Ferramenta legítima vira arma em ataques de dupla extorsão
Operadores de ransomware estão abandonando ferramentas maliciosas tradicionais e passando a utilizar utilitários legítimos de nuvem para roubar dados de suas vítimas antes de criptografar os sistemas. O mais recente alvo dessa tática é o AzCopy, um utilitário de linha de comando da Microsoft projetado para transferir dados de e para o Azure Storage. Pesquisadores da Varonis Threat Labs documentaram múltiplos incidentes onde o AzCopy foi usado diretamente como ferramenta de exfiltração de dados, com pelo menos um caso confirmado onde a operação passou despercebida pelas soluções de Endpoint Detection and Response (EDR) da organização afetada.
O modus operandi: SAS tokens e comandos furtivos
O ataque segue um padrão bem definido. Primeiro, os invasores geram um token de Assinatura de Acesso Compartilhado (SAS) que concede acesso a uma conta de Armazenamento Azure controlada por eles. Este token, que não requer nome de usuário ou senha, é incorporado diretamente no comando AzCopy. Em casos investigados, o token tinha validade de apenas três dias e oito horas, um período curto o suficiente para reduzir a janela de exposição, mas longo o suficiente para completar a transferência de dados.
O comando AzCopy é então cuidadosamente customizado para evitar detecção. O parâmetro --include-after filtra os arquivos para transferir apenas aqueles modificados após uma data específica, garantindo que os dados mais recentes e relevantes sejam alvo. Já o parâmetro --cap-mbps limita a velocidade de upload, evitando picos de tráfego de rede que poderiam acionar alertas baseados em anomalias. O resultado é um fluxo de dados constante e discreto, que se assemelha a uma sincronização de rotina para a nuvem.
Apagando os rastros e o impacto da dupla extorsão
Por padrão, o AzCopy cria um arquivo de log em um diretório oculto .azcopy dentro do perfil do usuário, registrando cada arquivo transferido com sucesso – uma evidência forense valiosa. No entanto, os pesquisadores observaram que, nos casos recentes, os atacantes excluíam esse diretório inteiro imediatamente após a conclusão da exfiltração, apagando deliberadamente o rastro do que foi roubado.
Esta tática é particularmente eficaz no cenário de ransomware de dupla extorsão, onde os dados são primeiro roubados e depois os sistemas são criptografados. Ao usar uma ferramenta legítima como o AzCopy e rotear os dados para a infraestrutura global da Microsoft, o tráfego malicioso se torna praticamente indistinguível do tráfego comercial normal. Quando o movimento de dados é finalmente identificado e uma solicitação de remoção é enviada ao Azure, os dados já foram copiados para outro lugar e, eventualmente, aparecem no site de vazamento do grupo de ransomware.
Recomendações de defesa e mitigação
A mudança para ferramentas Living off the Land (LotL) como o AzCopy exige uma mudança correspondente nas estratégias de defesa. As organizações devem:
- Monitorar conexões de saída: Ficar atento a conexões de saída para
*.blob.core.windows.netoriginadas de sistemas que normalmente não interagem com o Armazenamento Azure. - Implementar análise de comportamento: Utilizar User and Entity Behavior Analytics (UEBA) para identificar padrões de acesso a arquivos incomuns em contas de serviço.
- Aplicar whitelisting de aplicações: Restringir a execução do AzCopy apenas para sistemas e contas aprovados.
- Preparar resposta a incidentes: Ter planos de resposta documentados e testados, incluindo decisões críticas como cortar o acesso à internet durante um incidente de ransomware ativo.
A adoção do AzCopy por grupos de ransomware representa uma evolução significativa na sofisticação dos ataques, tornando a detecção mais difícil e enfatizando a necessidade de uma postura de segurança que vá além da assinatura de malware para focar no comportamento anômalo e no contexto das ferramentas legítimas.