Um colaborador precisava de uma ferramenta comum de monitorização de redes. Fez o que toda a gente faz: escreveu o nome no motor de busca e clicou no que parecia o site oficial do programa. Descarregou o instalador e deixou-o numa pasta partilhada da rede. Pouco depois, foi um administrador de sistemas que o abriu. Quarenta e quatro horas depois, a empresa tinha os sistemas cifrados, a começar pelo próprio servidor de backups, e mais de 75 gigabytes de dados roubados. Ninguém abriu um anexo suspeito nem caiu num email de phishing. Tudo começou com a pesquisa do nome de um programa que se usa todos os dias.
O caso, documentado pela equipa de investigação forense The DFIR Report, mostra uma mudança que devia preocupar qualquer empresa: a armadilha saiu da caixa de entrada e mudou-se para a barra de pesquisa. E o engodo não foi montado para o estagiário distraído. Foi feito à medida da pessoa mais técnica da casa, imitando precisamente uma das ferramentas em que ela confia.
Como uma pesquisa se transforma em ransomware
A isca era um produto legítimo e conhecido, o ManageEngine OpManager. O resultado da pesquisa levou a opmanager[.]pro, um domínio sósia com uma cópia do site oficial, que reencaminhava para um segundo endereço e entregava um instalador adulterado: ManageEngine-OpManager.msi. O ficheiro foi parar a uma pasta partilhada da rede e um administrador de sistemas executou-o na máquina inicial.
Daquele clique não saltou nenhum alarme. Começou, em silêncio, a sequência. Primeiro um carregador, o Bumblebee, um programa cuja única função é abrir a porta a outros, que se disfarçou de componente legítimo do Windows e ligou logo aos servidores dos atacantes. Cinco horas depois entrou uma ferramenta de controlo remoto, o AdaptixC2. Ao segundo e terceiro dias, os intrusos já saltavam de máquina em máquina até ao controlador de domínio, o servidor que detém as chaves de toda a rede. Roubaram credenciais, criaram contas de administrador com nomes de backup para não levantar suspeitas e copiaram para fora mais de 75 gigabytes em dois lotes. Só então, às 44 horas, lançaram o ransomware, o programa que cifra os ficheiros e exige resgate. Começaram, de propósito, pelo servidor de cópias de segurança, e apagaram as cópias-sombra do Windows para fechar a porta à recuperação.
A cadeia de 44 horas, do clique no instalador falso à cifragem e à destruição dos backups.
O grupo por trás disto, o Akira, não é amador. Funciona como um negócio de aluguer, em que afiliados recrutados fazem as invasões e dividem o resgate com quem fabrica a ferramenta. Segundo o alerta conjunto do FBI e da CISA, a agência de cibersegurança dos Estados Unidos, o Akira arrecadou mais de 244 milhões de dólares em resgates desde 2023, e as contagens dos sites onde os grupos expõem as vítimas apontam mais de mil e quatrocentos alvos. Em Portugal o problema não é abstrato: o Centro Nacional de Cibersegurança coloca o ransomware e os infostealers, os programas que roubam credenciais, entre as ameaças de maior impacto no país, e nove em cada dez organizações de setores críticos dizem sentir um risco crescente de serem atacadas. O mesmo organismo aponta os anúncios maliciosos e os downloads falsos, o chamado malvertising, como uma das portas de entrada mais usadas para esses programas, que muitas vezes abrem caminho a ataques como este.
Porque é que apanha justamente os cuidadosos
O que me prende neste caso não é o ransomware, é o isco. Imitar uma ferramenta de administração não foi acaso. Quem instala monitorização de redes é o pessoal de informática, que tem acesso privilegiado e cuja máquina é o atalho mais curto para o resto da empresa. O ataque não explorou nenhuma falha técnica exótica, explorou a confiança. Um resultado de pesquisa parece uma recomendação neutra, e um site copiado ao pixel não levanta alarme. A pessoa que mais sabe de segurança foi enganada porque procurava exatamente aquilo que lhe entregaram.
Mas há aqui uma parte que joga a nosso favor, e são as 44 horas. Entre o clique e a cifragem passaram quase dois dias inteiros de atividade barulhenta dentro da rede: contas novas, acessos remotos, transferências enormes de dados. Não foi um relâmpago, foi uma ocupação lenta. Quem tivesse vigilância sobre o que entra e sai, e backups fora do alcance da rede, teria tido tempo de travar a cadeia antes do desfecho.
Como te proteges
As medidas que param este tipo de ataque estão ao alcance de qualquer organização:
- Descarrega sempre do site oficial do fabricante. Escreve o endereço à mão ou usa um favorito guardado; não confies só na ordem dos resultados da pesquisa nem nos anúncios.
- Desconfia de domínios parecidos.
opmanager[.]pronão é o mesmo que o domínio do fabricante; um caráter trocado é o suficiente. - Mantém backups offline e testados. Cópias que a rede não alcança são o que separa um susto de uma catástrofe; estes atacantes vão primeiro aos backups.
- Vigia o comportamento, não só o ficheiro. Contas de administrador criadas do nada, acessos remotos novos e transferências grandes de dados são sinais de alarme.
- Limita os privilégios. Mesmo o administrador não precisa de acesso total e permanente a tudo; quanto menos cada conta alcança, menor o estrago de um clique errado.
Um resultado de pesquisa não é uma fonte de verdade, é uma sugestão ordenada por um algoritmo que os criminosos aprenderam a manipular. A pergunta a fazer antes de instalar deixou de ser «este ficheiro é seguro?» e passou a ser «vim mesmo do sítio certo para o descarregar?». A diferença entre as duas perguntas pode ser a empresa inteira.
Fontes: The DFIR Report, FBI e CISA, Centro Nacional de Cibersegurança.
#StaySafe
🙏🖖
