O ataque que parou as redes informáticas do Hospital Garcia de Orta desde finais de abril e que a 8 de maio continuava em "situação de contingência" deve merecer a máxima atenção: Desde logo porque representa que estes grupos de cibercriminosos não têm barreiras morais e que não hesitam em atacar escolas ou hospitais visando, sem ética nem puder, crianças e doentes. E que dado que funcionam por detrás das fronteiras russas e chinesas funcionam com impunidade, apoio ou a cumplicidade impune dos seus governos..Segundo notícia recente da Visão por detrás destes ataques estará o Hive um APT (advanced persistent threat) de nome "Hive". Este grupo esteve activo, pela primeira vez, junho de 2021 e especializou-se em alvos em organizações não lucrativas, fornecedores de energia, retalhistas e, precisamente unidades de saúde. A Hive ("Colmeia") funciona num modelo "RaaS" ("Ransomware-as-a-Service") alugando o seu software a grupos afiliados que depois executam as suas operações..Como funciona o kit de malware da Hive?.1. As redes são invadidas através de mails de Phishing com anexos maliciosos mas também adquirem na darkweb credenciais de VPN e vulnerabilidades em sistemas expostos na Internet..Como nos podemos proteger destas formas de invasão?.a) Dê formação regular aos seus utilizadores..b) Realize testes de phishing simulado e identifique necessidades de formação e meça regularmente a resistência dos seus utilizadores a este tipo de ameaça..c) Mude regularmente as credenciais de vpn, mude também os nomes de utilizador e, sempre que possível, use também formas de autenticação por múltiplo factor (MFA) para a VPN e para todos os outros acessos a recursos na rede interna na organização..d) Mantenha todos os sistemas actualizados (especialmente os que estão expostos à Internet) e realize testes de penetração regulares que identifiquem fragilidades e permitam a correcção atempada de vulnerabilidades..2. O malware da Hive é conhecido pelo seu muito curto tempo de latência entre o tempo da invasão e o começo da actividade de exfiltração e encriptação de ficheiros..O que pode fazer?.Use sistemas de alerta por mail e SMS para situações anómalas. Quando os seus ficheiros começarem a serem encriptados haverão sistemas automáticos que começarão a falhar em série: esteja atento a falhas sistémicas..3. O malware começa por desligar os antivírus nos equipamentos alvo e começa a exfiltrar dados e a encriptar, depois, esses ficheiros. Em algumas instâncias dos seus ataques mediaram apenas 3 dias entre o comprometimento de sistemas e a eclosão da operação de exfiltração e encriptação de dados (em média muito menos do que é mais comum neste tipo de incidentes)..4. Depois de conseguir o controlo de alguns sistemas o malware da Hive usa algumas vulnerabilidades do Exchange server para executar um programa PowerShell num webshell.Como se proteger:.a) Avalie a mudança de uma instalação local de Exchange para uma solição alojada num parceiro ou na cloud (como o Office 365 ou o Google Workplaces).b) Se insistir em manter uma instalação local do Exchange garanta que esta está devidamente actualizada. As vulnerabilidades usadas pelo Hive foram detectadas em agosto de 2021 e corrigidas já há muito..c) Avalie se é possível bloquear a execução de scripts Powershell, de forma abrangente, na sua rede..6. O código powerhshell entra na fase de "staging" em que se organiza instalando para pastas, sonda as configurações de rede e máquina e edita o registry das máquinas afectadas. Nesta fase o Hive usa a framework Cobalt Strike como solução de "Command and Control" (C2). Como se proteger:.Desactive o powerhshell em todos os sistemas em que sua execução não é estritamente necessária..7. Já no controlo e com permissões de SYSTEM obtidas no webshell é criado um user "user" que é adicionado aos grupos locais das máquinas afectadas "Administrators" e "Remote Desktop Users" e começa o processo de recolha de credenciais usando o Mimikatz. No processo são obtidas credenciais de Domain Admin e guardadas num ficheiro de texto..Como se proteger:.a) Não use credenciais de Domain Admin para se logar em sistemas de utilizadores.b) Instale as últimas versões de Windows 10 e ativa a protecção da "LSA Protection" (RunAsPPL).c) Tenha sistemas de alerta por mail para cada novo utilizador criado e, em particular, sendo um Domain Admin.d) Faça um sistema de alerta para adições de utilizadores aos grupos locais das máquinas da sua rede "Administrators" e "Remote Desktop Users": especialmente nos seus servidores..e) Quando alguém entrar num servidor com credenciais de Domain Admin certifique-se que essa conta é loggedoff: crie sistemas de alertas para contas disconnect em servidores e segregue o uso destas contas entre servidores e computadores de utilizadores. Configure o RDC por forma a fechar sessões de contas disconnect ao fim de algum tempo..8. O malware entra depois na fase de investigação e recolha de dados. Em particular sabe-se que procura ficheiros com "password" no nome de ficheiro. Usam também nesta fase network scanners (como o SoftPerfect Portable, o scan.exe e o advanced port scanner.exe) salvando o resultado para o ficheiro domains.txt e analisadores de pacotes (provavelmente em busca de passwords em clear text). Recolhem também os nomes e IPs das máquinas na rede. É nesta fase que procuram aceder por RDP aos servidores de backup com o objectivo de, mais tarde, apagar os backups e impedir a reposição dos sistemas em caso de ataque.Como se proteger:.a) Faça o seu próprio scanner e procure ficheiros com passwords e instrua os seus utilizadores para não colocarem passwords em ficheiros. Procure e alerte pelo ficheiro domains.txt e o p.bat (que faz o scan).b) Verifique se aparecem scanners de rede nos computadores que não foram instalados pela sua equipa de IT.c) Desligue o controlo remoto por RDC para os seus servidores de backups e use outro software para essa finalidade.d) Se tem sistemas de autenticação por HTTP que fazem circular na rede passwords de domain em clear text migre-os para HTTPS.e) Garanta que tem, sempre, backups offline, por exemplo para várias NAS que vai rodando e que tem, em ciclo, offline..f) Use o Microsoft LAPS por forma a não ter as mesmas credenciais de administração em várias máquinas..g) Acabe com o uso de file shares em servidores 2003 e com o SMBv1.9. Um dos vectores desta infecção é o ficheiro Windows.exe que parece ser o responsável que corre nos equipamentos comprometidos e encripta os ficheiros da organização. É este executável que coloca nos sistemas afectados um ficheiro de texto "_HOW_TO_DECRYPT.txt" referindo a infecção e requerendo o pagamento do resgate..Este windows.exe além de encriptar ficheiros, tenta desligar antivírus, apagar os logs do EventLog e fechar ficheiros abertos em servidores de file sharing por forma a garantir níveis máximos de encriptação..Como se proteger:.a) Use um antivírus que bloqueia a execução de ficheiros .exe a partir de certas localizações (como o c:\\temp ou o perfil do utilizador).b) Ative o Use Software Restriction Policies e AppLocker policies para travar a execução deste tipo de ficheiros e, em particular, do windows.exe, (o net.exe: se não o usar regularmente), o reg.exe (idem) e o wevutil.exe.c) Crie sistemas de alertas de cada vez que um EventLog é apagado e se existirem, de súbito, grandes quantidades de antivírus a serem desligados através do uso do wevutil.exe.10. Nesta fase há comunicações das máquinas afectadas e alguns IPs por HTTP e HTTPS designadamente durante os scannings Cobalt Strike C2 e Log4j.Como se proteger:.a) Se ainda não usa instale um proxy server que centraliza e loga todos os acessos à Internet.(Nota: o autor escreve segundo o Antigo Acordo Ortográfico).Rui Martins, CpC - Cidadãos pela Cibersegurança