A Sophos (LSE:SOPH), líder global de segurança na rede e para endpoint, publicou o relatório "How ransomware attacks" que explica como atuam os diferentes ataques de ransomware e quais os efeitos que têm nas suas vítimas. Este documento, que complementa o "Relatório Anual de Cibermeaças da Sophos", apresenta uma análise detalhada de 11 das mais frequentes e persistentes famílias de ransomware, incluindo o Ryuk, o BitPaymer e o MegaCortex.
A investigação levada a cabo pela SophosLabs destaca a forma como os ataques de ransomware tentam passar despercebidos nos controlos de segurança, aproveitando-se dos processos habitualmente fiáveis e, uma vez dentro da rede, utilizam os sistemas internos para codificar o maior número possível de arquivos e desativar as cópias de segurança e os processos de recuperação, antes que as equipas de TI os consigam detetar.
Algumas das ferramentas e técnicas identificadas no relatório são:
Principais canais de distribuição das famílias de ransomware mais importantes. O ransomware é distribuído normalmente de três formas: como cryptoworm, replicando-se rapidamente noutros computadores, de forma a obter um impacto ainda maior (por exemplo, o WannaCry); através de ataques ransomware-as-a-service (RaaS), vendidos na dark web como um kit distribuível (Sodinikibi, por exemplo); ou através de um ataque automatizado ativo levado a cabo pelos atacantes, que implementam manualmente o ransomware após uma análise automatizada das redes, em busca de sistemas com proteção mais débil. Este tipo de ataques ativos e automatizados são os mais comuns que a Sophos deteta entre todas as famílias de ransomware identificadas no relatório.
Ransomware com código encriptado e que parece fiável. Alguns ataques de ransomware utilizam certificados digitais legítimos, comprados ou roubados, para tentar convencer os sistemas de segurança de que o código é fiável e não é necessário analisá-lo.
Aumento dos privilégios através da utilização de exploits facilmente disponíveis, como o EternalBlue, para aumentar os direitos de acesso. Isto permite aos ciberatacantes a instalação de programas como ferramentas de administração remota (RATs, siglas em inglês), e a oportunidade de visualizar, alterar ou eliminar dados, criar novas contas com todos os direitos de utilizador e desativar o software de segurança.
Movimentos laterais e procura, através da rede de servidores, de arquivos e cópias de segurança enquanto estão sob controlo, com o objetivo de alcançar o maior impacto possível do ataque de ransomware. Em menos de uma hora, os ciberatacantes podem criar um script para copiar e executar o ransomware nos servidores e endpoints de uma rede. Para acelerar o ataque, o ransomware consegue priorizar o seu ataque sobre unidades partilhadas, onde pode até começar pelos documentos mais pequenos e lançar diversas linhas em paralelo.
Ataques remotos. Os servidores de arquivos, por si só, não são habitualmente objeto de ataques de ransomware, mas recebem-nos através de utilizadores comprometidos que codificam os seus ficheiros. Não obstante, em algumas destas situações, o ataque é geralmente executado em um ou mais endpoints comprometidos, aproveitando-se de uma conta de utilizador com privilégios para atacar documentos de forma remota; noutras alturas, é através do protocolo de escritório remoto (RDP, siglas em inglês) ou através de soluções de gestão e monitorização remotas (RMM), que utilizam os MSP (fornecedores de serviços geridos) para gerir a infraestrutura de TI dos seus clientes e/ou os sistemas de utilizador final.
Encriptação e alteração do nome de arquivos. Existem diferentes métodos para a encriptação de arquivos, incluindo a simples sobregravação do documento, mas a maioria é também acompanhada pela eliminação da cópia de segurança ou do arquivo original, para dificultar o processo de recuperação.
O relatório da Sophos explica como estas e outras técnicas e ferramentas são utilizadas por 11 famílias de ransomware: WannaCry, GandCrab, SamSam, Dharma, BitPaymer, Ryuk, LockerGoga, MegaCortex, RobbinHood, Matrix e Sodinokibi.
"Os criadores de ransomware têm um enorme conhecimento sobre como o software de segurança funciona e adaptam os seus ataques em conformidade. Tudo está pensado para evitar a deteção enquanto o malware codifica tantos documentos quantos consiga com a maior rapidez possível, para que se torne difícil, ou até mesmo impossível, recuperar os dados. Em certos casos, a parte principal do ataque ocorre de noite, quando as equipas de TI estão em casa a dormir – assim, quando as vítimas descobrem o que está a acontecer, já é demasiado tarde. É imprescindível ter sólidos controlos de segurança e sistemas de monitorização e de resposta locais para cobrir todos os endpoints, redes e sistemas, e para instalar atualizações de software sempre que necessário" declara Mark Loman, Diretor de Engenharia de Tecnologia para a Migração de Ameaças da Sophos, e autor do relatório.
Como se pode proteger contra o ransomware:
• Verificar que dispõe de um inventário completo de todos os dispositivos conectados à rede e que qualquer software de segurança que utilizem está atualizado.
• Instalar sempre as últimas atualizações de segurança, o mais rápido possível, em todos os dispositivos da rede.
• Manter cópias de segurança regulares dos dados mais importantes e atuais num dispositivo de armazenamento sem conexão – esta é a melhor forma de evitar o pagamento de um resgate se sofrer um ataque de ransomware.
• Os administradores devem implementar a autenticação multifator em todos os sistemas de gestão que o permitam, para evitar que os ciberatacantes desativem os produtos de segurança durante um ataque.
• Não existe uma solução milagrosa para a segurança, mas um modelo de segurança por camadas é a melhor opção para todo o tipo de empresas.
• Por exemplo, o Intercept X da Sophos utiliza uma abordagem completa de defesa exaustiva na proteção para endpoints, combinando diversas técnicas de ponta para oferecer deteção de malware, proteção contra exploits e deteção e resposta para endpoints (EDR) integradas.
0 Comments: