O ataque ao Instituto Politécnico de Leiria

Desde 2 de maio que o site do Instituto Politécnico de Leiria está indisponível. Embora, segundo a instituição, não tenha sido “formalizado qualquer pedido de resgate” o certo é que o instituto não tem nem site, nem a rede interna operacional estando neste momento, a 14 de maio, a decorrerem operações de reposição de serviço com recuperação parcial de alguns serviços como o e-mail e o acesso à Internet desde o dia 11.

Uma vez que nos seus ataques o Akira deixa nos servidores afectados um ficheiro “akira_readme.txt” com informação sobre o que aconteceu e links para o seu site de dados exfiltrados e com elementos para a negociação financeira recomendados que o IPL realize uma busca extensiva por este ficheiro. O texto deste ficheiro é, geralmente, uma variação de “As for your data, if we fail to agree, we will try to sell personal information/trade secrets/databases/source codes – generally speaking, everything that has a value on the darkmarket – to multiple threat actors at ones. Then all of this will be published in our blog”.

O ataque insere-se numa grande vaga que está a assolar os países da OTAN que enviaram tanques Leopard 2 para a Ucrânia e que colocou a botnet Passion, afiliada da Killnet (financiada directamente pelo regime de Putin) a atacar instituições médicas de EUA, Portugal, Espanha, Alemanha, Polónia, Finlândia, Noruega, Holanda e Reino Unido desde 27 de janeiro. Esta primeira vaga em que hacktivistas russos financiavam (a troco de 50 dólares por 3 dias ou 1440 por uma semana) o ataque de negação de serviço oferecido pela rede Passion no modelo “DDoS-as-a-Service” está agora a ser sucedido por uma nova vaga em que o novo APT Akira parece ser o ponta de lança dessa nova ofensiva cibernética.

Os métodos da Passion são semelhantes aos da Akira já que passam pelo desfiguração dos sites das vítimas a par de ataques de negação de serviço DDoS. Os ataques DDoS representam a primeira fase e, por vezes, quando não é obtido acesso aos sistemas das vítimas são a única componente. Segundo a Radware a Passion tem sido usada por grupos hacktivistas russos como o Anonymous Russia, MIRAI, Venom, e o próprio Killnet desde março do ano passado mas Portugal só apareceu como um alvo prioritário desde março deste ano.

Por seu lado, o ransomware Akira tem como alvo principal organizações de média dimensão e sobretudo no sector da Educação e do sector público contando entre as suas vítimas o norte-americano “BridgeValley Community and Technical College” atacado um dia antes do Politécnico de Leiria, a 1 de maio. Outras vítimas, no Reino Unido e na Europa foram alvos de pedidos de resgata de 100 mil e 50 mil euros pelo que este deverá ser tipo de valor que será pedido a Leiria, mais cedo ou mais tarde já que a motivação do Akira não é apenas política mas também financeira.

Como funciona o Akira?
1. O trojan é distribuído por mail e reside em sites wordpress que desconhecem que foram comprometidos.
2. Sistemas Windows são as vítimas desta organização.
3. Após o alvo ter carregado o programa malicioso este distribui vários payloads nos directórios %Local%, %Temp%, %Windows%, %SystemDrive%
%LocalLow%, %AppData%, %System% e %system32%.
3. São criadas várias entradas no registry nas entradas Run e RunOnce
4. A encriptação transforma os ficheiros em arquivos encriptados com a extensão .akira. Isso ocorre apenas depois dos ficheiros afectados terem sido exflitrados para a rede do atacante.
5. Os ficheiros atacados são das extensões .accdb, .accde, .accdc, .accdt, .accdr, .adb, .accft, .adf, .ade, .arc, .adp, .alf, .ora, .btr, .ask, .cat, .bdf, .ckp, .cdb, .cpd, .cma, .dad, .dacpac, .daschema, .dadiagrams, .db-shm, .db-wal, .dbf, .dbc, .dbt, .dbs, .dbx, .dbv, .dct, .dcb, .ddl, .dcx, .dlis, .dsk, .dqy, .dtsx, .dsn, .eco, .dxl, .edb, .ecx, .exb, .epim, .fdb, .fcd, .fmp, .fic, .fmpsl, .fmp12, .fol, .fpt, .gdb, .frm, .gwi, .grdb, .his, .hdb, .idb, .itdb, .ihx, .jet, .itw, .kdb, .jtx, .kexic, .kexi, .lgc, .kexis, .maf, .lwx, .mar, .maq, .mav, .mas, .mdf, .mdb, .mrg, .mpd, .mwb, .mud, .ndf, .myd, .nrmlib, .nnt, .nsf, .nyf, .nwdb, .oqy, .odb, .owc, .orx, .pdb, .pan, .pnz, .pdm, .qvd, .qry, .rctd, .rbf, .rodx, .rod, .rsd, .rpd, .sbf, .sas7bdat, .sdb, .scx, .sdf, .sdc, .spq, .sis, .sqlite, .sql, .sqlitedb, .sqlite3, .temx, .tps, .tmd, .trm, .trc, .udl, .udb, .usr, .vpd, .vis, .wdb, .vvv, .wrk, .wmdb, .xld, .xdb, .abcddb, .xmlff, .abx, .abs, .adn, .accdw, .icg, .hjt, .kdb, .icr, .maw, .lut, .mdt, .mdn, .vhd, .vdi, .pvm, .vmdk, .vmsn, .vmem, .nvram, .vmsd, .raw, .vmx, .subvol, .qcow2, .vsv, .bin, .vmrs, .avhd, .avdx, .vhdx, .iso, .vmcx. Curiosamente os ficheiros de videos parecem ser um dos principais alvos da Akira.
6. As protecções de Shadow Volume do Windows são removidas pelo malware por forma a impedir uma rápida reposição dos ficheiros perdidos.
7. Uma vez na rede interna a Akira procura credenciais de administração para mover lateralmente o seu malware, apagar Shadow Copies e encriptar ficheiros em file shares.

Sejam a Akira, seja a Passion, Portugal está em guerra. É uma guerra silenciosa e gradual mas empresas, autarquias e instituições do Estado português são sondadas e atacadas todos os dias com especial intensidade desde o envio dos Leopard 2 para a Ucrânia. Porque a cibersegurança não é apenas um assunto dos especialistas mas de todos todos nós importa perguntar:
O que podem fazer as organizações portuguesas: públicas e privadas para se proteger?

1. O Akira entra nas redes das suas vítimas combinando técnicas de phishing por email com vulnerabilidades em sites, nomedamente através de plugins WordPress. É assim altamente recomendado que realize regularmente simulações de campanhas de phishing e mantenha um programa de treinamento regular dos utilizadores da sua rede assim como uma actualização permanente do seu site público e uma higiene cuidadosa quanto à quantidade a actualização dos plugs-ins se usa a plataforma wordpress.

2. Proteja cuidadosamente todas as suas contas com permissões de administração: reduza a sua quantidade ao mínimo absoluto. Garanta (criando automatismos de alerta) que não existem contas de administração de domain em disconnect em servidores nem que estas contas são usadas pelos seus técnicos para as suas funções normais de trabalho nem para, sobretudo, acederem ao seu mail pessoal ou corporativo. Divida as contas de administração em dois grupos (pelo menos) separando as contas com permissões de administração nos computadores dos utilizadores diferentes das contas de administração de servidores. Pondere a criação de um terceiro grupo de contas de administração que tenha, apenas, capacidades de domain admin.

3. Um método muito usado pela Akira é o acesso às redes afectadas através de RDC: se o usa na sua rede para aceder a servidores na DMZ ou, mesmo, na rede interna: pare imediatamente de o fazer. Estes ataques são muito comuns e amplamente conhecidos desde há alguns anos e em 2022 foram a principal forma de invasão.

4. Ataques DDoS: contrate junto dos seus fornecedores de serviço de acesso à Internet produtos que os protejam contra volumetria anormais de acesso à Internet e contra zonas geográficas que sejam distintas dos padrões normais de acesso à Internet das suas redes e sites públicos.

5. Não permita que os seus utilizadores sejam administradores locais ou, pelo menos, que não estejam permanentemente logados com contas com esse tipo de permissões locais. Assim impedirá a propagação do malware Akira para alguns dos directórios onde ele se tenta replicar.

6. Via logon script coloque a correr na rede monitores que alertam por email e logam para ficheiro todas as entradas no registry recentemente adicionadas na Run e RunOnce.

7. Active o File Screening nos seus servidores de file sharing por forma a impedir a criação de ficheiros com extensões desconhecidas (como a .akira)

8. Crie um share de rede desprotegido (sem password) com muitos milhares de ficheiros “dummy” nas extensões visadas em particular por este ataque e por muitos outros e crie uma task de alerta por mail sempre que ocorrerem alterações nestes ficheiros e directórios.

9. No seu file share principal coloque um programa que alerte para a aparição do processo “vssadmin delete” que indicia que alguém ou algo está a apagar as suas shadow copies. Envie esse alerta por mail. No caso particular do Akira as Shadow Copies são apagadas por WMI com o comando: “powershell.exe -Command “Get-WmiObject Win32_Shadowcopy | Remove-WmiObject””: avalie se precisa, mesmo, de ter o WMI activo nos servidores de file sharing: provavelmente não precisa.

10. Segregue os seus sites públicos das suas redes privadas: mantendo-os em fornecedores e plataformas completamente distintas.

11. Mantenham uma visibilidade total de toda a sua rede e serviços disponibilizados na Internet e sistemas de monitorização que os alcancem a todos e permitam um rápido alerta ao primeiro sinal de anomalia. Muitas vezes o ataque DDoS é apenas o primeiro de um ataque seguinte que explorando alguma vulnerabilidade no site ou uma campanha de phishing por e-mail bem sucedida consegue estabelecer uma testa de ponta na rede interna que, nos dias e semanas seguintes, se transforma num ataque de ransomware com encriptação e perda de ficheiros.

12. Garanta que todos os seus sistemas estão cobertos por backups e que a sua reposição é regularmente testada. Como sucedeu com o Politécnico de Leiria esta garantia é absolutamente essencial para recuperar o serviço perdido.