Brasil, 12 de Dezembro de 2019

TOKIO MARINE SEGURADORA

Saiba como as famílias de ransomware evitam a segurança de TI

Este artigo é uma versão condensada do report "Como Ransomwares Atacam"

Ransomwares existem há décadas, mas continuam sendo ameaças virtuais comuns e lucrativas. No mais novo relatório intitulado "Como os Ransomwares Atacam", a Sophos decidiu olhar mais de perto o comportamento destas ameaças dentro do sistema da vítima e descobrir como as variadas ferramentas. O material também analisa as técnicas conhecidas que são utilizadas pelas famílias de ransomware mais populares, passando de WannaCry, Matriz e GandCrab para Ryuk, SamSam, MegaCortex e mais.

Novas variações de ransomwares são criadas e divulgadas todos os dias e o trabalho do software de segurança é detectá-las e bloqueá-las antes que possam fazer algum mal. O resultado disso é uma luta contínua entre defensores, com seus controles de segurança e sistemas de detecção configurados para encontrar linhas de código ou comportamentos suspeitos, e adversários, com novos truques criados para enganar estes controles - ou pelo menos completar o serviço antes de serem descobertos.

Toda jornada começa com um pacote

O primeiro obstáculo dos softwares de segurança é normalmente o empacotador em que o código malicioso é envolvido e entregue. Empacotadores proprietários ou com códigos altamente ofuscado tornam ainda mais difícil para tecnologias de proteção ver o que têm dentro (o executável malicioso) e as intenções para agir de acordo.

O próximo obstáculo é detectar e mitigar as ações do malware uma vez que este é desempacotado dentro do sistema. Uma vez que softwares de proteção endpoint monitoram comportamentos potencialmente maliciosos, não é surpresa que adversários estejam concentrados em fazer a coisa toda parecer legítima até que tenham atingido seus propósitos: criptografar dados e tornar difícil, ou impossível, recuperá-los sem o pagamento de um resgate.

Nada a declarar

A lista de técnicas utilizadas por ransomwares para evitar levantar suspeitas é longa e inclui:

Assinatura de código

Os invasores podem tentar minimizar a detecção ao assinar os ransomware com certificados de autenticação legítimos, o que pode ajudá-los a escapar da detecção de códigos sem assinatura por alguns softwares de segurança. Entretanto, essa técnica nem sempre é eficiente para eles. Para conseguir um certificado Authenticode para assinatura de códigos, o invasor precisa comprar (ou roubar, em alguns casos) um e compartilhar os dados para contato e pagamento. Isso significa que a descoberta pode levar não apenas à suspensão do certificado (e todos os malwares assinados com ele serão postos em quarentena), mas possivelmente à identificação do atacante por trás do ransomware.

Escalonamento de privilégios

Restringir os direitos de acesso a dados é uma prática básica de segurança que, infelizmente, está se tornando cada vez mais ineficiente. Existe um grande número de vulnerabilidades que permitem que os invasores aumentem os privilégios e abusem das credenciais de administrador roubadas, independentemente dos direitos de acesso do usuário comprometido.

Exemplos incluem a EternalBlue, utilizada pelo WannaCry, e o prompt de Controle de Acesso do Usuário (UAC, na sigla em inglês), que permite que qualquer ransomware seja executado com privilégios elevados. Existe uma outra vulnerabilidade que permite que invasores executem códigos arbitrários em modo kernel e, como resultado, possam instalar programas, ver, alterar ou deletar dados e criar novas contas de usuário com todos os direitos, sem depender dos privilégios do usuário conectado ao sistema.

Movimento lateral

Uma vez que o servidor ou endpoint tenha sido comprometido, os invasores podem desabilitar o software de segurança, instalar uma ferramenta de acesso remoto para maior flexibilidade e persistência, e sair à caça de dados e servidores de backup. Eles podem controlar o servidor via Remote Desktop Protocol (RDP) e destruir os backups dos dados por meio de criptografia de resgate ou simples exclusão para assegurar que a vítima não consiga os recuperar. Por último, eles podem distribuir ransomware a endpoints e servidores conhecidos.

Para fazer isso, eles podem aproveitar um utilitário de uso duplo confiável, criando um script que copia e executa o ransomware nos computadores. Geralmente, isso leva menos de uma hora para ser concluído e acontece durante a noite, quando a equipe de TI está em casa dormindo. Quando a vítima vê o que está acontecendo, já é tarde demais.

Os invasores também foram observados aproveitando as credenciais roubadas ou explorando vulnerabilidades em soluções de monitoramento e gerenciamento remoto (RMM) normalmente usadas pelos provedores de serviços gerenciados (MSP) para gerenciar a infraestrutura de TI dos clientes e/ou sistemas de usuários finais.

Rede primeiro

Para garantir que as vítimas façam o pagamento do resgate, o ransomware tentará criptografar o máximo de documentos o mais rápido possível e tornará o acesso a recuperação de versões anteriores ou duplicadas difícil.

Os documentos geralmente são armazenados em unidades locais fixas e removíveis, bem como em unidades compartilhadas remotas mapeadas. O ransomware pode priorizar primeiro determinadas unidades ou tamanhos de documento para garantir o sucesso antes de ser capturado pelo software de proteção endpoint ou notado pelas vítimas. Por exemplo, o ransomware pode ser programado para criptografar vários documentos ao mesmo tempo por meio de vários threads, priorizar documentos menores ou até começar atacando documentos em unidades compartilhadas remotas mapeadas.

É importante mencionar que os próprios servidores de arquivos geralmente não estão infectados com o ransomware. A ameaça normalmente é executada em um ou mais pontos de extremidade comprometidos, abusando de uma conta de usuário privilegiada com permissões no nível do administrador para atacar remotamente os documentos. Portanto, mesmo que o servidor de arquivos esteja protegido por um software antivírus, a ameaça em si não está sendo executada no servidor.

Multi-threaded

Os computadores agora têm uma ou mais unidades de processamento central (CPU) com vários núcleos com a tecnologia Simultaneous Multithreading (SMT) ou Hyper-Threading (HT). Tais avanços no hardware do microprocessador oferecem enormes benefícios de desempenho para as operações comerciais diárias, pois permitem execução paralela e melhor utilização do sistema para acelerar a produtividade. Alguns ransomwares, projetados para fazer uso eficiente do hardware moderno da CPU, aproveitam esse recurso (se presente) para paralelizar tarefas individuais. Se a velocidade dita as regras para um ransomware, isso ajuda a garantir um impacto mais rápido (e maior) antes que as vítimas notem que estão sendo atacadas.

Entre outras coisas, os dados em uma mídia mais rápida (como memória) podem ser recuperados por um thread, enquanto outro thread recupera dados de uma mídia mais lenta (como armazenamento), sem que nenhum deles aguarde a conclusão do outro.

Criptografia e renomeação de arquivos

Com base na criptografia de documentos, o ransomware pode ser dividido em dois grupos: Substituir e Copiar.

Existem exemplos de ransomware criando cópias criptografadas dos documentos que eles atacam e excluindo os arquivos originais posteriormente. Nesse caso, as cópias criptografadas são armazenadas em outro local na unidade de armazenamento. Para impedir que um produto de recuperação de dados recupere os arquivos originais revertendo o processo de exclusão, uma família de ransomware, a Dharma, define o tamanho do arquivo de cada um dos documentos atacados como zero bytes antes da exclusão.

Criptografia por proxy

Alguns ransomware - como GandCrab e Sodinokibi - abusam do Windows PowerShell para obter um script do PowerShell da Internet, que está definido para iniciar automaticamente o ransomware após uma espera de vários dias, fazendo com que o ataque pareça surgir do nada. Nesse cenário, o próprio ataque de criptografia de arquivo real é realizado pelo processo confiável do Windows POWERSHELL.EXE, enganando o software de segurança ao pensar que um aplicativo confiável está modificando os documentos. Outros ransomware, como Ryuk e MegaCortex, usam uma abordagem semelhante para criptografar documentos por meio de um processo confiável.

Não desista

Nossa análise do comportamento do ransomware tem como objetivo ajudar os profissionais de segurança de TI e seus provedores de serviços a entender melhor as ferramentas e técnicas utilizadas por essa ameaça à medida que ela se move pelo sistema afetado.

É extremamente importante complementar o insight e a inteligência com políticas de segurança e tecnologias de proteção apropriadas. Isso inclui a implementação de medidas práticas, como ativar a autenticação multifator (MFA) em ferramentas de gerenciamento central e deixar a proteção contra adulteração no software de proteção de terminais ativada; além de manter um olho na configuração correta de todos os sistemas conectados e aplicar patches de segurança sempre que forem lançados.

Por último, mas definitivamente não menos importante, verifique se você tem um software de segurança avançado e de várias camadas instalado. Produtos de segurança como o Sophos Intercept X protegem unidades locais fixas e removíveis, bem como unidades compartilhadas remotas mapeadas e pastas locais compartilhadas - no endpoint e nos servidores.

Conheça mais sobre as diferentes famílias de ransomware e as táticas utilizadas por cada uma em https://www.sophos.com/en-us/medialibrary/PDFs/technical-papers/sophoslabs-ransomware-behavior-report.pdf


Compartilhe:: Participe do GRUPO SEGS - PORTAL NACIONAL no FACEBOOK...: https://www.facebook.com/groups/portalnacional/

Separador
IMPORTANTE.: Voce pode replicar este artigo. desde que respeite a Autoria integralmente e a Fonte...  www.segs.com.br
Separador
No Segs, sempre todos tem seu direito de resposta, basta nos contatar que voce sera atendido. - Importante sobre Autoria ou Fonte..: - O Segs atua como intermediario na divulgacao de resumos de noticias (Clipping), atraves de materias, artigos, entrevistas e opinioes. - O conteudo aqui divulgado de forma gratuita, decorrem de informacoes advindas das fontes mencionadas, jamais cabera a responsabilidade pelo seu conteudo ao Segs, tudo que e divulgado e de exclusiva responsabilidade do autor e ou da fonte redatora. - "Acredito que a palavra existe para ser usada em favor do bem. E a inteligencia para nos permitir interpretar os fatos, sem paixao". (Autoria de Lucio Araujo da Cunha) - O Segs, jamais assumira responsabilidade pelo teor, exatidao ou veracidade do conteudo do material divulgado. pois trata-se de uma opiniao exclusiva do autor ou fonte mencionada. - Em caso de controversia, as partes elegem o Foro da Comarca de Santos-SP-Brasil, local oficial da empresa proprietaria do Segs e desde ja renunciam expressamente qualquer outro Foro, por mais privilegiado que seja. O Segs trata-se de uma Ferramenta totalmente automatizada e controlada por IP. - "Leia e use esta ferramenta, somente se concordar com todos os TERMOS E CONDICOES DE USO".
Separador

Adicionar comentário

Aja com responsabilidade, aos SEUS COMENTÁRIOS em Caso de Reclamação, nos reservamos o Direito, a qualquer momento de Mudar, Modificar, Adicionar, ou mesmo Suprimir os comentarios de qualquer um, a qualquer hora, sem aviso ou comunicado previo, leia todos os termos... CLIQUE AQUI E CONHEÇA TODOS OS TERMOS E CONDIÇÕES DE USO. - O Nosso muito obrigado - Ferramenta Automatizada...IMPORTANTE: Comentários com Link são bloqueados automaticamente (Comments with Links are automatically blocked.)...Sucesso!


voltar ao topo

Notícias ::

Mais Itens ::

NEWSLETTER SEGS