ChaChi, o Trojan de acesso remoto que tem escolas como alvo

Share on facebook
Share on twitter
Share on linkedin
Share on reddit
Share on whatsapp

Um cavalo de troia de acesso remoto, chamado de ChaChi, está sendo usado pelos operadores de ransomware PYSA/ Mespinoza, em violações de dados de escolas de educação básica e ensino superior nos EUA e Reino Unido.

Projetado para roubar dados e credenciais, o malware busca se implantar no sistema e comprometer suas vítimas.

O ChaChi é escrito em GoLang (Go), uma linguagem de programação que está sendo amplamente adotada por agentes de ameaças em substituição às usuais linguagens C e C++, devido à sua versatilidade, facilidade de compilação do código entre plataformas e a dificuldade dos pesquisadores de segurança em analisar o código e realizar engenharia reversa. Especula-se, inclusive, um aumento de aproximadamente 2000% nas amostras de malware baseadas em Go, nos últimos anos.

Saiba tudo sobre este malware e como ele atua

O que você vai ver neste post

Primeira aparição do ChaChi

A primeira variante do ChaChi foi detectada no primeiro semestre de 2020, como um cavalo de troia de acesso remoto (RAT) usado para atacar autoridades governamentais francesas.

Origem do nome

O ChaChi recebeu esse nome devido ao Chashell e ao Chisel, duas ferramentas prontas para uso pelo malware durante os ataques e modificadas para esses fins.

O Chashell é um provedor de shell reverso sobre DNS, enquanto o Chisel é um sistema de encaminhamento de porta.

Etapas de instalação do ChaChi na rede

  1. Scripts do PowerShell desinstalam ou desativam antivírus e outros serviços de segurança;
  2. Credenciais das contas são capturadas, despejando o conteúdo da memória do Windows Local Security Authority Subsystem Service (LSASS);
  3. É realizada uma varredura de portas, buscando portas vulneráveis ​​ou abertas;
  4. ChaChi é instalado como um serviço;
  5. Invasores se movimentam lateralmente pela rede, usando ferramentas como Remote Desktop Protocol e PsExec;
  6. Dados são sequestrados por um túnel criado por ChaChi;
  7. O malware se comunica com o centro de comando e controle dos atacantes.

Razões pelas quais ele mudou seu alvo para escolas

  • Normalmente não estão prontas para se defender dos ataques;
  • Costumam não ter o orçamento necessário para uma segurança robusta nem os rígidos controles de segurança adotados por grandes empresas;
  • Não costumam monitorar quem se conecta as suas redes e por quais dispositivos, que muitas vezes não são seguros;
  • Geralmente pagam pelo resgate dos dados.

Recomendações para proteger escolas e universidades de ataques cibernéticos

  1. Educar usuários:Capacitando professores, alunos e colaboradores, através de treinamentos de conscientização, para identificar ataques de phishing, links e anexos suspeitos em e-mails e não cair nos golpes.
  2. Atualizar os sistemas: Muitas brechas de segurança acontecem por falta de atualização dos sistemas operacionais e dos aplicativos usados. Segundo pesquisas, 1 em cada 3 brechas de segurança ocorre por não realizar este update. É importante sempre estar com a última versão do software, que contém as correções de falhas e ajustes de melhorias.
  3. Monitorar e auditar a rede: Identificando cada dispositivo, usuário e aplicação ligados a ela, bem como as credenciais de acesso.
  4. Gerenciar o Acesso Privilegiado: Através de uma ferramenta PAM, como a VaultOne, utilizando a estratégia de segurança zero trust.
  5. Verificar se há pontos fracos: Executando avaliações de vulnerabilidade e testes de penetração detalhados para rastrear vulnerabilidades críticas que devem ser mitigadas. 

Conclusão

Esta nova modalidade de atacantes utiliza conhecimento avançado de rede corporativa e se aproveita de configurações incorretas de segurança para movimentar-se lateralmente pela rede e obter acesso aos ambientes da vítima. 

Outro ponto é o fato dos ataques serem direcionados e os processos de segurança geralmente controlados por um operador humano ao invés de ferramentas automatizadas

É preciso combater a violação no ponto de acesso, com controles que identifiquem anomalias previamente, além um plano de recuperação caso o ataque seja bem-sucedido.

Sobre nós

De acordo com a Gartner, 81% dos incidentes de segurança estão relacionados ao uso de credenciais fracas. O gerenciamento de credenciais privilegiadas deve ser prioridade em Segurança da Informação.
A VaultOne atende à demandas complexas de cibersegurança,  proporcionando o controle seguro de acessos privilegiados e a auditoria detalhada dos seus recursos em rede (em nuvem ou on-premises).
Conheça o que a VaultOne pode fazer por sua empresa. Fale hoje mesmo com nossos especialistas.

ACOMPANHE
nossas redes

RECEBA NOTÍCIAS
no seu e-mail