Ransomware Play Explora Vulnerabilidades Antigas em Dispositivos Fortinet para Acessar Redes Governamentais e de Infraestrutura Crítica

Ameaça Persistente: Ransomware Play e a Exploração de Falhas da Fortinet

O grupo de ransomware conhecido como Ransomware Play (também identificado como PlayCrypt, Balloonfly e Circular Cap) continua a ser uma ameaça significativa no cenário da cibersegurança, tendo sido observado recentemente a explorar vulnerabilidades de anos anteriores em appliances da Fortinet. Especificamente, as falhas CVE-2018-13379 e CVE-2020-12812 em dispositivos FortiOS SSL VPN estão sendo usadas como porta de entrada para comprometer redes de organizações governamentais e de infraestrutura crítica em diversos países.

Detalhes das Vulnerabilidades Exploradas pelo Ransomware Play

As vulnerabilidades em questão, embora corrigidas pela Fortinet, ainda representam um risco considerável se os sistemas não tiverem sido atualizados. A CVE-2018-13379 é uma falha de path traversal no FortiOS SSL VPN que permite a um atacante não autenticado ler arquivos do sistema, incluindo credenciais sensíveis. Já a CVE-2020-12812 refere-se a uma autenticação inadequada no FortiOS SSL VPN, que também pode ser explorada para obter acesso não autorizado.

Segundo informações da Microsoft Threat Intelligence, essas explorações pelo Ransomware Play foram identificadas em ataques ocorridos entre o final de 2023 e o início de 2024, visando entidades na Austrália, França, Itália e Suíça. Esta atividade está alinhada com um alerta conjunto emitido pela CISA (Cybersecurity and Infrastructure Security Agency) e pelo FBI em dezembro de 2022, que detalhava as táticas, técnicas e procedimentos (TTPs) do grupo.

Táticas e Ferramentas do Arsenal do Ransomware Play

Uma vez obtido o acesso inicial, frequentemente através da exploração dessas vulnerabilidades em aplicações Fortinet expostas publicamente ou pelo uso de contas válidas, o Ransomware Play emprega um vasto arsenal de ferramentas e técnicas para escalar privilégios, mover-se lateralmente e exfiltrar dados antes da criptografia final. As táticas do Ransomware Play incluem:

• Reconhecimento: Uso da ferramenta AdFind para mapear o Active Directory.
• Evasão de Defesas: Utilização do GMER (um scanner de rootkits) e da ferramenta PowerTool (um driver que pode desabilitar processos de software de segurança).
• Coleta de Credenciais: Emprego do conhecido Mimikatz para extrair credenciais da memória.
• Roubo de Informação: Utilização do Grixba, um infostealer personalizado desenvolvido em .NET.
• Comando e Controle (C2) e Movimentação Lateral: Uso do Cobalt Strike, um framework de pós-exploração, e do proxy SystemBC. A movimentação lateral também é realizada via RDP (Remote Desktop Protocol), PsExec e WMI (Windows Management Instrumentation).
• Exfiltração de Dados: Ferramentas como FileZilla e WinSCP são usadas para transferir dados roubados para servidores controlados pelos atacantes, frequentemente após arquivá-los com WinRAR.

Mitigação Contra Ataques do Ransomware Play

Para se proteger contra as táticas do Ransomware Play e outros grupos similares, as organizações devem priorizar a aplicação de patches de segurança nos seus dispositivos Fortinet e outros sistemas críticos. Além disso, é fundamental:

• Implementar autenticação multifator (MFA) em todas as contas, especialmente as de administrador e acesso remoto.
• Utilizar senhas fortes e únicas para todas as contas.
• Monitorar continuamente os logs de rede e de sistema para detectar atividades suspeitas.
• Segmentar a rede para limitar o alcance de um possível comprometimento.
• Manter backups offline e testados regularmente.
• Implementar soluções de Detecção e Resposta de Endpoint (EDR) e XDR para identificar e responder a ameaças em tempo real.

A persistência de grupos como o Ransomware Play em explorar vulnerabilidades conhecidas, mesmo aquelas com correções disponíveis há anos, sublinha a importância crítica da gestão proativa de vulnerabilidades e da manutenção de uma postura de segurança robusta.