fbpx

ChaChi, o Trojan de acesso remoto que tem escolas como alvo

Um cavalo de troia de acesso remoto, chamado de ChaChi, está sendo usado pelos operadores de ransomware PYSA/ Mespinoza, em violações de dados de escolas de educação básica e ensino superior nos EUA e Reino Unido.

Projetado para roubar dados e credenciais, o malware busca se implantar no sistema e comprometer suas vítimas.

O ChaChi é escrito em GoLang (Go), uma linguagem de programação que está sendo amplamente adotada por agentes de ameaças em substituição às usuais linguagens C e C++, devido à sua versatilidade, facilidade de compilação do código entre plataformas e a dificuldade dos pesquisadores de segurança em analisar o código e realizar engenharia reversa. Especula-se, inclusive, um aumento de aproximadamente 2000% nas amostras de malware baseadas em Go, nos últimos anos.

Saiba tudo sobre este malware e como ele atua

O que você vai ver neste post

Primeira aparição do ChaChi

A primeira variante do ChaChi foi detectada no primeiro semestre de 2020, como um cavalo de troia de acesso remoto (RAT) usado para atacar autoridades governamentais francesas.

Origem do nome

O ChaChi recebeu esse nome devido ao Chashell e ao Chisel, duas ferramentas prontas para uso pelo malware durante os ataques e modificadas para esses fins.

O Chashell é um provedor de shell reverso sobre DNS, enquanto o Chisel é um sistema de encaminhamento de porta.

Etapas de instalação do ChaChi na rede

  1. Scripts do PowerShell desinstalam ou desativam antivírus e outros serviços de segurança;
  2. Credenciais das contas são capturadas, despejando o conteúdo da memória do Windows Local Security Authority Subsystem Service (LSASS);
  3. É realizada uma varredura de portas, buscando portas vulneráveis ​​ou abertas;
  4. ChaChi é instalado como um serviço;
  5. Invasores se movimentam lateralmente pela rede, usando ferramentas como Remote Desktop Protocol e PsExec;
  6. Dados são sequestrados por um túnel criado por ChaChi;
  7. O malware se comunica com o centro de comando e controle dos atacantes.

Razões pelas quais ele mudou seu alvo para escolas

  • Normalmente não estão prontas para se defender dos ataques;
  • Costumam não ter o orçamento necessário para uma segurança robusta nem os rígidos controles de segurança adotados por grandes empresas;
  • Não costumam monitorar quem se conecta as suas redes e por quais dispositivos, que muitas vezes não são seguros;
  • Geralmente pagam pelo resgate dos dados.

Recomendações para proteger escolas e universidades de ataques cibernéticos

  1. Educar usuários:Capacitando professores, alunos e colaboradores, através de treinamentos de conscientização, para identificar ataques de phishing, links e anexos suspeitos em e-mails e não cair nos golpes.
  2. Atualizar os sistemas: Muitas brechas de segurança acontecem por falta de atualização dos sistemas operacionais e dos aplicativos usados. Segundo pesquisas, 1 em cada 3 brechas de segurança ocorre por não realizar este update. É importante sempre estar com a última versão do software, que contém as correções de falhas e ajustes de melhorias.
  3. Monitorar e auditar a rede: Identificando cada dispositivo, usuário e aplicação ligados a ela, bem como as credenciais de acesso.
  4. Gerenciar o Acesso Privilegiado: Através de uma ferramenta PAM, como a VaultOne, utilizando a estratégia de segurança zero trust.
  5. Verificar se há pontos fracos: Executando avaliações de vulnerabilidade e testes de penetração detalhados para rastrear vulnerabilidades críticas que devem ser mitigadas. 

Conclusão

Esta nova modalidade de atacantes utiliza conhecimento avançado de rede corporativa e se aproveita de configurações incorretas de segurança para movimentar-se lateralmente pela rede e obter acesso aos ambientes da vítima. 

Outro ponto é o fato dos ataques serem direcionados e os processos de segurança geralmente controlados por um operador humano ao invés de ferramentas automatizadas

É preciso combater a violação no ponto de acesso, com controles que identifiquem anomalias previamente, além um plano de recuperação caso o ataque seja bem-sucedido.

Sobre nós

De acordo com a Gartner, 81% dos incidentes de segurança estão relacionados ao uso de credenciais fracas. O gerenciamento de credenciais privilegiadas deve ser prioridade em Segurança da Informação.
A VaultOne atende à demandas complexas de cibersegurança,  proporcionando o controle seguro de acessos privilegiados e a auditoria detalhada dos seus recursos em rede (em nuvem ou on-premises).
Conheça o que a VaultOne pode fazer por sua empresa. Fale hoje mesmo com nossos especialistas.