Parando o REvil: como o Illumio pode interromper um dos grupos de ransomware mais prolíficos

Grupos de ransomware vêm e vão. Mas poucos têm o reconhecimento do nome de REvil. Também conhecido como Sodinokibi, o grupo e suas afiliadas foram responsáveis por algumas das violações mais audaciosas dos últimos 12 a 18 meses. Isso inclui ataques a um escritório de advocacia famoso e a um gigante do processamento de carne, o que rendeu 11 milhões de dólares aos atacantes. Outras campanhas notáveis incluem o ataque sofisticado à empresa de software de TI Kaseya e o comprometimento da fabricante taiwanesa e cliente da Apple Quanta Computer.

Os dois últimos são notáveis por seus pedidos ultrajantes de resgate, $70 milhões e $50 milhões, respectivamente. Mas também porque eles exploraram as cadeias de suprimentos globais, embora de maneiras diferentes, para promover seus objetivos.

E embora o REvil tenha sido recentemente interrompido por prisões e sanções, o grupo supostamente continua suas operações. A boa notícia é que, com o Illumio disponível para mapear, monitorar e bloquear conexões de rede de alto risco, você pode mitigar a ameaça REvil — e a de quaisquer iterações que se seguirem, caso o grupo finalmente desapareça.

Por que os ataques à cadeia de suprimentos são perigosos?

Os ataques de ransomware na cadeia de suprimentos são perigosos porque podem interromper toda a rede de empresas interconectadas. Esses ataques podem interromper a produção, atrasar as entregas e causar perdas financeiras significativas.

Além disso, eles podem levar a violações de dados, expondo informações confidenciais em várias organizações, o que mina a confiança e prejudica a reputação.

A interdependência dentro das cadeias de suprimentos significa que um ataque a uma entidade pode ter um efeito em cascata, impactando muitas outras empresas e potencialmente levando a consequências econômicas generalizadas.

A invasão de abril de 2021 na Quanta Computer foi inteligente. Como parceiro-chave de fabricação por contrato da Apple, ela tem acesso a alguns projetos e IP de produtos altamente confidenciais. Além disso, calculou o REvil, pode estar menos bem protegido do que o gigante da tecnologia de Cupertino.

Quando a Quanta se recusou a pagar, o grupo procurou a Apple para exigir o resgate, ou então eles vazariam ou venderiam os documentos roubados. Não sabemos se eles tiveram sucesso, mas todos os dados relacionados à invasão foram posteriormente removidos do site de vazamento do REvil, de acordo com relatórios.

O que esse incidente nos diz? Primeiro, sua organização pode se tornar um alvo de ransomware/REvilse fizer negócios com parceiros de alto valor. E segundo, você está tão seguro quanto seus fornecedores menos seguros.

Como funciona o REvil?

O ataque dos Quanta em si continha alguns elementos únicos. Mas o padrão amplo — exploração de software ou serviços vulneráveis e voltados para o exterior — tem sido usado em inúmeras campanhas. 

Nesse caso, o REvil visou uma vulnerabilidade no software Oracle WebLogic. Isso permitiu que os agentes da ameaça forçassem um servidor comprometido a baixar e executar malware sem qualquer ação do usuário. Havia duas etapas principais:

1. Os atacantes fizeram uma conexão HTTP com um servidor WebLogic sem patch e o forçaram a baixar a variante do ransomware Sodinokibi. Eles usaram um comando do PowerShell para baixar um arquivo chamado “radm.exe” de endereços IP maliciosos e, em seguida, forçou o servidor a salvar o arquivo localmente e executá-lo.
2. Os atacantes tentaram criptografar dados no diretório do usuário e interromper a recuperação de dados excluindo “cópias ocultas” dos dados criptografados que o Windows cria automaticamente.

Como você pode parar o REvil?

Uma boa higiene cibernética, como a correção imediata de endpoints de alto risco, pode ajudar a reduzir a superfície de ataque das organizações. Mas, além disso, ações mais abrangentes podem ser tomadas em nível de rede.

As organizações devem entender que até mesmo canais confiáveis e softwares de terceiros podem se tornar um canal para malware e ransomware. Para mitigar esse risco, é necessário segmentar todas as soluções prontas para uso do resto do ambiente, especialmente ferramentas de segurança como detecção e resposta de terminais (EDR) e detecção e resposta estendidas (XDR).

As empresas também devem considerar identificar e restringir quaisquer conexões externas não essenciais. Isso significa bloquear tudo, exceto as comunicações com IPs de destino autorizados, inclusive nas portas 80 e 443. Isso interromperá que os agentes de ameaças tentem “ligar para casa” os servidores de comando e controle (C & C) para baixar ferramentas adicionais para prosseguir com os ataques. Também bloqueará tentativas de exfiltrar dados da organização para servidores sob seu controle.

Como a Illumio pode ajudar

A tecnologia avançada de segmentação Zero Trust da Illumio oferece gerenciamento de políticas fácil e escalável para proteger ativos essenciais e isolar o ransomware. A Illumio capacita as equipes de segurança a obter visibilidade dos fluxos de comunicação e dos caminhos de alto risco. Em seguida, aplicamos o controle total da segmentação até o nível da carga de trabalho para reduzir drasticamente sua superfície de ataque e minimizar o impacto do ransomware.

Em três etapas simples, o Illumio pode proteger sua organização contra ransomware como o REvil:

1. Mapeie todas as comunicações externas essenciais e não essenciais
2. Implemente rapidamente uma política para restringir as comunicações em grande escala
3. Monitore todas as conexões de saída que não possam ser fechadas
    

Para obter mais orientações sobre as melhores práticas sobre como criar resiliência ao ransomware:

• Leia nosso e-book, Como impedir ataques de ransomware
• Baixe o infográfico, 3 etapas para impedir o ransomware
• Inscreva-se nos laboratórios práticos do The Illumio Experience para ver você mesmo a visibilidade baseada em riscos e os recursos de segmentação Zero Trust da Illumio