Sophos explica: novo LockFile Ransomware usa criptografia intermitente de arquivos para evitar a detecção

A Sophos, líder global em cibersegurança de próxima geração, publica hoje uma nova pesquisa chamada "LockFile Ransomware’s Box of Tricks: Intermittent Encryption and Evasion", que revela como os operadores por trás do ransomware LockFile criptografam pacotes alternativos de 16 bytes em um documento para evitar a detecção. De acordo com os pesquisadores da Sophos, essa nova abordagem, que a companhia está chamando de “criptografia intermitente”, ajuda o ransomware a evitar um alerta vermelho porque o novo método de criptografia é estatisticamente muito semelhante ao original não criptografado. Esta é a primeira vez que os pesquisadores da Sophos viram essa abordagem usada em ransomware.

“A criptografia parcial é geralmente usada por operadores de ransomware para acelerar o processo de criptografia e vimos os ransomware BlackMatter, DarkSide e LockBit 2.0 implementarem essa técnica”, disse Mark Loman, Diretor de Engenharia da Sophos. “O que diferencia o LockFile é que, ao contrário dos outros, ele não criptografa os primeiros blocos. Em vez disso, o LockFile criptografa todos os outros 16 bytes de um documento. Isso significa que um arquivo, como um documento de texto, permanece parcialmente legível e se parece estatisticamente com o original. Esse truque pode ser bem-sucedido contra software de detecção de ransomware que depende da inspeção de conteúdo usando análise estatística para detectar criptografia", completa.

“O ransomware LockFile aparentemente surgiu do nada e os operadores por trás dele não hesitaram em explorar vulnerabilidades recém-publicadas e corrigidas – dos bugs do ProxyShell à prova de conceito PetitPotam publicada recentemente. Eles também parecem ansiosos para aproveitar sua nova abordagem de criptografar arquivos intermitentemente para garantir que seus ataques funcionem. A mensagem para os defensores é que o cenário da ameaça cibernética nunca para e os adversários aproveitarão rapidamente todas as oportunidades ou ferramentas possíveis para lançar um ataque bem-sucedido. Segurança significa estar pronto e resiliente contra os ataques de amanhã. Isso requer tecnologias profundas e inteligentes, além de detecção e resposta humana”.

Outras descobertas importantes detalhadas na nova pesquisa da Sophos incluem:

O ransomware LockFile usa um processo relativamente incomum conhecido como “entrada/saída (E/S) mapeada na memória” para criptografar um arquivo. Esta técnica permite que o ransomware criptografe documentos que estão armazenados em cache na memória do computador, sem criar tráfego telemático de entrada/saída adicional que as tecnologias de detecção irão identificar. Esta técnica também foi usada pelos ransomwares WastedLocker e Maze;
Em linha com outro ransomware dirigido por humanos, o LockFile não precisa se conectar a um centro de comando e controle para se comunicar. Isso reduz o tráfego e ajuda a manter a atividade de ataque sob o radar de detecção pelo maior tempo possível. Depois que o ransomware criptografa todos os documentos da máquina, ele se exclui. Isso significa que, após o ataque, não há binário de ransomware para que os respondentes a incidentes ou software de proteção de endpoint encontrem ou limpem;

Como uma técnica adicional, o Lockfile evita criptografar cerca de 800 tipos de arquivos diferentes por extensão, confundindo ainda mais algumas proteções anti-ransomware.

Confira a seguir as práticas recomendadas pela Sophos para ajudar na defesa contra o LockFile e outros tipos de ransomware e ciberataques relacionados:

Em um nível estratégico:
- Implante proteção em camadas. Como mais ataques de ransomware também envolvem roubos e extorsão, é mais importante do que nunca manter os adversários afastados. Use proteção em camadas para bloquear invasores o máximo possível;
- Combine a inteligência humana e tecnologia anti-ransomware. A chave para parar o ransomware é a defesa em profundidade que combina tecnologia dedicada e caça de ameaças liderada por humanos. A tecnologia fornece a escala e a automação de que uma organização precisa, enquanto os especialistas humanos são mais capazes de detectar as táticas, técnicas e procedimentos reveladores que indicam que um invasor está tentando entrar no ambiente. Se as organizações não têm as habilidades internas, elas devem buscar o apoio de empresas especialistas em segurança cibernética;

Em níveis táticos, do dia-a-dia:
- Monitore e responda aos alertas – Certifique-se de que as ferramentas, processos e recursos (pessoas) apropriados estejam disponíveis para monitorar, investigar e responder às ameaças vistas no ambiente. Os criminosos de ransomware muitas vezes cronometram seu ataque fora do horário de pico, nos fins de semana ou durante os feriados, supondo que poucos ou nenhum pessoal está observando;
- Defina e aplique senhas fortes – As senhas fortes servem como uma das primeiras linhas de defesa, que devem ser exclusivas ou complexas e nunca reutilizadas. Isso é mais fácil de fazer se você fornecer à equipe um gerenciador de senhas que possa armazenar suas credenciais;
- Use Autenticação Multifator (MFA) – Até mesmo senhas fortes podem ser comprometidas. Qualquer forma de autenticação multifator é melhor do que nenhuma para proteger o acesso a recursos críticos, como e-mail, ferramentas de gerenciamento remoto e ativos de rede;
- Bloqueie os serviços acessíveis – Execute varreduras de fora da rede da sua organização e identifique e bloqueie as portas comumente usadas por VNC, RDP ou outras ferramentas de acesso remoto. Se uma máquina precisa ser alcançada usando uma ferramenta de gerenciamento remoto, coloque essa ferramenta atrás de uma VPN ou solução de acesso à rede de confiança zero que usa MFA como parte de seu login;
- Pratique a segmentação e o sistema Zero Trust – Separe os servidores críticos uns dos outros e das estações de trabalho, colocando-os em VLANs separadas enquanto você trabalha em direção a um modelo de rede de confiança zero;
- Faça backups offline de informações e aplicativos – Mantenha seus backups atualizados e tenha cópias offline;
- Faça o inventário de seus ativos e contas - Dispositivos desprotegidos e sem patches na rede aumentam o risco e criam uma situação em que atividades maliciosas podem passar despercebidas. É vital ter um inventário atualizado de todos os computadores e dispositivos IoT conectados. Use varreduras de rede e verificações físicas para localizar e catalogar seus arquivos;
- Certifique-se de que os produtos de segurança estejam configurados corretamente - Sistemas e dispositivos subprotegidos também são vulneráveis. É importante que garantir que as soluções de segurança sejam configuradas corretamente e que se verifique e, quando necessário, atualize as políticas de segurança regularmente. Novos recursos de segurança nem sempre são ativados automaticamente;
- Auditoria do Active Directory (AD) - Realize auditorias regulares em todas as contas no AD, garantindo que nenhuma tenha mais acesso do que o necessário para sua finalidade. Desativar contas para funcionários que estão saindo da empresa assim que eles se desligarem;
- Patches e atualizações - Mantenha o Windows e outros softwares atualizados. Isso também significa verificar se os patches foram instalados corretamente e, em particular, se estão em vigor para sistemas críticos, como máquinas voltadas para a Internet ou controladores de domínio.

As soluções de segurança da Sophos, como o Sophos Firewall e o Intercept X, protegem os usuários detectando atividades maliciosas e ações e comportamentos de ransomware e outros ataques. O ato de tentar criptografar arquivos é bloqueado pelo recurso CryptoGuard do Intercept X e os clientes que executam produtos Intercept X configurados corretamente são protegidos contra este novo ransomware.

Para saber mais, leia o artigo LockFile em SophosLabs Uncut.

Sobre a Sophos

A Sophos é líder mundial em cibersegurança de próxima geração, protegendo mais de 500.000 organizações e milhões de consumidores em mais de 150 países contra as ameaças cibernéticas mais avançadas da atualidade. Impulsionada por inteligência de ameaças, IA e machine learning da SophosLabs e SophosAI, oferece um amplo portfólio de produtos e serviços avançados para proteger usuários, redes e endpoints contra ransomware, malware, exploits, phishing e uma ampla gama de outros ataques cibernéticos. A Sophos fornece um único console de gerenciamento baseado em nuvem integrado, Sophos Central – a peça central de um ecossistema de segurança cibernética adaptável que apresenta um data lake centralizado que alavanca um conjunto rico de APIs abertas disponíveis para clientes, parceiros, desenvolvedores e outros fornecedores de cibersegurança. A Sophos vende seus produtos e serviços por meio de parceiros revendedores e provedores de serviços gerenciados (MSPs) em todo o mundo. A Sophos está sediada em Oxford, Reino Unido.