Ransomware

Como funciona o ransomware?

‍

O ransomware começa com uma infecção inicial no sistema de um indivíduo ou funcionário no trabalho. Existem duas formas comuns de o ransomware infectar um dispositivo: por meio de e-mails ou URLs maliciosos.

E-mails maliciosos, geralmente chamados phishing ou e-mails de malspam, geralmente contêm um anexo infectado. Os anexos têm nomes intrigantes ou urgentes para incentivar os usuários a abri-los, geralmente relacionados a impostos, faturas falsas, rastreamento de pacotes falsos ou eventos atuais.

Às vezes, URLs maliciosos são usados em e-mails para induzir os usuários a clicarem, a fim de oferecer ataques baseados na web com downloads diretos ou publicidade maliciosa.

Vamos ver como uma versão inicial do ransomware, o CryptoWall, funciona quando ganha presença em um endpoint. Com o laptop infectado, o CryptoWall corrompe o explorer.exe, a parte do Windows com o menu Iniciar, barra de tarefas, área de trabalho e gerenciador de arquivos, e o reinicia. Em seguida, ele exclui as cópias de sombra, instala malware, desativa os serviços e assim por diante. Isso estabelecerá persistência, portanto, reiniciar o dispositivo não eliminará ele.

Em seguida, o CryptoWall se comunica com seu servidor de comando e controle para obter a chave de criptografia para bloquear arquivos. Com a chave, todos os arquivos são criptografados no sistema local, assim como todos os arquivos acessíveis nas unidades de rede conectadas. Devido à forma como o ransomware funciona, a única maneira de recuperar o acesso a eles é com a chave de criptografia obtida pagando o resgate ao grupo por trás do CryptoWall.

Quem são os perpetradores?

Os ataques avançados de ransomware podem vir de autores que pegam as variações existentes de ransomware e as alteram o suficiente para serem aprovadas. malware scanners. No entanto, os atacantes de ransomware nem sempre são programadores. Alguns malfeitores compram software de malware dos autores e pagam ao desenvolvedor uma porcentagem dos ganhos. Isso é conhecido como ransomware como serviço (RaaS). Esses criminosos são difíceis de rastrear na era da criptomoeda anônima.

Por que o ransomware está se espalhando?

Incidentes de ransomware relatados aumentou 62% em 2021 em comparação com 2020. Os ataques de ransomware estão aumentando rapidamente por vários motivos.

Na era do RaaS, os atacantes não precisam ser programadores técnicos. Isso amplia o grupo de pessoas que têm as ferramentas para se tornarem cibercriminosos. Há também muitas plataformas de código aberto e de arrastar e soltar que têm a capacidade de criar variantes de ransomware.

Além disso, mais usuários estão trabalhando em casa e, possivelmente, em computadores que não são da empresa. Isso abre as portas para e-mails de phishing e downloads maliciosos.

Exemplos de ataques de ransomware

Para evitar proativamente o ransomware, é importante que as organizações entendam as táticas e as características dos ataques comuns de ransomware.

WannaCry

O WannaCry é um ransomware que se espalha sozinho. O ataque aproveitou a exploração EternalBlue, desenvolvida pela NSA, usada para comprometer máquinas, carregar malware e se propagar para outras máquinas. Especificamente, ele se aproveitou de uma vulnerabilidade no Microsoft Server Message Block (SMB) usada para tarefas como compartilhamento de arquivos entre computadores Windows. O EternalBlue então instalaria o DoublePulsar para executar código malicioso em um sistema infectado.

A Microsoft havia lançado patches no momento do ataque. No entanto, muitas organizações alvo não haviam corrigido esses sistemas mais antigos após o fim de sua vida útil.

Devido à sua capacidade de propagação, estima-se que tenha infectado mais de 200.000 sistemas em todo o mundo.

Não Petya

Com o mundo ainda se recuperando do WannaCry, o NotPetya apareceu no final de junho de 2017 e se tornou o ataque mais devastador que o mundo já viu até hoje.

O NotPetya parecia ser um ransomware à primeira vista, mas acabou sendo um malware de limpeza projetado apenas para destruir, com criptografia irreversível. O ataque começou quando agentes mal-intencionados comprometeram o software de contabilidade fiscal ucraniano chamado MeDoc. A MeDoc tinha centenas de milhares de clientes, principalmente na Europa, que usavam o software para fazer negócios na Ucrânia. Como todo software, a MeDoc enviou uma atualização inadvertidamente comprometida aos clientes, que confiaram implicitamente nessa atualização do fornecedor. Foi um ataque à cadeia de suprimentos, explorando a confiança entre fornecedores de software e clientes, que aproveitou um software comprometido, o MeDoc, como ponto de partida nos sistemas. O ataque foi então lançado com uma versão atualizada do ransomware Petya, chamada NotPetya.

O ataque se espalhou lateralmente usando o EternalBlue e o EternalRomance para sistemas não corrigidos ou credenciais roubadas por meio de técnicas de coleta de senhas para permitir que o uso de ferramentas como PsExec e WMI se espalhe para mais sistemas. O total de danos globais relacionados ao NotPetya, agora visto como uma arma cibernética geopolítica, foi estimado em cerca de 10 bilhões de dólares.

Extorsão dupla

O que Lady Gaga tem a ver com as novas técnicas de ataque de ransomware?

Seu papel inocente na dupla extorsão.

Os ataques de ransomware se tornaram ainda mais desagradáveis, pois alguns ataques agora podem adicionar mais extorsão. Primeiro, os invasores ganharão uma posição, encontrarão dados confidenciais e os transferirão para seus próprios servidores. Com o roubo de dados confidenciais, os atacantes passam a criptografar os sistemas. Além de os sistemas estarem bloqueados, as informações confidenciais podem ser divulgadas publicamente, a menos que as vítimas paguem, o que representa uma pressão adicional para que as organizações paguem resgates.

Recentemente, os atacantes atacaram um escritório de advocacia de entretenimento, roubando dados relacionados a clientes importantes, como Lady Gaga, Bruce Springsteen e Christina Aguilera. Inicialmente, eles divulgaram contratos relacionados a Lady Gaga como prova de sua posse de informações confidenciais.

O grupo por trás do ataque ameaçou divulgar mais dados sobre celebridades se o escritório de advocacia se recusasse a pagar o pedido de resgate, que atingiu cerca de 42 milhões de dólares.

O impacto comercial do ransomware

O ransomware tem um impacto enorme na produtividade dos negócios. Os atacantes chantagearão as empresas ameaçando divulgar dados confidenciais se a empresa não pagar o resgate rapidamente. Em 2016, o ransomware SamSam deu ao mundo uma surpresa desagradável ao revelar uma nova capacidade assustadora: movimento lateral embutido ou autopropagação. Por quê? Os atacantes podem atacar com eficácia redes corporativas inteiras para criptografar grandes quantidades de dados essenciais e, por sua vez, exigir maiores pagamentos de resgate. No caso do SamSam, os invasores chegaram por meio da exploração de uma vulnerabilidade de servidor desatualizada. Uma vez lá dentro, o SamSam se moveu lateralmente buscando sistemas adicionais conectados à rede para criptografá-los.

Como o ransomware está se espalhando?

O ransomware que é capaz de se espalhar sozinho tem gerado considerável atenção; no entanto, muitos ataques recentes de ransomware parecem ser mais metódicos e controlados pelo atacante.

Esses ataques não se movem tão rapidamente quanto o ransomware com movimento lateral embutido, mas são igualmente devastadores devido ao longo tempo de permanência na vigilância de um ambiente. Municípios dos EUA relataram uma onda de ataques nos últimos anos — e muitos outros provavelmente não foram relatados. Na maioria dos casos, os invasores atacam ambientes semanas antes da criptografia do ransomware.

Esses ataques ganham espaço por meio de phishing ou serviços mal configurados de força bruta, como o Remote Desktop Protocol (RDP), usado para acesso remoto ao Windows. Uma vez lá dentro, os ataques são metódicos, tentando o movimento lateral ponto a ponto por meio de portas abertas, por exemplo, explorando RDP ou WMI, para alcançar idealmente um controlador de domínio.

A coleta de credenciais, também presente no NotPetya, também é usada para se mover lateralmente. Ferramentas como o Mimikatz facilitam isso, permitindo o aumento de privilégios, para que os invasores tenham maiores níveis de permissão na rede.

De qualquer forma, os invasores geralmente alcançam os controladores de domínio, tornando-os administradores de TI na empresa que estão atacando.

Nesse ponto, eles “vivem da terra”, usando estruturas de administração de TI existentes, como o PsExec, usado para executar processos em outros sistemas, ou o PowerShell, usado para automatizar tarefas de gerenciamento do sistema operacional, para colocar arquivos maliciosos nos sistemas.

Como evitar ataques de ransomware

Como você pode se proteger? É difícil ver que muitos ataques usam malwares recém-criados ou vivem fora da terra para evitar a detecção em grande parte. Existem algumas práticas recomendadas para reduzir o risco de grandes ataques de ransomware.

Aqui estão algumas das principais formas de reduzir o risco de ransomware, de acordo com o US-CERT:

• Segmente seus laptops e redes para garantir que o primeiro laptop infectado também seja o último, para que os ataques não possam ir além do sistema inicial.
• Corrija todos os sistemas regularmente para evitar que aplicativos e sistemas operacionais vulneráveis sejam alvos.
• Use ferramentas eficazes de segurança de e-mail e endpoint para impedir que tantos e-mails de phishing cheguem às caixas de entrada ou que atividades maliciosas associadas ao ransomware cheguem ao endpoint e criptografem arquivos.
• Treine os usuários para abrir anexos de e-mail com cuidado e tenha cuidado com os anexos de e-mail de remetentes desconhecidos.
• Faça backup de sistemas com frequência e armazene backups separadamente para poder restaurar os estados anteriores, se necessário, com backups que não podem ser acessados de uma rede.

Respondendo aos ataques de ransomware

Se você suspeitar que seu dispositivo foi infectado por malware, há algumas etapas que você deve seguir para evitar maiores danos. Primeiro, desconecte o dispositivo infectado da rede e de outros dispositivos o mais rápido possível. Isso impedirá a propagação do ransomware de um dispositivo para outro. As empresas podem impedir que o malware se espalhe rapidamente usando Segmentação Zero Trust, incluindo microssegmentação, para isolar as cargas de trabalho umas das outras.

O próximo passo é entrar em contato com as autoridades. Infectar dispositivos com ransomware é ilegal. Eles também podem ter ferramentas que ajudarão você a recuperar seus arquivos.

Se você tiver feito backup de seus arquivos em um local diferente, poderá recuperá-los. Esse é um dos muitos motivos pelos quais os backups regulares de arquivos são cruciais. Se você não tiver backups, pesquise on-line para tentar encontrar uma chave de decodificação de ransomware. Infelizmente, se você não conseguir encontrar a chave certa, talvez precise aceitar que seus arquivos sumiram.

Devo pagar o resgate?

Nunca pague o resgate para recuperar seus arquivos. Não há garantia de que eles realmente forneçam a chave de decodificação e você financiará atividades criminosas. Pagar também fará de você um alvo recorrente. Agora que os criminosos sabem que podem obter dinheiro de você, continuarão infectando seus dispositivos no futuro.

Ser capaz de identificar possíveis malwares em e-mails de phishing e URLs maliciosos pode evitar que seus arquivos sejam destruídos. Depois de ler este artigo, você pode responder na próxima vez que alguém lhe perguntar: “O que é ransomware?” Você também está preparado para evitar ataques e conhece as etapas a serem tomadas se seus dispositivos estiverem infectados.

Saiba mais

Descubra como é a segmentação Zero Trust contém ransomware e interrompe a propagação para proteja cargas de trabalho e dispositivos.