Blog Voicefy
Voltar ao site

Play Ransomware Explora Falha Crítica do Windows para Acessar Sistemas Corporativos

Por Mizael Xavier
Play Ransomware Explora Falha Crítica do Windows para Acessar Sistemas Corporativos

Nova Campanha do Play Ransomware Utiliza Vulnerabilidade do Microsoft Exchange

O grupo de ransomware conhecido como Play (ou PlayCrypt) está ativamente explorando uma falha de segurança crítica recentemente descoberta em servidores Microsoft Exchange para obter acesso inicial a redes corporativas. A vulnerabilidade, catalogada como CVE-2022-41080, combinada com a CVE-2022-41082, permite a Execução Remota de Código (RCE) e tem sido uma porta de entrada para ataques de extorsão dupla, onde dados são roubados antes de serem criptografados.

O Play Ransomware, ativo desde junho de 2022, tem se destacado por seus ataques direcionados a uma ampla gama de setores, incluindo infraestruturas críticas, na América do Norte, América do Sul e Europa. Até outubro de 2023, o FBI já havia contabilizado aproximadamente 300 entidades afetadas por este grupo. A exploração destas vulnerabilidades do Microsoft Exchange, conhecidas coletivamente como ProxyNotShell ou OWASSRF, representa uma escalada nas táticas do grupo, permitindo-lhes contornar as mitigações anteriormente fornecidas pela Microsoft.

Táticas, Técnicas e Procedimentos (TTPs) do Play Ransomware

O Play Ransomware é conhecido por sua abordagem metódica e multifacetada. Após obter o acesso inicial, frequentemente através da exploração de vulnerabilidades como as do FortiOS da Fortinet e do Microsoft Exchange, ou através de credenciais válidas comprometidas, o grupo emprega diversas ferramentas e técnicas para se movimentar lateralmente na rede, escalar privilégios e exfiltrar dados.

Entre as ferramentas comumente utilizadas estão:

  • AdFind: Para consultas ao Active Directory e coleta de informações da rede.
  • Mimikatz: Para extração de credenciais.
  • PsExec: Para execução remota de comandos e distribuição do ransomware.
  • WinSCP e FileZilla: Para transferência de arquivos e exfiltração de dados.
  • Cobalt Strike: Uma ferramenta de pós-exploração para manter persistência e controle.
  • AnyDesk e ScreenConnect: Softwares de acesso remoto legítimos, frequentemente abusados para manter o acesso.

O grupo também utiliza técnicas de "living-off-the-land" (LOLBins), aproveitando ferramentas nativas do sistema operacional para realizar suas atividades maliciosas, dificultando a detecção. Além disso, empregam técnicas anti-análise e ofuscação para proteger seus payloads de ransomware e dificultar a engenharia reversa.

A exfiltração de dados é uma etapa crucial antes da criptografia. Os dados roubados são frequentemente divididos em segmentos, compactados (usando ferramentas como WinRAR) e enviados para servidores de comando e controle (C2) controlados pelos atacantes. Posteriormente, os sistemas são criptografados utilizando uma combinação de algoritmos robustos como AES e RSA, e a extensão ".PLAY" é adicionada aos arquivos afetados. A nota de resgate geralmente instrui as vítimas a contatar os invasores por e-mail para negociar o pagamento, tipicamente em criptomoedas.

Impacto e Mitigação dos Ataques do Play Ransomware

Os ataques do Play Ransomware têm causado interrupções significativas e perdas financeiras para as organizações afetadas. Vítimas de alto perfil incluem a cidade de Oakland na Califórnia, a gigante varejista de carros Arnold Clark, a empresa de computação em nuvem Rackspace e a cidade belga de Antuérpia. No Brasil, o grupo também demonstrou atividade, sendo um dos principais alvos iniciais na América Latina.

Agências governamentais como a CISA (Cybersecurity and Infrastructure Security Agency), o FBI (Federal Bureau of Investigation) e o ACSC (Australian Cyber Security Centre) emitiram alertas conjuntos sobre as atividades do Play Ransomware, fornecendo indicadores de comprometimento (IoCs) e recomendações de mitigação.

As principais medidas de defesa e mitigação incluem:

  • Gerenciamento de Vulnerabilidades: Priorizar a aplicação de patches para vulnerabilidades conhecidas, especialmente no Microsoft Exchange (CVE-2022-41080, CVE-2022-41082) e FortiOS.
  • Autenticação Forte: Implementar autenticação multifator (MFA) para todas as contas, especialmente as de administrador.
  • Segmentação de Rede: Limitar a capacidade de movimentação lateral dos atacantes.
  • Monitoramento de Rede: Detectar atividades suspeitas e tráfego anômalo.
  • Backups Regulares e Seguros: Manter backups offline e testar regularmente os planos de recuperação.
  • Segurança de Endpoints: Utilizar soluções de detecção e resposta de endpoint (EDR) e antivírus atualizados.
  • Treinamento de Conscientização: Educar os funcionários sobre phishing e outras táticas de engenharia social.
  • Desativação de Protocolos Obsoletos: Garantir que protocolos como SMBv1 não estejam em uso.

A exploração da vulnerabilidade CVE-2022-41080 pelo Play Ransomware destaca a importância de uma postura de segurança proativa e da rápida aplicação de correções de segurança para proteger os ativos críticos das organizações contra ameaças cibernéticas cada vez mais sofisticadas.

O que é a vulnerabilidade ProxyNotShell/OWASSRF (CVE-2022-41040 e CVE-2022-41082)?

As vulnerabilidades CVE-2022-41040 (uma falha de Server-Side Request Forgery - SSRF) e CVE-2022-41082 (uma falha de Execução Remota de Código - RCE) afetam os servidores Microsoft Exchange. Quando exploradas em conjunto, permitem que um invasor autenticado execute código arbitrário remotamente nos servidores vulneráveis. Pesquisadores de segurança apelidaram a cadeia de exploração dessas vulnerabilidades de "ProxyNotShell" ou "OWASSRF". O Play Ransomware tem utilizado ativamente essa cadeia de exploração para obter acesso inicial aos sistemas de suas vítimas.

Mizael Xavier

Mizael Xavier

Desenvolvedor e escritor técnico

Ver todos os posts

Compartilhar:

Posts relacionados