Além de tentar explorar o RDP por meio de ataques de força bruta ou da compra de dados de login no mercado clandestino, a exploração de vulnerabilidades é uma das técnicas mais utilizadas pelas diferentes famílias de ransomware para obter acesso aos dispositivos das vítimas e, posteriormente, às redes corporativas. Nos referimos a falhas desde zero-day a vulnerabilidades antigas reportadas há alguns anos. Lembremos que, em tempos de pandemia, as organizações foram obrigadas a depender do uso de certas tecnologias que permitiram continuar suas operações remotamente e que, neste contexto, grupos criminosos se aproveitaram de vulnerabilidades em ferramentas de acesso remoto, como as CVEs em Produtos da Citrix e Pulse Secure, por exemplo.
Um exemplo que mostra como a cena do ransomware evoluiu foi o ataque do REvil, no qual eles se aproveitaram de uma vulnerabilidade zero-day no software Kaseya VSA que lhes permitiu realizar um ataque à cadeia de suprimentos e comprometer cerca de 1.500 empresas em todo o mundo. Outro caso recente foi da zero-day no MSHTML que afeta o Windows (CVE-2021-40444) - a Microsoft confirmou há poucos dias que a falha foi utilizada em campanhas que buscavam a distribuição de ransomware. No Brasil, tivemos os casos de ataques de ransomware ao Tribunal de Justiça do Estado do Rio Grande do Sul (TJ-RS), no ano passado, ao Tesouro Nacional e às Lojas Renner, os dois últimos neste ano. Estes são apenas alguns exemplos de casos em que gangues de ransomware tentaram explorar novas vulnerabilidades logo após serem descobertas. O que essa perigosa realidade revela é que os cibercriminosos por trás desses grupos estão definitivamente à espreita e têm a capacidade de obter ou mesmo criar exploits para novas ou desconhecidas vulnerabilidades, o que mostra os recursos de que dispõem.
Vulnerabilidades mais exploradas por grupos de ransomware
Nesse contexto, um grupo de pesquisadores criou uma lista na qual compilou mais de 40 vulnerabilidades que foram exploradas por um dos vários grupos de ransomware e seus afiliados para obter acesso inicial aos sistemas de suas vítimas. A iniciativa foi realizada pelo pesquisador Allan Liska por meio de sua conta no Twitter e contou com a participação da comunidade de especialistas que sugeriram diversas CVEs que foram utilizadas em algum ataque de ransomware.
So, we are up to 42 vulnerabilities across 17 technologies (with 1 pending) that ransomware groups exploit for initial access. This is why preaching “just patch” isn’t good enough. I don’t know what the answer is, but what we’re doing clearly isn’t working. https://t.co/oYBRUwTWf3
— Allan “Ransomware Sommelier🍷” Liska (@uuallan) September 17, 2021
Como destacamos anteriormente, o aumento do teletrabalho e a necessidade de uso de soluções e ferramentas VPN para trabalhar remotamente foi algo que ficou na mira dos cibercriminosos, uma vez que entre as tecnologias usadas para este tipo de ataque estavam soluções VPN como as da Pulse Secure ou Fortinet, além de outras tecnologias como Cytrix Hypervisor e Citrix Application Delivery Controller e Citrix Gateway, Microsoft Exchange Server, entre outras.
Diante desse cenário, é importante que as organizações analisem as tecnologias usadas com o intuito de avaliar sua própria superfície de ataque e, assim, tomem medidas para minimizar os riscos, principalmente se fazem uso das tecnologias mencionadas na lista.