ChaChi, o Trojan de acesso remoto que tem escolas como alvo
- Atualizado em
- Por Naty Santos
- Malwares
Um cavalo de troia de acesso remoto, chamado de ChaChi, está sendo usado pelos operadores de ransomware PYSA/ Mespinoza, em violações de dados de escolas de educação básica e ensino superior nos EUA e Reino Unido.
Projetado para roubar dados e credenciais, o malware busca se implantar no sistema e comprometer suas vítimas.
O ChaChi é escrito em GoLang (Go), uma linguagem de programação que está sendo amplamente adotada por agentes de ameaças em substituição às usuais linguagens C e C++, devido à sua versatilidade, facilidade de compilação do código entre plataformas e a dificuldade dos pesquisadores de segurança em analisar o código e realizar engenharia reversa. Especula-se, inclusive, um aumento de aproximadamente 2000% nas amostras de malware baseadas em Go, nos últimos anos.
Saiba tudo sobre este malware e como ele atua
O que você vai ver neste post
Primeira aparição do ChaChi
A primeira variante do ChaChi foi detectada no primeiro semestre de 2020, como um cavalo de troia de acesso remoto (RAT) usado para atacar autoridades governamentais francesas.
Origem do nome
O ChaChi recebeu esse nome devido ao Chashell e ao Chisel, duas ferramentas prontas para uso pelo malware durante os ataques e modificadas para esses fins.
O Chashell é um provedor de shell reverso sobre DNS, enquanto o Chisel é um sistema de encaminhamento de porta.
Etapas de instalação do ChaChi na rede
- Scripts do PowerShell desinstalam ou desativam antivírus e outros serviços de segurança;
- Credenciais das contas são capturadas, despejando o conteúdo da memória do Windows Local Security Authority Subsystem Service (LSASS);
- É realizada uma varredura de portas, buscando portas vulneráveis ou abertas;
- ChaChi é instalado como um serviço;
- Invasores se movimentam lateralmente pela rede, usando ferramentas como Remote Desktop Protocol e PsExec;
- Dados são sequestrados por um túnel criado por ChaChi;
- O malware se comunica com o centro de comando e controle dos atacantes.
Razões pelas quais ele mudou seu alvo para escolas
- Normalmente não estão prontas para se defender dos ataques;
- Costumam não ter o orçamento necessário para uma segurança robusta nem os rígidos controles de segurança adotados por grandes empresas;
- Não costumam monitorar quem se conecta as suas redes e por quais dispositivos, que muitas vezes não são seguros;
- Geralmente pagam pelo resgate dos dados.
Recomendações para proteger escolas e universidades de ataques cibernéticos
- Educar usuários:Capacitando professores, alunos e colaboradores, através de treinamentos de conscientização, para identificar ataques de phishing, links e anexos suspeitos em e-mails e não cair nos golpes.
- Atualizar os sistemas: Muitas brechas de segurança acontecem por falta de atualização dos sistemas operacionais e dos aplicativos usados. Segundo pesquisas, 1 em cada 3 brechas de segurança ocorre por não realizar este update. É importante sempre estar com a última versão do software, que contém as correções de falhas e ajustes de melhorias.
- Monitorar e auditar a rede: Identificando cada dispositivo, usuário e aplicação ligados a ela, bem como as credenciais de acesso.
- Gerenciar o Acesso Privilegiado: Através de uma ferramenta PAM, como a VaultOne, utilizando a estratégia de segurança zero trust.
- Verificar se há pontos fracos: Executando avaliações de vulnerabilidade e testes de penetração detalhados para rastrear vulnerabilidades críticas que devem ser mitigadas.
Conclusão
Esta nova modalidade de atacantes utiliza conhecimento avançado de rede corporativa e se aproveita de configurações incorretas de segurança para movimentar-se lateralmente pela rede e obter acesso aos ambientes da vítima.
Outro ponto é o fato dos ataques serem direcionados e os processos de segurança geralmente controlados por um operador humano ao invés de ferramentas automatizadas.
É preciso combater a violação no ponto de acesso, com controles que identifiquem anomalias previamente, além um plano de recuperação caso o ataque seja bem-sucedido.
