Muito tem se falado sobre este ataque de ransomware contra a rede das Lojas Renner. Algumas (não todas hein?) empresas e pessoas querendo crescer em cima do ataque, oferecendo soluções que davam a entender que protegeriam contra a ameaça caso a Renner estivesse usando tal solução ou que se tivesse executado tal ação o ataque não ocorreria. São os famosos engenheiros de obra pronta.

Aqui faremos uma análise totalmente imparcial e técnica sobre o ocorrido. Sem achismos e cenários mirabolantes.

Vamos lá?

1 – Qual o foco do ransomware RansomExx?

Conforme post publicado pela Kaspersky em seu blog no dia 9 de dezembro de 2020, ransomware RansomExx (também conhecido pelo nome de Defray777) visa especificamente a exploração de vulnerabilidades no VMWare ESXi, para infectar discos rígidos virtuais (normalmente na extensão .vmdk). O ESXi é um sistema operacional Linux que gerencia máquinas virtuais no mesmo servidor físico.

Inclusive, vários artigos informam que trata-se de uma ameaça que não possui um C&C (servidor de comando e controle) em poder dos operadores do RansomExx. Mais adiante te conto que a coisa não é bem assim.

2 – Como o ransomware infectou a Renner?

Renner: Luz, câmera, um Ransonware em ação [ANÁLISE]!
Fonte da imagem: https://www.gazetadopovo.com.br/economia/breves/site-das-lojas-renner-e-alvo-de-ataque-hacker-e-sai-do-ar/

Acreditamos que os operadores do RansomExx exploraram as vulnerabilidades existentes (catalogadas nas CVEs CVE-2019-5544 e CVE-2020-3992, ambas relacionadas com a execução de comandos arbitrários) no OpenSLP (Service Layer Protocol), protocolo utilizado em ambientes virtualizados para detectar dispositivos de rede sem uma configuração prévia, dentre outras ações.

Estas vulnerabilidades permitem que um invasor envie solicitações SLP maliciosas para um servidor ESXi na mesma rede e assuma o seu controle. Esta ação pode funcionar mesmo se o ransomware não conseguir comprometer o servidor do vCenter na qual as instâncias do ESXi fazem logon.

Como o foco do ransomware é o ESXi, possivelmente um dos meios utilizados para adentrar no ambiente virtualizado foi inicialmente via client do vSphere (ou pelas credenciais armazenadas no navegador, utilizado para acessar o web client rodando no ESXi), ferramenta utilizada para acessar os servidores que rodam o ESXi, bem como gerenciar as máquinas virtuais hospedadas neles.

O Ransomware tendo acesso ao ESXi server, criptografará todos os arquivos .vmdk, .vmx, logs e outros armazenados no datastore, caso não exista uma medida de proteção implementada.

Renner: Luz, câmera, um Ransonware em ação [ANÁLISE]!
Exemplo de arquivos criptografados no datastore de um ESXi

Possivelmente a nota de resgate foi deixada no nível do datastore.

Como o ransomware em questão inicialmente também ataca ambientes Windows, ele poderia focar em servidores Windows que possuem o vCenter instalado, e a partir deste, infectar os discos virtuais armazenados no datastore dos ESXi servers.

3 – O problema na cadeia de suprimentos (Supply chain)

Renner: Luz, câmera, um Ransonware em ação [ANÁLISE]!
Fonte da imagem: https://dzone.com/articles/how-to-reduce-the-impact-of-supply-chain-attacks-b

DISCLAIMER: Neste tópico apenas farei suposições do que entendemos que seja possível ter ocorrido. Ok? Você verá palavras como teria, poderia, etc. Ou seja, não estou afirmando que isso realmente ocorreu. Blz? Bora lá!

Ataques cibernéticos ocorrendo na cadeia de suprimentos não são novidade. E agora não seria diferente. Como assim tio?

Muitas empresas terceirizam seus serviços de tecnologia. No caso da Renner a coisa poderia seguir estes mesmos moldes. Ex:

  • A Renner, que é cliente da Tivit, contrataria uma terceirizada para administrar seus servidores que estariam alocados na Tivit;
  • Esta empresa terceira, como é responsável por administrar os servidores da Renner alocados na Tivit, não teria aplicado os patches de segurança no VMWare ESXi,
  • o que teria aberto uma possível brecha de segurança para o ransomware explorar.

São suposições apenas. Qualquer semelhança será mera coincidência.

4 – Pontos interessantes

Renner: Luz, câmera, um Ransonware em ação [ANÁLISE]!
Fonte da imagem: https://www.eidebailly.com/cybersecuritytrends

Confira alguns pontos interessantes sobre o ransomware RansomExx:

  • O Ransomware RansomExx (aka Defray777) é uma ameaça direcionada, já que os arquivos teriam sido criptografados com o nome da empresa na extensão desses arquivos, bem como um arquivo de texto com a mensagem de resgate que também possuiria o nome da empresa. Este é um comportamento encontrado em outras vítimas, como o STJ por exemplo;
  • O modo de “entrega” (delivery), além do phishing, ocorre também via vulnerabilidades de softwares que não são corrigidas;
  • Os operadores do RansomExx também podem ter se aproveitado da vulnerabilidade Zerologon (no protocolo Netlogon do Windows), catalogada na CVE-2020-1472 para iniciar o processo de infecção. Eles enganam a vítima para que ela execute um código malicioso na máquina virtual, para depois assumirem o comando do controlador de domínio (Active Directory) e só então criptografaremm os arquivos, onde deixam a mensagem de resgate;
  • Possivelmente existiu uma máquina que chamamos de marco zero, o ponto inicial da infecção. Esta máquina tendo alguma comunicação com o ambiente virtualizado (seja via client do vSphere ou por URLs do web client salvas no navegador) pode ter sido usada para iniciar o processo de infecção;
  • Especula-se que o valor solicitado no resgate gire em torno de R$ 1 milhão a R$ 1 bilhão;
  • Indicadores de comprometimento, ou IOCs (Indicators of Compromise), são informações coletadas após a ocorrência de um ataque, e podem ajudar a melhorar a segurança da informação de uma empresa, como ferramentas de SIEM, que poderão detectar tentativas de ataques antes de realmente ocorrerem, por exemplo. Clique neste link para verificar quais são estes indicadores;
  • Como falei lá no início do post, onde diversos posts informam que o RansomExx não possui servidor de C&C, etc. Então caro(a) padawan, na verdade foi mapeado que existe sim um IP que atua como C&C nesta campanha contra a Renner. Confira na imagem a seguir:
Renner: Luz, câmera, um Ransonware em ação [ANÁLISE]!
Evidência do Indicador de Comprometimento mostrando que determinado IP atuava como servidor de C&C

Clique neste link para maiores detalhes sobre o endereço IP;

5 – Que medidas de seguranças podem ser tomadas?

Existem medidas que podemos tomar para proteger o nosso ambiente, tanto no ambiente virtualizado como em outros locais que o suportam. Dá uma olhada nestas dicas:

Atualize o ESXi

É extremamente importante manter a infraestrutura de virtualização atualizada com os últimos patches de segurança disponibilizados pela VMWare. Desta forma manteremos toda o ecosistema seguro;

Uma solução alternativa

Caso a atualização realmente não seja possível, a VMWare disponibilizou uma solução alternativa apenas para o ESXi, que envolve a desativação do serviço OpenSLP. Acesse este artigo para maiores informações;

Aplique o patch que corrige a vulnerabilidade Zerologon

O patch corrige a vulnerabilidade de elevação de privilégio conhecida como Zerologon, impedindo que o invasor estabeleça uma conexão via protocolo remoto Netlogon (MS-NRPC) em um controlador de domínio. O atacante que explorar com êxito a vulnerabilidade, poderá executar código arbitrário em qualquer equipamento da rede.

Clique neste link para acessar o boletim de segurança da Microsoft;

Habilite o TPM 2.0

O TPM 2.0 é um chip de hardware que a maioria dos servidores físicos atuais possuem. Ele permite que o sistema operacional (neste caso o ESXi) armaze secrets, chaves, etc, de maneira segura. Isso é usado pelo vCenter Servers para garantir que os arquivos de inicialização dos hosts ESXi não tenham sido alterados. Pode funcionar com o vSphere/ESXi 6.7 e mais recente.

Clique aqui para maiores informações;

Habilite a opção “Secure Boot”

O Secure Boot, ou Inicialização Segura, é um recurso da BIOS quando o modo UEFI está habilitado, e reforça a segurança do sistema operacional (ESXi), garantindo que todo o código carregado na inicialização seja assinado digitalmente e que não tenha sido adulterado.No entanto, pode ocorrer de alguns pacotes de terceiros (arquivos “VIBs”) que possuem o nível de aceitação incorreto e podem impedir que a inicialização segura funcione corretamente.

Para verificar se o seu host ESXi já possui a inicialização segura ativada e se existe algum obstáculo para ativá-la, execute os seguintes comandos na linha de comando no ESXi (via SSH ou ESXi Shell):

/usr/lib/vmware/secureboot/bin/secureBoot.py -s
/usr/lib/vmware/secureboot/bin/secureBoot.py -c

Exemplo de saída após digitar os comandos acima:

Créditos da imagem: https://blog.truesec.com/2021/04/13/secure-your-vmware-esxi-hosts-against-ransomware/#steps

Para maiores informações, consulte esta documentação do VMWare.

Habilite a opção execInstalledOnly

Esta configuração impede a execução de código personalizado dentro do ESXi e fará com que seu host se recuse a executar qualquer coisa que não tenha sido instalada por meio de um pacote VIB assinado de um parceiro certificado.Por padrão, a opção execInstalledOnly vem configurada como FALSE. Para verificar, apenas digite o comando abaixo no shell do ESXi ou via SSH:

esxcli system settings kernel list -o execinstalledonly

Caso a opção não esteja configurada, terá a seguinte saída:

Créditos da imagem: https://blog.truesec.com/2021/04/13/secure-your-vmware-esxi-hosts-against-ransomware/#steps

Para ativar a opção execInstalledOnly, digite:

esxcli system settings kernel set -s execinstalledonly -v TRUE

Na coluna “Configured”, a opção FALSE mudará para TRUE, como mostrado na imagem de exemplo abaixo:

Créditos da imagem: https://blog.truesec.com/2021/04/13/secure-your-vmware-esxi-hosts-against-ransomware/#steps

Note que na coluna “Runtime” a opção ainda será FALSE. Isso ocorre porque é necessário reiniciar (“bootar”, na linguem do pessoal da área hehe) o sistema para que as alterações tenham efeito. Após reiniciar, poderá conferir que a opção estará como TRUE nas colunas “Configured” e “Runtime”:

Créditos da imagem: https://blog.truesec.com/2021/04/13/secure-your-vmware-esxi-hosts-against-ransomware/#steps

No vSphere 7.0 U2, a configuração execInstalledOnly poderá ter uma proteção contra a violação por meio do recurso de proteção de configuração. Isso é feito por meio do seguinte comando na linha de comando:

esxcli system settings encryption set –require-exec-installed-only=TRUE

Para maiores informações, clique neste link.

Tenha um processo de gestão de vulnerabilidades
Créditos da imagem: https://www.tripwire.com/state-of-security/featured/the-five-stages-of-vulnerability-management/

Talvez esta seja uma das medidas mais importantes, pois é a partir dela que os items anteriores podem ser executados. Um processo de gestão de vulnerabilidades eficaz, que cubra toda a empresa e os parceiros de negócio (como os terceiros) faz toda a diferença na segurança da informação de uma organização.Esta gestão de vulnerabilidade envolveria:

  • Um inventário de todos os ambientes, pois precisamos primeiramente saber o que temos, para depois proteger, não é verdade?
  • A responsabilidade pelos ambientes precisa ser mapeada, ou seja, agora que sabemos o que temos, quem são os responsáveis por manter estes ambientes? Este mapeamento envolver conhecer todos os responsáveis pelos sistemas, independente dos níveis em que estiverem. Isso quer dizer que todos devem estar cientes dos responsáveis e suas responsabilidades. Ex: Se eu sou a empresa que fornece toda a infraestrutura para um cliente, e este, contrata um parceiro para administrar o seu ambiente que está na infraestrutura fornecida pela primeira empresa, TODOS os envolvidos precisam estar cientes das suas responsabilidades e das dos outros envolvidos em toda essa cadeia. Esta ciência das responsabilidades precisa ser assinada digitalmente por todos;
  • Agora chegamos ao processo de gestão de vulnerabilidades em si, que envolve:
    • o estabelecimento das criticidades das vulnerabilidades, bem como o prazo para a mitigação baseado nestas criticidades;
    • a varredura (AUTENTICADA) recorrente em todo o ambiente;
    • a abertura de tickets de vulnerabilidades para os times responsáveis pela implementação das correções;
    • o acompanhamento contínuo dos tickets de vulnerabilidades abertos;
    • Após as falhas serem corrigidas, realizar novos scans para validar as correções;
    • Além dos scans serem realizados após as correções, realizar pentests recorrentes.
Monitore o ambiente constantemente
Créditos da imagem: https://securityintelligence.com/security-monitoring-and-analytics-faster-time-to-action/

Utilize ferramentas de monitoramento para saber tudo o que ocorre no ambiente.

  • configure seus servidores para enviarem logs importantes para um SIEM ou Syslog Server;
  • tenha bons antivírus instalados em todos os servidores e acompanhe tudo o que ocorre neles por meio da console de gerenciamento ou até mesmo pelo SIEM;
  • acompanhe boletins de segurança referente aos produtos que utiliza na organização. Ao constatar que determinado produto possui vulnerabilidades, verifique junto ao fabricante o processo de correção;
  • um time de resposta a incidentes de segurança da informação (CSIRT) deve se fazer presente.
Conscientização de todos os envolvidos
Créditos da imagem: https://driveittech.in/it/

O fator humano com certeza é de longe um dos maiores, senão o maior, causador dos ataques cibernéticos, salvas as devidas proporções, claro.

Pessoas mal treinadas sobre as questões de segurança, que não sabem a importância e o risco de segurança que as cercam, podem comprometer todo um sistema, apenas por ter clicado em “simples” link e baixado um “inofensivo” arquivo.

É neste ponto que entram as campanhas de conscientização de segurança. Elas possuem o objetivo de treinar e conscientizar os colaboradores de uma organização sobre como deveriam agir em determinadas situações.

Confira abaixo alguns pontos interessantes:

  • Realize campanhas de conscientização recorrentes, de preferência de forma mensal. Ex: campanhas de phishing;
  • Realize workshops com toda e empresa em com grupos selecionados, de forma a segregar a passagem de conhecimento;
  • Não deixe a coisa ficar no limbo. Toda semana dispare e-mails com dicas sobre segurança da informação;
  • Existem plataformas de gamificação que podem ajudar, e muito, neste processo de conscientização. Seus colaboradores poderão ainda aprender sobre cibersegurança “brincando”;
  • Insira neste contexto todos os funcionários e empresas terceiras que possuem relações comerciais com a sua organização.

6 – CONCLUSÃO?

Então caro(a) padawan. Como não temos acesso à informações realmente privilegiadas (de dentro da Renner ou Tivit) sobre o ataque, ficamos no campo da suposição, mas analisamos fatos que são tecnicamente possíveis de ocorrer em um ataque como este que ocorreu com a Renner.

Como falei no início do post, não ficamos de achismos ou de inventar coisas mirabolantes sobre o que poderia de fato ter ocorrido. E mais ainda, não podemos ficar criticando a Renner sobre isso tudo. Relações comerciais com parceiros são muito complexas, existem muitos fatores a serem vistos. Ter uma posição de imediato e sair apontando o dedo não é algo legal de se fazer.

Esperamos que a Renner consiga o mais breve possível colocar no ar todos os serviços. E que esse ocorrido possa servir de exemplo para a área de tecnologia como um todo.

Este post estará em constante atualização, caso tenhamos novidades.

Este espaço estará aberto para as empresas que quiserem se manifestar sobre o ocorrido.

Fique ligado(a)!

Fontes:

https://www.cisoadvisor.com.br/ransomexx-assina-ataque-as-lojas-renner/

https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2020-1472

https://www.cybereason.com/blog/cybereason-vs.-ransomexx-ransomware

https://borncity.com/win/2021/02/02/ransomexx-ransomware-gruppe-zielt-auf-vmware-esxi-schwachstellen/

https://blog.truesec.com/2021/04/13/secure-your-vmware-esxi-hosts-against-ransomware/#steps

https://www.crowdstrike.com/blog/carbon-spider-sprite-spider-target-esxi-servers-with-ransomware/

https://www.paloaltonetworks.com/content/dam/pan/en_US/assets/pdf/reports/Unit_42/unit42-ransomware-threat-report-2021.pdf

PS:

Não tenho limites para onde posso ir. Sou como a água que passa por uma peneira, se um dos furos estiver fechado, procuro instintivamente outro por onde eu possa entrar e assim chegar do outro lado. Não tenho limites para onde poderei ir a partir deste ponto.

Causarei grandes estragos, tirarei sistemas do ar, mancharei reputações, empresas sucumbirão, etc. Estas consequências fazem parte da minha natureza. Fui programado para criptografar os dados e solicitar resgate à vítima, para quem sabe, e não não poderei garantir, fornecer o acesso aos arquivos novamente.

Meu objetivo de ataque varia. Tudo vai da cabeça dos meus criadores. Mas uma coisa tenho certeza: “sei” perfeitamente qual é o alvo a atacar. O meu sucesso depende de como é a vítima, se ela vai me ativar ou não. À partir daí você já sabe o que acontece.”

What's your reaction?

Excited
0
Happy
1
In Love
0
Not Sure
1
Silly
0
O Analista
Adoro letras verdes sob um fundo preto...

You may also like

More in:Security