Microsoft: Malware Emotet Desliga Uma Rede Inteira Ao Superaquecer PCs

O Grupo de Soluções de Cibersegurança da Microsoft, através da sua Equipe de Detecção e Resposta (DART), disse na quinta-feira que toda a rede de TI de seu cliente foi derrubada por computadores superaquecidos devido a um malware Emotet, após um de seus funcionários ser enganado a abrir um anexo de e-mail de phishing.

O malware acabou infectando os sistemas da Fabrikam (um nome fictício usado pela Microsoft para a vítima em seu estudo de caso) ao roubar as credenciais da conta de administrador, autenticando-se em novos sistemas.

Ele fez movimentos laterais ao infectar outros sistemas na mesma rede. O vírus congelou serviços essenciais ao maximizar o uso da CPU em dispositivos Windows.

Também Leia - Malware Emotet Pode Se Espalhar Através de Redes Wi-Fi

“Estamos felizes em compartilhar o Relatório de Caso DART 002: Desligamento Operacional Completo. No relatório 002, cobrimos um engajamento real de resposta a incidentes onde um malware polimórfico se espalhou por toda a rede de uma organização”, diz o anúncio da Microsoft DART.

“Após um e-mail de phishing entregar o Emotet, um vírus polimórfico que se propaga através de compartilhamentos de rede e protocolos legados, o vírus desligou os serviços essenciais da organização. O vírus evitou a detecção por soluções antivírus através de atualizações regulares de uma infraestrutura de comando e controle (C2) controlada por atacantes, e se espalhou pelos sistemas da empresa, causando interrupções na rede e desligando serviços essenciais por quase uma semana.”

De acordo com a Microsoft, a Fabrikam chamou a DART oito dias após o funcionário ter aberto o e-mail de phishing. Nesse momento, todas as operações de TI da Fabrikam estavam paralisadas, incluindo a rede de 185 câmeras de vigilância devido ao malware Emotet.

Especialistas observaram que os PCs estavam superaquecendo, congelando e reiniciando devido a telas azuis, enquanto as conexões de Internet estavam ligeiramente desacelerando devido ao Emotet consumir toda a largura de banda.

“Quando a última de suas máquinas superaqueceu, a Fabrikam sabia que o problema havia oficialmente saído do controle. ‘Queremos parar essa hemorragia’, diria um oficial mais tarde”, afirma o relatório do estudo de caso da DART.

“Ele tinha sido informado de que a organização tinha um sistema extenso para prevenir ciberataques, mas esse novo vírus evitou todos os seus firewalls e software antivírus. Agora, enquanto assistiam seus computadores apresentarem tela azul um por um, não tinham ideia do que fazer a seguir.”

O malware usou os computadores comprometidos do funcionário para lançar um ataque distribuído de negação de serviço (DDoS) e sobrecarregar sua rede.

“Oficiais anunciaram que o vírus ameaçava todos os sistemas da Fabrikam, até mesmo sua rede de 185 câmeras de vigilância”, diz o relatório da DART.

“Seu departamento financeiro não conseguia completar nenhuma transação bancária externa, e organizações parceiras não conseguiam acessar nenhum banco de dados controlado pela Fabrikam. Era um caos.

“Eles não conseguiam dizer se um ciberataque externo de um hacker causou o desligamento ou se estavam lidando com um vírus interno. Teria ajudado se eles pudessem acessar suas contas de rede.

“O Emotet consumiu a largura de banda da rede até que usá-la para qualquer coisa se tornasse praticamente impossível. Mesmo e-mails não conseguiam passar.”

Especialistas da Microsoft controlaram com sucesso a infecção por Emotet usando controles de ativos e zonas de buffer que isolaram ativos com privilégios de administrador. Eles removeram completamente a infecção por Emotet após fazer upload de assinaturas antivírus e implantar licenças de teste do Defender Advanced Threat Protection, Azure Security Scan, Azure Advanced Threat Protection e outras ferramentas de detecção de malware de propósito especial da Microsoft.

Além disso, engenheiros reversos no local repararam o Microsoft System Center Configuration Manager, permitindo que a Fabrikam voltasse a funcionar.

A Microsoft recomenda que os usuários utilizem ferramentas de filtragem de e-mail como o Office 365 Advanced Threat Protection (ATP) para detectar e impedir a propagação do malware Emotet, bem como o uso de autenticação multifatorial (MFA) para prevenir tais ataques.