Há muitas versões diferentes de ransomware. No entanto, analisar os IOCs específicos com base em nomes de domínio suspeitos, endereços IP e hashes de arquivos associados a atividades mal-intencionadas conhecidas pode ajudar a saber mais sobre a origem do ataque e como responder.
Entendendo o ransomware
Ransomware é um tipo de malware que criptografa dados de alto valor de uma organização, como arquivos, documentos e imagens, e depois exige um resgate da empresa para restaurar o acesso a esses dados. Para ser bem-sucedido, o malware ransomware precisa obter acesso a um sistema-alvo, criptografar os arquivos ali e exigir um resgate da empresa. Um resgate em bitcoin ou criptomoeda precisaria então ser pago para liberar os arquivos de dados criptografados.
Ransomware é um tipo de malware que criptografa os dados de uma organização e exige que a empresa pague um resgate para desbloquear arquivos criptografados.
O ransomware, que antes era simplesmente um tipo de malware incômodo usado por cibercriminosos para restringir o acesso a arquivos e dados por meio de criptografia, se transformou em um método de ataque de proporções épicas. Embora o risco da perda permanente de dados por si só seja preocupante, os cibercriminosos e hackers de estados-nações tornaram-se sofisticados o suficiente para usar o ransomware para se infiltrar e prejudicar grandes empresas, governos federais, infraestrutura global e organizações de saúde.
Qual é o impacto do ransomware?
Em 2020, o ataque de ransomware Snake paralisou totalmente as operações globais da Honda. Na mesma semana, o Snake, uma forma de malware de criptografia de arquivos, também atingiu a empresa sul-americana de distribuição de energia, a Enel Argentina. Em 2019, os cibercriminosos criptografaram arquivos que congelaram as redes de computadores da Pemex, o conglomerado estatal de petróleo e gás do México, exigindo US$ 5 milhões para restaurar o serviço. E em 2017, a criptoworm da WannaCry atingiu 230.000 computadores em todo o mundo, explorando uma vulnerabilidade do Microsoft Windows.
Hoje, devido a uma combinação de tecnologias desatualizadas, estratégias de defesa medianas que focam apenas em perímetros e pontos de extremidade, falta de treinamento, hábitos de segurança ineficientes e nenhuma solução garantida conhecida, organizações de todos os portes estão em risco. Especialmente porque os cibercriminosos estão se dedicando a criptografar o maior número possível de sistemas de computador na rede corporativa para extorquir um resgate que varia de milhares a milhões de dólares. Na verdade, a previsão é de que os ataques de ransomware ocorram a cada onze segundos em 2021 e gerem prejuízos de US$ 20 bilhões.
Como o ransomware se propaga?
Um método popular para introduzir ransomware em um novo ambiente é pelo uso de phishing ou e-mails de phishing. Um e-mail ou anexo de e-mail mal-intencionado pode conter um link para um website que hospeda um download de malware ou um anexo com um downloader integrado. Se o destinatário do e-mail abrir o e-mail de phishing, o ransomware será baixado e executado instantaneamente no computador.
Assim que um endpoint ou computador da vítima for infectado, o ataque cibernético tentará se propagar para o maior número possível de máquinas em toda a rede, executando movimento lateral não autorizado para maximizar o raio de ação (criptografando o maior número possível de discos).
Outro vetor de infecção de ransomware popular aproveita os Protocolos de área de trabalho remota (RDPs) . Com o RDP, um hacker que obteve acesso às credenciais de login pode usá-las para autenticar e acessar remotamente endpoints em uma rede corporativa. Com esse acesso, os agentes mal-intencionados podem baixar e executar diretamente o malware em máquinas sob o controle deles e tentar mover-se lateralmente pelo ambiente, capturando e criptografando dados em outros ativos.
A criptografia dos arquivos de um usuário é o aspecto exclusivo de um ataque de ransomware. Ao criptografar dados altamente valiosos, os cibercriminosos ou invasores de ransomware podem exigir um resgate em troca das chaves de decodificação ou descriptografia para liberar os arquivos de volta para a empresa. No entanto, os hackers de ransomware nem sempre liberam os arquivos criptografados de volta para a organização, mesmo que elas paguem o resgate.
Leia mais em nossa publicação no blog Como o ransomware se espalha?
Por que firewalls legados falham ao tentar se proteger contra ransomware?
Os firewalls legados controlam as comunicações entre VLANs e zonas. No entanto, os firewalls legados não permitem o bloqueio do tráfego dentro da VLAN, portanto, essa abordagem é ineficaz quando você deseja impedir a propagação dentro de um segmento. Isso se deve a diferentes limitações de arquitetura de rede com o modelo de firewall legado existente. Uma vez que um invasor tenha comprometido uma máquina em uma única VLAN, ele acabará comprometendo outra máquina na mesma VLAN e a usará para saltar para outros ativos no data center, incluindo servidores de backup.
Como detectar e bloquear ameaças de ransomware
Como defensor, você deseja limitar o acesso entre as máquinas o máximo possível para evitar o movimento lateral. Especialmente em torno dos protocolos e serviços que as campanhas de ransomware costumam explorar. Não há motivo para os laptops dos funcionários se comunicarem uns com os outros e não há motivo para os membros do domínio se conetarem por SMB.
Nossas soluções de microssegmentação permitem que o defensor limite o tráfego entre duas máquinas. Como a plataforma usa uma abordagem de segmentação baseada em software, é possível criar políticas que bloqueiem a comunicação entre laptops ou limitem o tráfego SMB entre membros do domínio e permitam que eles acessem apenas servidores específicos, como o controlador de domínio.
Além disso, a Akamai proporciona visibilidade, até o nível de processos, das comunicações e dependências entre seus ativos. Isso possibilita que você avalie o risco com antecedência e desenvolva estratégias proativas para proteger ativos críticos e componentes de alto risco, como backups.
A plataforma também vem com recursos robustos de detecção de ameaças, para que você possa se comunicar com domínios mal-intencionados conhecidos ou buscar a presença de processos mal-intencionados conhecidos em seu ambiente que possam indicar uma violação de malware.
Leia mais em nossa publicação no blog Quatro técnicas para detecção de ransomware com antecedência
O que deverei fazer se eu for atacado por ransomware?
Como o ransomware depende do movimento lateral para executar um ataque bem-sucedido, é aí que as organizações devem concentrar seus esforços. Se você determinar que um ataque de ransomware ativo está em andamento, use ferramentas que forneçam visibilidade para entender o escopo da violação. Com base no que você aprendeu, é possível isolar partes afetadas da rede do restante da organização e adicionar mais camadas de segurança a aplicações e backups essenciais. Somente depois de tomar as medidas de mitigação e restaurar os serviços, você deverá reativar gradualmente os fluxos de comunicação.
Assim que tiver uma lista de todas as máquinas infectadas e IOCs (indicadores de comprometimento), você pode começar a desinfecção. Divida suas máquinas em três grupos de rótulos: Isolado, monitorado e limpo.
Leia mais em nossa publicação no blog Interrupção de ransomware e movimentos laterais com segmentação
Como funciona o crypto ransomware?
Um ataque de ransomware começa com uma violação inicial, muitas vezes possibilitada pela engenharia social, um e-mail de phishing, anexo de e-mail mal-intencionado ou vulnerabilidades no perímetro da rede. O malware começará a se mover pela sua rede e tentará maximizar os danos a partir do ponto de chegada. Normalmente, os agentes mal-intencionados buscam assumir o controle de um controlador de domínio, comprometer credenciais e localizar e criptografar quaisquer backups de dados para impedir que os operadores restem serviços infectados e congelados.
Como você descobre o tipo de ransomware?
Quais são as formas mais comuns de ransomware?
Algumas campanhas são ameaças avançadas e persistentes altamente direcionadas (APTs) executadas por um agente mal-intencionado, enquanto outras são oportunistas, normalmente executadas por scripts. No entanto, existem duas categorias principais. Os ataques que criptografam arquivos e os mantêm para pagamentos de resgate são conhecidos como crypto ransomware, e o ransomware que impede que os usuários acessem um dispositivo é conhecido como locker ransomware.
Novos tipos de ransomware, código mal-intencionado, software mal-intencionado, anexos mal-intencionados, scareware, e outras variantes de ransomware estão aparecendo frequentemente. Há até mesmo casos documentados de ransomware como serviço (RaaS) pago, um exemplo sendo o REvil (Ransomware Evil, também conhecido como Sodinokibi), que era um RaaS privado baseado na Rússia ou em russo.
Como o ransomware começou?
Em comparação a apenas alguns anos atrás, a maioria de ataques de ransomware usava a técnica de malvertising como vetor de invasão inicial, visando praticamente qualquer indivíduo que executasse os anúncios mal-intencionados, desde o responsável pela contabilidade de uma grande corporação até uma senhora de idade lendo seus e-mails. O ransomware realmente não distinguia quem era o alvo, ele era direcionado a todos e se essas vítimas pagassem, ótimo, se não pagassem, tudo bem, porque havia muitos outros peixes no mar.
No entanto, tudo isso mudou em 2012 com o Shamoon, um ataque cibernético iraniano direcionado à corporação Saudi Aramco. O Shamoon permitiu que os invasores extraíssem grandes quantidades de informações da Aramco e, uma vez que a extração foi feita, os invasores usaram o Shamoon para substituir o registro mestre de inicialização nas máquinas atacadas, tornando-as inúteis até que fossem reinstaladas. Essa perda de funcionalidade causou uma quantidade substancial de tempo de inatividade para a empresa.
Locky é um malware ransomware lançado em 2016. Ele é distribuído por e-mail (supostamente, uma fatura que exige pagamento) com um documento anexo do Microsoft Word contendo macros mal-intencionadas. Quando o usuário abre o documento, ele parece estar cheio de informações desconexas e inclui a expressão "Habilitar macro se a codificação de dados estiver incorreta", uma técnica de engenharia social.
Petya é uma família de malware de criptografia descoberta pela primeira vez em 2016. O malware tem como alvo sistemas baseados no Microsoft Windows, infectando o registro mestre de inicialização para executar uma carga que criptografa a tabela do sistema de arquivos de um disco rígido e impede que o Windows seja inicializado. Em seguida, exige que o usuário faça um pagamento em bitcoin para recuperar o acesso ao sistema.
Como o ransomware evoluiu?
Avancemos rapidamente para 2017. WannaCry e NotPetya, dois ataques devastadores de ransomware, causaram estragos em grandes corporações e entidades governamentais. A particularidade sobre esses ataques, além de mostrar a fragilidade da Internet, foi que eles usaram vulnerabilidades de dia zero para se mover lateralmente entre computadores na rede de uma forma virulenta, infectando e tornando cada máquina encontrada completamente inútil. Muito foi escrito sobre NotPetya e WannaCry, mas sabemos hoje que os motivos por trás desses ataques estavam relacionados a ataques cibernéticos iniciados por um inimigo do estado-nação.
Esses ataques de ransomware começaram a ser usados por grupos de crimeware, que até então estavam focados principalmente no uso de malwares como Zeus (e todas as variantes) para violar contas bancárias de pessoas para roubar dinheiro. Essa era geralmente uma operação longa, complicada e arriscada, especialmente quando se tratava de efetivamente receber o dinheiro. Até agora, a crença predominante era simplesmente que poderia ser mais fácil visar só grandes corporações e chantageá-las para enviar grandes quantias de dinheiro em bitcoin, o que tornou o ransomware mais uma ameaça corporativa que deve preocupar os CISOs, mas não necessariamente os cidadãos privados desavisados.
Ryuk é o nome de uma família de ransomware, descoberta pela primeira vez em agosto de 2018. Nomeado em homenagem a um personagem fictício de uma popular série de quadrinhos e desenhos animados japoneses, agora é conhecido como uma das famílias de ransomware mais sórdidas que já assolaram os sistemas em todo o mundo.
Agora vá para 2020. Embora a pandemia de COVID-19 continue em todo o mundo e a maioria das pessoas sejam obrigadas a trabalhar em casa, mudando completamente os modelos de ameaça, os fatores de risco e as arquiteturas de rede em um prazo muito curto, o mundo começou a ver os operadores de ataque de ransomware mudarem seu modus operandi. Eles passaram a visar grandes empresas por meio de um ataque de extorsão dupla, em que os invasores não apenas violam a organização, criptografam os arquivos e os sequestram ,como também exfiltram esses dados preciosos e altamente valiosos de volta para os invasores, ameaçando disponibilizar os dados publicamente se o resgate não fosse pago.
Ordem executiva promove segmentação para desacelerar o ritmo do ransomware
Em 2021, destacou-se um memorando da Casa Branca dos EUA com informações sobre o crescimento dos ataques de ransomware, o tópico frequentemente negligenciado sobre a importância da segmentação de rede, bem como as precauções e recomendações mais tradicionais: aplicação de patches, 2FA e produtos de segurança atualizados.
A segmentação de rede ajuda não só a mitigar o risco em alguns casos, mas também a reduzir significativamente o risco de um ataque de extorsão dupla se implementado corretamente, contendo e minimizando o "raio de ação" de um ataque de ransomware. Mesmo que o software antivírus e os EDRs (links) não consigam impedir a execução do ransomware, a segmentação adequada manterá esses danos contidos e não permitirá que os invasores se movam lateralmente pela rede para roubar dados mais confidenciais e criptografar mais máquinas.
A granularidade da segmentação de uma rede com a abordagem de software exclusiva da Akamai permite que você crie "silos de rede" entre servidores, aplicações, diferentes sistemas operacionais, instâncias de nuvem e assim por diante. A força de reduzir o risco de ransomware usando uma política de segmentação adequada vem de sua simplicidade. Um bit pode viajar no fio (ou um Vswitch) para uma máquina diferente (ou uma VM/contêiner) ou pode ser bloqueado, tornando inútil a tentativa dos invasores de alcançar mais recursos na rede, dando à equipe azul mais tempo para responder ao ataque e atualizar as principais partes interessadas da organização para que possam tomar decisões acertadas sobre o ataque.
A segmentação de rede não é uma alternativa para uma plataforma antivírus, antimalware ou EDR, é uma abordagem complementar que comprovadamente reduz significativamente, se não elimina completamente o risco de ataques baseados em movimento lateral em larga escala nas organizações.
Leia mais em nossa publicação no blog EDR vs. Segmentação: Como entender as diferenças
Como combater a ameaça de ransomware?
Essa nova era de ataques de ransomware lança uma luz sobre um problema que demorou a ser resolvido: o movimento lateral.
Para que os invasores extraiam todos esses dados, eles precisam saber onde eles estão na rede, e para saber isso, eles têm que mapear a rede e conhecê-la tão bom (se não melhor) que as pessoas que a construíram originalmente. Isso requer que os invasores se "movam lateralmente" de uma máquina/servidor para outra, geralmente usando credenciais diferentes, roubando-as de várias máquinas na rede.
Muitos fornecedores de segurança tentaram resolver esse problema e alguns foram mais bem-sucedidos do que outros. O mercado de segurança viu novos tipos de produtos surgirem ao longo dos anos para evitar esse problema. De soluções de DLP a EDRs e EPPs, todos eles tentaram, mas tiveram sucesso parcial na resolução do problema do movimento lateral.
Resolver o movimento lateral é difícil, os invasores estão usando os recursos de uma rede contra si mesmos.
Eles usarão credenciais de administrador e várias ferramentas administrativas legítimas (como o próprio Psexec ou Remote Desktop da Microsoft, ou mesmo WMI) movendo-se de máquina para máquina, executando comandos mal-intencionados e cargas úteis para roubar dados e posteriormente criptografar a rede e iniciar a operação de extorsão. Muitas organizações estão investindo recursos na tentativa de colocar um curativo nesse problema, monitorando excessivamente vários recursos usando produtos EDR/EPP que não foram destinados para esse fim, resultando em sucesso parcial na mitigação ou até mesmo na redução do risco de um ataque de ransomware.
Interrupção do movimento lateral com segmentação
No entanto, há uma solução e é muito mais simples de implementar do que você imagina: segmentação de rede. A segmentação é algo que muitas vezes é esquecido ou até mesmo ignorado, já que acredita-se ser difícil de implementar, e requer atenção cuidadosa à engenharia de rede e ao gerenciamento de ativos. Por isso, a segmentação de rede é muitas vezes desconsiderada, deixando as redes "planas", o que significa que cada endpoint ou servidor pode se comunicar entre si sem qualquer restrição.
Até recentemente, a segmentação de uma rede significava colocar diferentes ativos em sub-redes diferentes com um firewall no meio. Isso não permitia nenhuma granularidade, dificultava significativamente o gerenciamento da rede e exigia que os administradores gerenciassem configurações complexas de firewall juntamente com o gerenciamento de alocações de endereços IP em sub-redes diferentes, o que tornava o projeto e o dimensionamento da rede muito mais difícil para a equipe de TI, enquanto configurações incorretas podiam levar a um risco de segurança ou a uma falha de rede (e, em alguns casos, até mesmo ambas!). Isso, mais uma vez, fez com que a equipe de TI não enfatizasse a segmentação e confiasse muito mais nos produtos de prevenção de execução, deixando a rede completamente plana e sem segmentação.
Por que os clientes escolhem a Akamai
A Akamai potencializa e protege a vida online. As principais empresas do mundo escolhem a Akamai para criar, proporcionar e proteger suas experiências digitais, ajudando bilhões de pessoas a viver, trabalhar e se divertir todos os dias. A Akamai Connected Cloud, uma plataforma de nuvem e edge massivamente distribuída, aproxima os apps e as experiências dos usuários e afasta as ameaças.