Uma resposta proporcional e nativa de IA em ação
Fonte: 2021 Ransomware Threat Report – Darktrace
O Darktrace Antigena interrompeu autonomamente um ataque de ransomware de dia zero direcionado a um fabricante de eletrônicos. Apesar do fato de essa variedade de ransomware não estar associada a nenhum IoCs conhecido publicamente, a IA de autoaprendizagem frustrou o ataque em segundos, com apenas 4 arquivos sendo criptografados com sucesso.
Um dispositivo foi infectado com ransomware depois que um funcionário clicou em um link em um e-mail de phishing. O dispositivo foi observado pela primeira vez pela Darktrace fazendo um número incomumente grande de conexões, gravando vários arquivos SMB e transferindo dados internamente para um servidor com o qual normalmente não se comunicava.
Centenas de arquivos relacionados ao Dropbox foram acessados em compartilhamentos SMB, com vários desses arquivos sendo criptografados, anexados com uma extensão [HELP_DECRYPT].
Felizmente, a Resposta Autônoma entrou em ação um segundo depois. Ele reforçou o “padrão de vida” usual do dispositivo, interrompendo imediatamente a criptografia antes que o dano fosse feito – poupando o fabricante de tempo de inatividade operacional, pedidos perdidos e milhões em multas de clientes.
Fig. 1 – Quatro violações de modelo observadas e uma linha pontilhada representando as ações da Darktrace Antigena.
Capturando “WastedLocker” antes da detonação
A Darktrace detectou e investigou autonomamente uma invasão do “WastedLocker” em uma organização agrícola dos EUA. O Autonomous Response não foi configurado para agir neste caso, mas podemos ver como ele teria reagido para interromper o ataque antes da criptografia, aumentando sua resposta à medida que a ameaça avançava.
A infecção inicial ocorreu quando um funcionário foi enganado para baixar uma atualização falsa do navegador. Um dispositivo de desktop virtual começou a fazer conexões HTTP e HTTPS para destinos externos.
O Darktrace Antigena sugeriu bloquear instantaneamente o tráfego C2 na porta 443 e a varredura interna paralela na porta 135.
Fig 2 – O Threat Visualizer revela a ação que o Darktrace Antigena teria tomado.
Fig 3 – Como o Darktrace Antigena teria escalado sua resposta.
Mas sem o Darktrace Antigena no Modo Ativo, o ataque prosseguiu, com o cibercriminoso usando técnicas de “living of the land” para se autenticar em um controlador de domínio. Logo depois, uma transferência de arquivos “.csproj”suspeitos foi detectada e pelo menos quatro outros dispositivos começaram a exibir comunicações de comando e controle (C2) semelhantes, criptografadas com certificados legítimos.
Graças às detecções em tempo real da Darktrace – e ao Cyber AI Analyst investigando e relatando o incidente – a equipe de segurança conseguiu conter o ataque, colocando os dispositivos infectados offline.
Este ataque usou muitas ferramentas, técnicas e procedimentos (TTPs) notáveis para contornar ferramentas baseadas em assinaturas, bem como usar técnicas de ‘living of the land’. É plausível que, sem o Darktrace, o ransomware teria sido bem-sucedido em criptografar arquivos, impedindo operações comerciais em um momento crítico e possivelmente causando enormes perdas financeiras e de reputação.
Interrompendo a extorsão automatizada antes da criptografia
A Darktrace detectou e respondeu a uma campanha de extorsão que ocorreu em uma noite de sexta-feira. Enquanto a equipe estava ausente, a IA de autoaprendizagem interrompeu a ameaça antes que um único arquivo ou sistema fosse criptografado, tudo sem a necessidade de acionamento de especialistas em segurança, permitindo que a equipe aproveitasse o fim de semana.
O ataque começou quando um funcionário acessou seus e-mails pessoais de um smartphone corporativo e foi induzido a baixar um arquivo malicioso contendo ransomware. Segundos depois, o dispositivo começou a se conectar a um servidor externo na rede “Tor” e as atividades de criptografia SMB começaram.
Em apenas nove segundos, a Darktrace detectou a ameaça e acionou um alerta prioritário. Como o comportamento persistiu nos próximos segundos, a IA revisou seu julgamento sobre a gravidade da ameaça.
A IA de autoaprendizagem interrompeu o ataque de forma independente, interrompendo todas as tentativas de gravar arquivos criptografados em compartilhamentos de rede – o que significa que os dados confidenciais da organização foram mantidos seguros mesmo quando os especialistas não estavam de plantão.
Fig. 4 – A IA de autoaprendizagem identifica um ataque de ransomware, agindo na velocidade da máquina para neutralizar a ameaça.
Ransomware-as-a-Service: Como a IA lutou contra o Eking Ransomware
Em uma organização governamental na APAC, a Darktrace detectou e investigou um caso de ransomware Eking. Esse ataque provavelmente foi um exemplo de Ransomware-as-a-Service, uma preocupação crescente para as equipes de segurança em todo o mundo. Com detecção e investigação autônomas, a equipe de segurança conseguiu impedir que a ameaça avançasse – e causasse danos.
Um servidor interno foi infectado com Eking ransomware por meio de um vetor de ataque fora da visibilidade da Darktrace – provavelmente por e-mail, onde a IA de autoaprendizagem não foi implantada. A primeira atividade que a IA observou foi o dispositivo infectado envolvido em atividade de reconhecimento interno. Isso incluiu enumeração SMB, varredura extensiva em 10 portas comumente exploradas e indicadores do Nmap.
Quatro horas e meia após a conclusão da verificação, o servidor infectado começou a criptografar arquivos em um segundo servidor – tudo isso ocorreu tarde da noite, horário local. O dispositivo passou de fazer apenas algumas conexões internas por dia para fazer milhares em menos de uma hora. A Darktrace não apenas detectou isso, mas imediatamente começou a investigar a ameaça.
Fig. 5 – Um gráfico de conexões e atividades incomuns demonstrando quão significativo foi o desvio dessa atividade em relação ao comportamento normal do dispositivo.
Se o Darktrace Antigena também tivesse sido implantado, ele teria agido no primeiro estágio do ataque, quando a verificação inicial ocorreu, e impediu que o malware chegasse ao estágio de criptografia.
Mas do jeito que estava, a equipe de segurança ainda conseguiu agir mais rápido do que de outra forma e limitar os danos na manhã seguinte, graças aos insights acionáveis do Cyber AI Analyst.
Prevenindo Ransomware Antes do Paciente Zero
A Darktrace detectou e parou um cibercriminoso usando arquivos ISO para infligir malware em um distribuidor de alimentos na Espanha. Esse método de ataque ignorou as ferramentas tradicionais de segurança de e-mail em vigor, mas a compreensão dinâmica do Darktrace for Email dos “padrões de vida” normais dos usuários garantiu que o ataque fosse reconhecido e interrompido em seus estágios iniciais.
Como o ataque foi interrompido antes do “paciente zero”, é difícil saber exatamente como a ameaça teria acontecido. No entanto, a análise subsequente do arquivo habilitado para macro sugere que esse foi o primeiro estágio de um ataque de ransomware.
Os e-mails eram uma paródia inteligente e bem executada de um endereço de e-mail legítimo de um fornecedor. No entanto, a IA de autoaprendizagem reconheceu que o remetente nunca havia sido visto em nenhuma correspondência anterior na empresa.
O Darktrace apresentou um arquivo intitulado URGENTE_PO_120620.iso, sugerindo que o invasor estava tentando injetar um senso de urgência para solicitar que a vítima baixasse o arquivo.
A IA de autoaprendizagem da Darktrace também reconheceu que a extensão de arquivo “.iso” era altamente anômala para o grupo, o usuário e a organização como um todo. Ainda mais suspeito, o tamanho do anexo era incrivelmente pequeno (apenas 485,4 kB). Essas descobertas, em conjunto com as tags “New Contact” e “Wide Distribution” do e-mail, fizeram com que o Darktrace for Email retivesse o e-mail da caixa de entrada de todos os destinatários.
Isso significava que o ataque foi interrompido antes mesmo de começar, tudo sem que a equipe de segurança precisasse fazer nada.
Impedindo o Ransomware Double Extortion em uma empresa de energia
Em uma empresa de energia no Canadá, a Darktrace detectou e investigou todas as etapas de uma campanha de ransomware de extorsão dupla furtiva e rápida. Como resultado, a equipe foi capaz de dar uma resposta rápida.
A Darktrace identificou um servidor interno envolvido em varredura de rede incomum e tentativa de movimento lateral usando o Remote Desktop Protocol. Credenciais de administrador comprometidas foram usadas para se espalhar rapidamente do servidor para outro dispositivo interno, ‘servidores’.
Os ‘servidores’ do dispositivo iniciaram uma conexão de saída com o “TeamViewer”, antes de se conectarem a um servidor de arquivos interno, baixando 1,95 TB de dados e carregando-os no “pcloud.com”. Isso ocorreu durante o horário de trabalho para se misturar com a atividade regular do administrador. Após a conclusão da exfiltração de dados, os ‘servidores’ do dispositivo finalmente começaram a criptografar arquivos em 12 dispositivos.
Como na maioria dos incidentes de ransomware, a criptografia ocorreu fora do horário comercial – durante a noite no horário local – para minimizar a chance de a equipe de segurança responder rapidamente. Mas com a Darktrace investigando a ameaça, a equipe conseguiu dar uma resposta rápida no dia seguinte para manter as operações funcionando.
Fig. 6 – Incidente do Cyber AI Analyst para um dispositivo comprometido, detalhando um download interno incomum.
Como a IA teria parado o LockBit Ransomware criptografando mais de 300.000 arquivos
Durante um teste com uma empresa de varejo, a Darktrace detectou uma campanha de ransomware LockBit.
Ao contrário da maioria dos ataques de ransomware em que um agente de ameaças passa dias ou semanas dentro de um sistema antes da detonação, o LockBit requer apenas a presença de uma pessoa por algumas horas, após o que se propaga por um sistema e infecta outros hosts por conta própria. Fundamentalmente, o malware realiza reconhecimento e continua a se espalhar durante a fase de criptografia. Isso permite causar danos máximos mais rapidamente do que outras abordagens manuais.
O ataque começou quando um cibercriminoso obteve acesso a uma única credencial privilegiada. Com o uso dessa credencial, o dispositivo conseguiu espalhar e criptografar arquivos poucas horas após a infecção inicial.
Pouco depois, o primeiro de muitos comandos WMI (ExecMethod) para vários destinos internos foi executado por um endereço IP interno sobre DCE-RPC. Em três minutos, o dispositivo começou a gravar arquivos executáveis em SMB para compartilhamentos ocultos em vários destinos.
Em menos de duas horas, o comando ExecMethod foi entregue a um dispositivo crítico – o ‘host de criptografia’ – logo seguido por uma gravação de arquivo executável (eck3.exe) em seu compartilhamento c$ oculto. Um arquivo de recuperação – ‘Restore-My-Files.txt’ – foi identificado pelo Darktrace como alvo um segundo após o primeiro evento de criptografia. 8.998 arquivos de recuperação foram gravados, um para cada pasta criptografada.
Fig. 7 – Um exemplo do Threat Visualizer da Darktrace mostrando conexões SMB anômalas, com violações de modelo representadas por pontos.
Se ativado, o Darktrace Antigena teria bloqueado cirurgicamente as operações iniciais do WMI e as gravações da unidade SMB que acionaram o ataque, permitindo que os dispositivos de rede críticos continuassem as operações padrão. Mesmo se o ponto de apoio tivesse sido estabelecido, a IA de autoaprendizagem teria imposto o “padrão de vida” do host de criptografia, impedindo a cascata de criptografia sobre SMB.
Como a Resposta Autônoma estava desativada, mais de 300.000 arquivos foram criptografados e anexados com a extensão “.lockbit” – embora o Darktrace tenha detectado a ameaça antes do início da criptografia.
Quer saber qual a sua estratégia para lidar com ransomware? Acesse nosso conteúdo na íntegra.
