R4IoT: nova abordagem para ataques de ransomware

Quem achou que já tinha visto de tudo em termos de ransomware, enganou-se. O Vedere Labs, da empresa Forescout, apresentou recentemente um relatório que descreve como um novo tipo de ataque de ransomware explora dispositivos da Internet das Coisas (IoT) como vetor para realizar invasões. O laboratório prevê que esse será o próximo passo da evolução do ransomware e cunhou o nome “Ransomware for IoT” ou R4IoT para essa nova abordagem. O estudo detalha como os dispositivos IoT podem ser usado para que os invasores ganhem acesso e possam ser movimentar lateralmente entre redes IT e OT para trazer problemas para suas operações.

A prova de conceito conduzida pelo laboratório demonstra que esse novo esquema de ransomware explora duas tendências: a proliferação de dispositivos IoT nas organizações e a convergência de redes IT e OT. Usa inicialmente dispositivos vulneráveis, como câmeras IP ou equipamentos de armazenamento conectados a redes (Network-Attached Storage – NAS), como ponto de acesso. Em seguida, explora a convergência entre redes IT e OT para manter dispositivos OT como reféns, adicionando assim uma camada de extorsão à campanha de ataque.

Segundo a Forescout, este é o primeiro trabalho a combinar os mundos de TI, OT e IoT e ter uma prova de conceito completa para ataques de ransomware, desde o acesso inicial via dispositivos IoT até o movimento lateral nas redes de TI para depois gerar impacto nas redes OT. Além da criptografia, a prova de conceito em equipamentos de TI inclui a implantação de software de mineração de criptografia e exfiltração de dados. O vídeo abaixo simula um ataque R4IoT a um hospital que explora uma vulnerabilidade a uma câmera IP de vídeo.

R4IoT: When Ransomware Meets the Internet of Things – Forescout

Além da demonstrar como funciona um ataque R4IoT, o relatório apresenta maneiras de reduzir a chance de invasão e mitigar os impactos negativos caso esse tipo de incidente aconteça, baseadas em três linhas de ações: Identificar e Proteger, consultando informações sobre ativos de IoT e OT vulneráveis que estão sendo explorados e priorizando sua proteção; Detectar, entendendo as principais táticas, técnicas e procedimentos (TTP) de ransomware; e Responder e Recuperar, mantendo atualizadas políticas, controles e planos de resposta.

Ataques cibernéticos envolvendo IoT e OT são parte de uma evolução que teve início com a ação criminosa de simplesmente criptografar dados, para depois passar para ameaças de divulgá-los publicamente, casos em que envolvem geralmente informações confidenciais ou de clientes. Agora também há ferramentas sofisticadas de ransomware vendidas como serviço (RaaS) e grandes campanhas de extorsão em fases. E a evolução do cenário do ransomware está longe de terminar porque os invasores ainda têm uma grande superfície de ataque para explorar. 

Para a Forescout, o R4IoT pode ser visto como inovador na forma como combina a exploração de vulnerabilidades em ambientes IoT/OT com uma campanha tradicional de ataque ransomware. Além disso, seu potencial  impacto nas redes OT é geral, ou seja, não está limitada a nenhum tipo específico de operação nem sistema operacional, muito menos de equipamento (por exemplo, automação industrial). Também não requer persistência nem alteração de firmware dos dispositivos-alvo e pode funcionar em larga escala em de dispositivos afetados por vulnerabilidades da pilha TCP/IP.

De acordo com o Verizon Data Breach Investigations Report (DBIR) de 2021, mais de 80% dos incidentes cibernético têm motivação financeira, e ataques de ransomware são atualmente a principal fonte de dinheiro dos cibercriminosos.

Modos operandi

Existem mais de 1.000 variantes de ransomware identificadas, para usar um termo amplamente usado atualmente. O FBI comparou a missão de investigar atual onda de ataques cibernéticos e cerca de 100 diferentes tipos de ransomware, rastreando hackers em vários países, ao desafio enfrentado durante os ataques terroristas de 11 de setembro de 2001. 

Cada grupo de ransomware se comporta de forma ligeiramente diferente, utilizando diversas ferramentas, infraestruturas e métodos de extorsão. No entanto, as táticas e técnicas empregadas durante os ataques são muito parecidas, explica a Forescout. 

Em geral, um ataque de ransomware se divide em três etapas: acesso inicial, movimento lateral e produção dos impactos. Para conquistar o acesso indevido, os invasores, em geral, explorando vulnerabilidades de software local ou fazem ataques com base em credenciais (por exemplo, força bruta). Segundo a Forescout, vulnerabilidades em dispositivos/serviços perimetrais, como VPNs e aplicativos na nuvem, são frequentemente usados para obter acesso não autorizados. Métodos de phishing que executam código mal-intencionado também são formas comuns de invasão.

Após a invasão bem-sucedida, os agentes de ransomware têm à disposição três tipos de ferramentas: a que identificam e exploram vulberabilidades (exploit/pen-testing frameworks, como CobaltStrike e Mimikatz), as de hacking sob medida (cada vez menos populares) e as internas do Windows (como RDP, WMIC, net, ping e PowerShell, atualmente, as mais comuns porque já estão disponíveis e são mais difíceis de serem identificadas como maliciosas). RDP, por exemplo, foi usado em 90% dos ataques em 2021.

Depois de terem infectados as máquinas, os invasores podem criptografar os arquivos e vazer dados coletados. Costumam deixar um arquivo de texto notificando as vítimas sobre o ataque e dando instruções para pagamento do resgate. 

Em geral, essas três etapas não são executadas pelo mesmo grupo. É comum ver hoje grupos que oferecem ransomware como serviço (RaaS), que desenvolvem o sistema de criptografia, distribuem para afiliados e recebem parte do pagamento do resgate. De outro lado, outros grupos chamados agentes de acesso inicial (Initial Access Brokers – IABs), comercializam o acesso às redes, normalmente na forma de credenciais válidas ou máquinas comprometidas por malware. Há ainda outros grupos clandestinos que fornecem serviços de hospedagem para distribuição de malware, bem como servidores de comando e controle.