Os principais exploits usados por gangues de ransomware são bugs de VPN, mas o RDP ainda reina supremo
Embora alguns grupos de ransomware tenham direcionado fortemente as VPNs Citrix e Pulse Secure para violar redes corporativas no H1 2020, a maioria dos ataques de ransomware ocorre devido a endpoints RDP comprometidos.
Os ataques de ransomware direcionados ao setor corporativo atingiram um nível mais alto na primeira metade de 2020.
Embora cada grupo de ransomware opere com base em seu próprio conjunto de habilidades, a maioria dos incidentes de ransomware no H1 2020 pode ser atribuída a um punhado de vetores de intrusão que as gangues parecem ter priorizado este ano.
Os três métodos de intrusão mais populares incluem endpoints RDP inseguros, phishing de e-mail e a exploração de dispositivos VPN corporativos.
RDP – número um na lista
No topo desta lista, temos o Remote Desktop Protocol (RDP). Relatórios de Coveware, Emsisoft e Recorded Future colocam claramente o RDP como o vetor de intrusão mais popular e a fonte da maioria dos incidentes de ransomware em 2020.
“Hoje, o RDP é considerado o maior vetor de ataque para ransomware”, disse a empresa de segurança cibernética Emsisoft no mês passado, como parte de um guia para proteger endpoints RDP contra gangues de ransomware.
Estatísticas da Coveware, uma empresa que fornece resposta a incidentes de ransomware e serviços de negociação de resgate, também sustentam essa avaliação; com a empresa classificando firmemente o RDP como o ponto de entrada mais popular para os incidentes de ransomware que investigou este ano.
Além disso, os dados da empresa de inteligência de ameaças Recorded Future também colocam a RDP firmemente no topo.
“O Remote Desktop Protocol (RDP) é atualmente, por uma ampla margem, o vetor de ataque mais comum usado por agentes de ameaças para obter acesso a computadores Windows e instalar ransomware e outros malwares”, escreveu o analista de inteligência de ameaças da Recorded Future Allan Liska em um relatório publicado pela última vez semana sobre o perigo do ransomware para a infraestrutura eleitoral dos EUA.
Alguns podem pensar que o RDP é o principal vetor de intrusão para gangues de ransomware, devido às configurações atuais de trabalho em casa que muitas empresas adotaram; no entanto, isso é errado e impreciso.
O RDP tem sido o principal vetor de intrusão para gangues de ransomware desde o ano passado, quando as gangues de ransomware pararam de visar consumidores domésticos e passaram em massa a visar empresas.
RDP é a tecnologia de ponta da atualidade para conexão com sistemas remotos e há milhões de computadores com portas RDP expostas online, o que torna o RDP um grande vetor de ataque para todos os tipos de cibercriminosos, não apenas para gangues de ransomware.
Hoje, temos grupos de cibercrime especializados em escanear a Internet em busca de endpoints RDP e, em seguida, realizar ataques de força bruta contra esses sistemas, na tentativa de adivinhar suas respectivas credenciais.
Os sistemas que usam combinações fracas de nome de usuário e senha são comprometidos e colocados à venda nas chamadas “lojas RDP”, de onde são comprados por vários grupos do cibercrime.
As lojas RDP já existem há anos e não são algo novo.
No entanto, conforme os grupos de ransomware migraram de consumidores domésticos para empresas no ano passado, as gangues de ransomware encontraram um pool de sistemas RDP vulneráveis nessas lojas – uma combinação perfeita.
Hoje, gangues de ransomware são os maiores clientes das lojas RDP, e alguns operadores de lojas fecharam suas lojas para trabalhar exclusivamente com gangues de ransomware ou tornaram-se clientes de portais Ransomware-as-a-Service (RaaS) para monetizar sua coleção de hackearam os próprios sistemas RDP.
Dispositivos VPN – os novos RDPs
Mas 2020 também viu o surgimento de outro grande vetor de intrusão de ransomware, ou seja, o uso de VPN e outros dispositivos de rede semelhantes para entrar em redes corporativas.
Desde o verão de 2019, várias vulnerabilidades graves foram divulgadas em dispositivos VPN das principais empresas de hoje, incluindo Pulse Secure, Palo Alto Networks, Fortinet, Citrix, Secureworks e F5.
Depois que o código de exploração de prova de conceito se tornou público para qualquer uma dessas vulnerabilidades, grupos de hackers começaram a explorar os bugs para obter acesso às redes corporativas. O que os hackers fazem com esse acesso varia de acordo com a especialização de cada grupo.
Alguns grupos se envolveram em ciberespionagem em nível nacional, alguns grupos se envolveram em crimes financeiros e roubo de IP, enquanto outros grupos adotaram a abordagem de “lojas RDP” e revenderam o acesso a outras gangues .
Embora alguns incidentes esparsos de ransomware usando esse vetor tenham sido relatados no ano passado, foi em 2020 quando vimos um número crescente de grupos de ransomware usar dispositivos VPN hackeados como ponto de entrada em redes corporativas.
Ao longo de 2020, as VPNs cresceram rapidamente como o novo vetor de ataque entre as gangues de ransomware, com gateways de rede Citrix e servidores Pulse Secure VPN sendo seus alvos favoritos, de acordo com um relatório publicado na semana passada pela SenseCy .
Por SenseCy, gangues como REvil (Sodinokibi), Ragnarok, DoppelPaymer, Maze, CLOP e Nefilim foram vistas usando sistemas Citrix vulneráveis ao bug CVE-2019-19781 como um ponto de entrada para seus ataques.
Da mesma forma, SenseCy diz que grupos de ransomware como REvil e Black Kingdom aproveitaram as VPNs Pulse Secure que não foram corrigidas para o bug CVE-2019-11510 para atacar seus alvos.
Por Recorded Future, a última entrada nesta lista é a gangue NetWalker, que parece ter começado a almejar os sistemas Pulse Secure para implantar suas cargas em redes corporativas ou governamentais onde esses sistemas podem ser instalados.
Com uma pequena indústria caseira se desenvolvendo em torno de RDPs e VPNs hackeados no submundo do crime cibernético, e com dezenas de empresas de segurança cibernética e especialistas constantemente lembrando a todos sobre como corrigir e proteger esses sistemas, as empresas não têm mais desculpas para serem hackeadas por meio desses vetores.
Uma coisa é ter um funcionário sendo vítima de um e-mail de spear-phishing habilmente disfarçado, e outra coisa é não consertar sua VPN ou equipamento de rede por mais de um ano, ou usar admin / admin como suas credenciais RDP.
