibercriminosos da gangue LockBit permaneceram por pelo menos cinco meses escondidos em uma rede do governo dos Estados Unidos antes de realizarem um ataque e revelarem sua presença, em um verdadeiro pesadelo de segurança para a administração pública. O período foi usado para reconhecimento, disseminação lateral e acesso remoto, potencialmente colocando dados confidenciais e a integridade dos serviços prestados à população em risco.

O relatório publicado pelos especialistas em segurança da Sophos não revela qual a agência comprometida desta maneira, mas fala no uso de um kit de intrusão avançado como forma de estabelecer permanência na rede e, depois, explorar esse acesso de diferentes maneiras. O acesso inicial teria sido feito depois de uma operação de manutenção, na qual uma medida protetiva em sistemas de desktop remoto foi deixada desativada por engano, permitindo o comprometimento.

Depois disso, os criminosos usaram o navegador da própria máquina para baixar ferramentas para ataques de força-bruta, VPNs e sistemas de monitoramento, além de softwares que permitissem o envio de dados de volta para servidores controlados por eles. Credenciais de administradores eram o foco inicial, com essa fase de reconhecimento ocupando boa parte dos cinco meses citados até que os bandidos conseguiram acesso a uma conta com privilégios de administração.

Nota de resgate deixada pelo grupo LockBit em sistemas ligados ao governo dos EUA; sequestro não foi bem-sucedido, mas criminosos passaram pelo menos cinco meses dentro da rede (Imagem: Reprodução/Sophos)

Na segunda etapa, o foco estava novamente nas credenciais, mas a busca era por acesso de nível mais alto. Depois, veio o desligamento de sistemas de segurança e a busca por movimento lateral pela rede; foi quando a administração da agência percebeu a intrusão e começou a tomar medidas protetivas, evitando que o golpe final, um sequestro digital, fosse realizado com êxito.

Segundo a Sophos, as duas fases do ataque também parecem ter sido realizadas por agentes diferentes do mesmo grupo. Enquanto a intrusão inicial parecia ser obra de novatos, o restante dos trabalhos teria sido feito por membros de maior escalão do LockBit, devido à sensibilidade da rede invadida e o fato de se tratar de uma ação que atingia o governo dos EUA. No Brasil, o bando foi responsável por ataques importantes, com a empresa de atendimento Atento sendo sua principal baixa em nosso país.

Enquanto alguns arquivos chegaram a ser manipulados pela ferramenta de travamento do LockBit, a recuperação foi possível. Os criminosos também tentaram apagar registros de eventos, mas fragmentos acabaram permanecendo no sistema, o que permitiu aos especialistas entenderem como aconteceu a operação e quais foram as tentativas de comprometimento realizadas.

Como o ataque poderia ter sido evitado?

De acordo com os especialistas, apenas a ativação de protocolos de autenticação em duas etapas já mudaria o curso dos eventos. Ainda que a intrusão inicial fosse efetiva, os criminosos teriam mais dificuldade na movimentação lateral pela rede, uma vez de posse das credenciais, enquanto o uso de firewalls que bloqueassem acessos remotos indiscriminados também poderia impedir novas explorações.

Segundo a Sophos, administradores e técnicos de redes devem possuir manuais e checklists durante tarefas de manutenção, seguindo os passos à risca de forma que deslizes não aconteçam. Enquanto o relatório da empresa de segurança é profundo no que toca a exploração em si, detalhes sobre a agência comprometida não foram divulgados e o governo dos EUA não falou diretamente sobre o assunto.

Fonte: Sophos

Gostou dessa matéria?

Inscreva seu email no Canaltech para receber atualizações diárias com as últimas notícias do mundo da tecnologia.