Como as famílias de ransomware mais frequentes atacam

Um novo relatório reúne as ferramentas e técnicas utilizadas pelas 11 principais famílias de ransomware, incluindo o WannaCry, SamSam, RobbinHood, Ryuk e MegaCortex, entre outros

Como as famílias de ransomware mais frequentes atacam

A Sophos publicou o relatório “How ransomware attacks” que explica como atuam os diferentes ataques de ransomware e quais os efeitos que têm nas suas vítimas. Este documento, que complementa o “Relatório Anual de Cibermeaças da Sophos”, apresenta uma análise detalhada de 11 das mais frequentes e persistentes famílias de ransomware, incluindo o Ryuk, o BitPaymer e o MegaCortex.

A investigação levada a cabo pela SophosLabs destaca a forma como os ataques de ransomware tentam passar despercebidos nos controlos de segurança, aproveitando-se dos processos habitualmente fiáveis e, uma vez dentro da rede, utilizam os sistemas internos para codificar o maior número possível de arquivos e desativar as cópias de segurança e os processos de recuperação, antes que as equipas de IT os consigam detetar.

Os criadores de ransomware têm um enorme conhecimento sobre como o software de segurança funciona e adaptam os seus ataques em conformidade. Tudo está pensado para evitar a deteção enquanto o malware codifica tantos documentos quantos consiga com a maior rapidez possível, para que se torne difícil, ou até mesmo impossível, recuperar os dados. Em certos casos, a parte principal do ataque ocorre de noite, quando as equipas de IT estão em casa a dormir – assim, quando as vítimas descobrem o que está a acontecer, já é demasiado tarde. É imprescindível ter sólidos controlos de segurança e sistemas de monitorização e de resposta locais para cobrir todos os endpoints, redes e sistemas, e para instalar atualizações de software sempre que necessário”, declara Mark Loman, Diretor de Engenharia de Tecnologia para a Migração de Ameaças da Sophos, e autor do relatório.

Algumas das ferramentas e técnicas identificadas no relatório são:

Principais canais de distribuição das famílias de ransomware mais importantes. O ransomware é distribuído normalmente de três formas: como cryptoworm, replicando-se rapidamente noutros computadores, de forma a obter um impacto ainda maior (por exemplo, o WannaCry); através de ataques Ransomware-as-a-Service, vendidos na dark web como um kit distribuível (Sodinikibi, por exemplo); ou através de um ataque automatizado ativo levado a cabo pelos atacantes, que implementam manualmente o ransomware após uma análise automatizada das redes, em busca de sistemas com proteção mais débil. Este tipo de ataques ativos e automatizados são os mais comuns que a Sophos deteta entre todas as famílias de ransomware identificadas no relatório.

Ransomware com código encriptado e que parece fiável. Alguns ataques de ransomware utilizam certificados digitais legítimos, comprados ou roubados, para tentar convencer os sistemas de segurança de que o código é fiável e não é necessário analisá-lo.

Aumento dos privilégios através da utilização de exploits facilmente disponíveis, como o EternalBlue, para aumentar os direitos de acesso. Isto permite aos ciberatacantes a instalação de programas como ferramentas de administração remota (RAT, na sigla em inglês), e a oportunidade de visualizar, alterar ou eliminar dados, criar novas contas com todos os direitos de utilizador e desativar o software de segurança.

Tags

NOTÍCIAS RELACIONADAS

RECOMENDADO PELOS LEITORES

REVISTA DIGITAL

IT INSIGHT Nº 52 Novembro 2024

IT INSIGHT Nº 52 Novembro 2024

NEWSLETTER

Receba todas as novidades na sua caixa de correio!

O nosso website usa cookies para garantir uma melhor experiência de utilização.