O sucesso contínuo dos ataques do grupo de ransomware RansomHub, mesmo após as correções das vulnerabilidades CVE-2020-1472 (ZeroLogon) e CVE-2023-3519 (Citrix NetScaler ADC/Gateway), pode ser explicado por uma combinação de fatores técnicos, operacionais e humanos. Vamos analisar isso em detalhes:
1. Sistemas Não Atualizados ou Mal Configurados
Embora as correções para ambas as vulnerabilidades tenham sido lançadas há um tempo (ZeroLogon em agosto de 2020 e CVE-2023-3519 em julho de 2023), muitas organizações ainda não aplicaram os patches ou não atualizaram seus sistemas. Isso pode acontecer por vários motivos:
- Falta de Prioridade: Algumas empresas, especialmente pequenas e médias, não têm equipes de TI dedicadas ou subestimam a importância de atualizações regulares.
- Sistemas Legados: Dispositivos ou servidores antigos podem não suportar as versões mais recentes do software, deixando-os vulneráveis.
- Configurações Erradas: Mesmo com patches aplicados, configurações inadequadas (como portas expostas ou regras de firewall mal definidas) podem permitir que atacantes explorem sistemas.
Por exemplo, relatórios da CISA e da Sophos indicam que, até 2025, milhares de appliances NetScaler ainda estão expostos na internet sem as atualizações para CVE-2023-3519, e o mesmo ocorre com servidores Windows vulneráveis ao ZeroLogon.
2. Exploração Inicial e Persistência
O RansomHub, como outros grupos de ransomware modernos, não depende exclusivamente de uma única vulnerabilidade. Eles utilizam essas falhas como portas de entrada iniciais, mas, uma vez dentro da rede, estabelecem persistência:
- Ataques Pré-Patch: Muitas vítimas podem ter sido comprometidas antes de aplicarem os patches. O ZeroLogon, por exemplo, foi amplamente explorado em 2020 por grupos como Ryuk e Conti, e os backdoors ou credenciais roubadas naquela época ainda podem estar em uso.
- Ferramentas de Persistência: Após a exploração inicial (via CVE-2020-1472 ou CVE-2023-3519), o RansomHub instala ferramentas como Cobalt Strike ou outras para manter acesso à rede. Mesmo que o sistema seja corrigido depois, os atacantes já estão dentro.
- Movimento Lateral: O ZeroLogon permite elevação de privilégios em controladores de domínio (DCs), dando aos atacantes controle total sobre a rede. Se isso não for detectado e mitigado, o patch não elimina a presença dos atacantes.
3. Táticas Diversificadas do RansomHub
O RansomHub não depende apenas de vulnerabilidades específicas como CVE-2020-1472 ou CVE-2023-3519. Eles utilizam um conjunto variado de táticas para comprometer redes:
- Phishing e Engenharia Social: Muitas vezes, o ponto de entrada é um e-mail de phishing que engana usuários para baixar malware ou fornecer credenciais. Isso não depende de vulnerabilidades técnicas, mas sim de erro humano.
- Exploração de Outras Vulnerabilidades: O RansomHub é conhecido por explorar falhas mais recentes, como CVE-2024-4577 (vulnerabilidade no PHP) ou CVE-2024-28995 (SQL Server), que podem não estar corrigidas em todos os sistemas.
- Ataques a Cadeias de Suprimentos: O grupo também ataca parceiros ou fornecedores de suas vítimas principais, usando-os como vetores para acessar redes maiores.
4. Foco em Dupla Extorsão e Exfiltração de Dados
O RansomHub utiliza a estratégia de dupla extorsão, que não depende apenas de criptografar sistemas, mas também de roubar dados sensíveis:
- Exfiltração Antes da Criptografia: Mesmo que uma organização tenha backups e possa se recuperar de um ataque de ransomware, a ameaça de vazamento de dados (como informações de clientes ou segredos comerciais) força muitas vítimas a pagar o resgate.
- Pressão Pública: O RansomHub publica amostras de dados roubados em seu site de vazamento na dark web, aumentando a pressão sobre as vítimas. Isso torna o impacto do ataque mais amplo do que apenas a criptografia.
5. Falta de Detecção e Resposta
Muitas organizações não têm sistemas robustos de detecção e resposta (EDR/XDR) ou monitoramento contínuo:
- Atraso na Detecção: O RansomHub pode permanecer em uma rede por semanas ou meses antes de executar o ransomware, dando tempo para exfiltrar dados e planejar o ataque.
- Falta de Auditoria: Após aplicar patches, poucas empresas verificam se já foram comprometidas anteriormente. Por exemplo, a CVE-2023-3519 foi explorada em massa por grupos como LockBit antes do patch, e o RansomHub pode estar reutilizando acessos obtidos naquela época.
6. Evolução do RansomHub
O RansomHub surgiu em fevereiro de 2024 e é considerado uma evolução do ransomware Knight, possivelmente com membros de grupos desmantelados como ALPHV/BlackCat. Sua capacidade de adaptação é um fator chave:
- Reutilização de Táticas: Eles aprenderam com grupos anteriores, como o LockBit, e utilizam exploits conhecidos (como ZeroLogon e CVE-2023-3519) contra alvos que ainda não se protegeram.
- Ataques Oportunistas: O RansomHub frequentemente ataca organizações menores ou menos preparadas, que têm menos recursos para se defender ou responder a ataques.
7. Contexto Específico das Vulnerabilidades
- CVE-2020-1472 (ZeroLogon): Embora corrigida em 2020, a exploração permite que atacantes assumam o controle de um controlador de domínio em minutos, comprometendo toda a rede. Muitas organizações não implementaram as atualizações ou não desativaram o Netlogon em configurações vulneráveis.
- CVE-2023-3519 (Citrix NetScaler): Appliances NetScaler expostos na internet continuam sendo alvos fáceis, especialmente se não foram atualizados. Além disso, o RansomHub pode usar essa vulnerabilidade para obter acesso inicial e, em seguida, explorar outras fraquezas na rede.
8. Como Mitigar o Risco do RansomHub?
Para evitar ataques do RansomHub, mesmo com essas vulnerabilidades corrigidas, as organizações precisam adotar uma abordagem de defesa em profundidade:
- Aplicar Patches Imediatamente: Certifique-se de que todas as vulnerabilidades conhecidas, como CVE-2020-1472 e CVE-2023-3519, estão corrigidas, e audite sistemas regularmente.
- Monitoramento Contínuo: Use ferramentas de detecção para identificar atividades suspeitas, como tentativas de movimento lateral ou exfiltração de dados.
- Treinamento de Usuários: Reduza o risco de phishing com treinamentos regulares.
- Backups Seguros: Mantenha backups offline e testados para evitar depender de pagar resgates.
- Segmentação de Rede: Limite o acesso entre sistemas para dificultar o movimento lateral dos atacantes.
- Resposta a Incidentes: Tenha um plano de resposta a incidentes para agir rapidamente caso um ataque ocorra.
O nosso time de inteligência em cibersegurança pode auxiliar a sua empresa a se defender de ataques digitais com implementação de controles, processos bem definidos e com gestão de vulnerabilidades. CONHEÇA NOSSOS SERVIÇOS.
