Um novo relatório reúne as ferramentas e técnicas utilizadas pelas 11 principais famílias de ransomware, incluindo o WannaCry, SamSam, RobbinHood, Ryuk e MegaCortex, entre outros
A Sophos publicou o relatório “How ransomware attacks” que explica como atuam os diferentes ataques de ransomware e quais os efeitos que têm nas suas vítimas. Este documento, que complementa o “Relatório Anual de Cibermeaças da Sophos”, apresenta uma análise detalhada de 11 das mais frequentes e persistentes famílias de ransomware, incluindo o Ryuk, o BitPaymer e o MegaCortex. A investigação levada a cabo pela SophosLabs destaca a forma como os ataques de ransomware tentam passar despercebidos nos controlos de segurança, aproveitando-se dos processos habitualmente fiáveis e, uma vez dentro da rede, utilizam os sistemas internos para codificar o maior número possível de arquivos e desativar as cópias de segurança e os processos de recuperação, antes que as equipas de IT os consigam detetar. “Os criadores de ransomware têm um enorme conhecimento sobre como o software de segurança funciona e adaptam os seus ataques em conformidade. Tudo está pensado para evitar a deteção enquanto o malware codifica tantos documentos quantos consiga com a maior rapidez possível, para que se torne difícil, ou até mesmo impossível, recuperar os dados. Em certos casos, a parte principal do ataque ocorre de noite, quando as equipas de IT estão em casa a dormir – assim, quando as vítimas descobrem o que está a acontecer, já é demasiado tarde. É imprescindível ter sólidos controlos de segurança e sistemas de monitorização e de resposta locais para cobrir todos os endpoints, redes e sistemas, e para instalar atualizações de software sempre que necessário”, declara Mark Loman, Diretor de Engenharia de Tecnologia para a Migração de Ameaças da Sophos, e autor do relatório. Algumas das ferramentas e técnicas identificadas no relatório são: Principais canais de distribuição das famílias de ransomware mais importantes. O ransomware é distribuído normalmente de três formas: como cryptoworm, replicando-se rapidamente noutros computadores, de forma a obter um impacto ainda maior (por exemplo, o WannaCry); através de ataques Ransomware-as-a-Service, vendidos na dark web como um kit distribuível (Sodinikibi, por exemplo); ou através de um ataque automatizado ativo levado a cabo pelos atacantes, que implementam manualmente o ransomware após uma análise automatizada das redes, em busca de sistemas com proteção mais débil. Este tipo de ataques ativos e automatizados são os mais comuns que a Sophos deteta entre todas as famílias de ransomware identificadas no relatório. Ransomware com código encriptado e que parece fiável. Alguns ataques de ransomware utilizam certificados digitais legítimos, comprados ou roubados, para tentar convencer os sistemas de segurança de que o código é fiável e não é necessário analisá-lo. Aumento dos privilégios através da utilização de exploits facilmente disponíveis, como o EternalBlue, para aumentar os direitos de acesso. Isto permite aos ciberatacantes a instalação de programas como ferramentas de administração remota (RAT, na sigla em inglês), e a oportunidade de visualizar, alterar ou eliminar dados, criar novas contas com todos os direitos de utilizador e desativar o software de segurança. |