A PROOF by SEK identificou ataques do grupo de ransomware Medusa utilizando o software legítimo PDQ Deploy para distribuir ransomwares em empresas brasileiras. Em outros países, ataques semelhantes foram recentemente detectados e documentados pelo NCC Group, DarkTrace, ThreatDown e outras companhias de segurança cibernética.
O Medusa é um dos grupos de ransomware mais proeminentes da atualidade. Desde que introduziu seu novo site, o Medusa Blog, no início de 2023, o grupo já executou mais de 194 ataques confirmados, segundo dados do ThreatDown. A maior parte de suas vítimas se concentra nos Estados Unidos e faz parte dos setores de educação e saúde. No entanto, a PROOF by SEK detectou sua atividade em uma empresa brasileira de outro setor.
Um dos métodos utilizados pelo grupo, e que foi detectado pela PROOF by SEK, é a utilização do PDQ Deploy para distribuir ransomware. O PDQ Deploy é uma ferramenta legítima, que facilita a implantação de software e atualizações em vários computadores dentro de uma mesma rede. Sua versão gratuita está sendo utilizada por cibercriminosos – notoriamente, pelo Medusa – para distribuir ransomware em várias máquinas ao mesmo tempo.
Após obter acesso à rede da vítima por outros meios – no caso observado, através do uso de credenciais vazadas –, os atacantes realizam uma série de ações para utilizar o PDQ Deploy e, por meio dele, distribuir ransomware em todas as máquinas da rede.
Para mitigar os riscos associados a este tipo de ataque, recomendamos algumas atitudes. Primeiramente, é essencial realizar uma auditoria completa para identificar todas as ferramentas de implantação de software em uso dentro da rede, verificando se existem outras no mesmo contexto que possam ser exploradas de maneira semelhante. Implementar políticas para impedir a instalação de ferramentas de implantação de software não autorizadas é fundamental, assim como utilizar soluções de controle de aplicativos para garantir que somente softwares aprovados possam ser instalados nas máquinas da rede.
Verificar as permissões de acesso ao PDQ Deploy e a outras ferramentas de implantação é crucial. Garanta que apenas usuários autorizados e com necessidades específicas tenham acesso administrativo a elas, considerando a implementação do princípio de menor privilégio. Adicionalmente, use soluções de gerenciamento de aplicativos para monitorar e controlar as aplicações instaladas nas máquinas da rede, ajudando a detectar e remover qualquer software não autorizado.
Além de reforçar a segurança relacionada ao uso de ferramentas de implantação de software, é fundamental educar os funcionários sobre as táticas de phishing, a importância de utilizar MFA e como reconhecer e reportar e-mails suspeitos. Promova treinamentos regulares de conscientização para manter todos atualizados sobre as ameaças mais recentes e como mitigá-las. Implemente políticas rigorosas de gerenciamento de senhas, incluindo o uso de credenciais fortes e a troca periódica delas, assim como o monitoramento contínuo de acessos suspeitos.
É importante garantir que apenas ferramentas homologadas sejam permitidas para implantação de software. Revise regularmente essa lista e mantenha uma política rigorosa de aprovação de novos softwares. Configure sistemas de monitoramento para detectar atividades suspeitas relacionadas ao uso delas, incluindo a instalação de aplicativos em massa ou alterações nas permissões de acesso. Mantenha backups regulares de dados críticos, certificando-se de que eles sejam armazenados de forma segura e isolada da rede principal.
Essas ações são cruciais para mitigar os riscos associados ao uso indevido de ferramentas legítimas como o PDQ Deploy. A PROOF by SEK seguirá monitorando esse e outros atores de ameaça, e se coloca à disposição para auxiliar nossos clientes e parceiros a tomar as melhores decisões para fortalecer suas defesas.