Ransomware: Cuidado com 13 Táticas, Ferramentas e Procedimentos

Views: 506
0 0
Read Time:8 Minute, 33 Second
Ransomware: Cuidado com 13 Táticas, Ferramentas e Procedimentos
O Cobalt Strike é uma ferramenta legítima de penetração que os atacantes empunhando ransomware geralmente usam para ajudar a atingir alvos.

Ransomware continua a picar inúmeras organizações, e o problema só parece estar piorando. Assim, defensores de todos os tipos de organização-alvo – incluindo agências governamentais e empresas privadas – fariam bem em ter defesas mais eficazes.

Tais defesas idealmente incluem organizações que procuram proativamente táticas, técnicas e procedimentos conhecidos de atacantes de ransomware. Esse tipo de caça a ameaças pode ajudar os defensores a detectar ataques na fase de reconhecimento antes de progredirem para que os dados sejam filtrados ou sistemas sejam bloqueados por criptografia.

Mas por onde começar?

Primeiro, talvez, reconhecendo que o status quo não está funcionando. Na verdade, o ransomware continua a gerar grandes lucros para os criminosos, relata a empresa de resposta a incidentes de ransomware Coveware.

Estes são pagamentos médios e medianos de resgate feitos pelas vítimas com base em milhares de casos investigados por trimestre pela Coveware. Embora as médias tenham diminuído recentemente, os lucros gerais permanecem altos.

O estado das defesas de ransomware não parece estar melhorando – ou pelo menos não tão rapidamente quanto os atacantes continuam a inovar. No ano passado, “pelo menos 113 governos e agências federais, estaduais, municipais e municipais foram impactados pelo ransomware que, coincidentemente, é exatamente o mesmo número que foi impactado em 2019”, relata a empresa de segurança Emsisoft em um resumo das tendências de ransomware.

No ano passado, “globalmente, mais de 1.300 empresas, muitas com sede nos EUA, perderam dados, incluindo propriedade intelectual e outras informações confidenciais”, diz Emsisoft.

Esse número conta apenas organizações que relataram publicamente que sofreram uma infecção por ransomware ou tiveram dados roubados em sites de vazamentos. Como a subnotificação de crimes é generalizada, o nível real de ataques de ransomware é provavelmente muito maior do que o que foi relatado.

Mas é notável que, ao comparar tudo de 2019 com 2020, a Emsisoft não viu crescimento no número de vítimas de ransomware.

“Os números permaneceram relativamente estáveis, apesar da COVID-19 e da transição para o trabalho remoto”, diz Brett Callow, consultor de ameaças da Emsisoft. “Isso provavelmente é porque a pandemia causou tantos problemas para os cibercriminosos quanto para as organizações. As superfícies de ataque foram alteradas e levou tempo para que os atores da ameaça se ajustassem – e é por isso que o número de incidentes caiu significativamente nos primeiros dias da pandemia.”

Grandes Operadores Recrutam Especialistas

Dado o potencial de lucros a serem obtidos via ransomware, mais operações têm se juntadoà briga, bem como ao upscaling, diz John Fokker, chefe de investigações cibernéticas e equipe vermelha da McAfee Advanced Threat Research. Ele diz que algumas das principais habilidades que estão sendo buscadas por operações bem-sucedidas incluem testes de penetração – usando ferramentas como Metasploit e Cobalt Strike. Familiaridade com ferramentas e ambientes de administração do sistema, incluindo armazenamento e backups conectados à rede – por exemplo, usando o Microsoft Hyper-V – também estão em demanda, diz ele.

Obter acesso às organizações e manter esse acesso continua sendo uma prioridade, não importa o impacto nos sistemas hackeados, diz Tom Kellermann, chefe de estratégia de segurança cibernética da VMware.

“Em geral, o ransomware tem mais de 14 técnicas diferentes de evasão”, diz ele. Isso inclui virtualização, evasão de sandbox, modificação de registros, ofuscar arquivos e desativar ferramentas de segurança.

“Mas o mais importante, precisamos apreciar que vimos um renascimento dos tootkits. Eles querem voltar. Eles estão ficando dentro; a persistência é uma prioridade”, diz ele. “O mais importante agora é que isso muda o jogo, especialmente quando vimos uma onda de resposta a contra-incidentes, que está ocorrendo 82% das vezes agora – tudo, desde a exclusão de registros até a destruição de infraestrutura ou dados.”

A primeira prioridade dos atacantes após a invasão, no entanto, é tipicamente complicar a chance de recuperação de uma vítima. “Eles penetram nos backups primeiro para evitar a ressurreição”, diz Kellermann.

Defesas Essenciais

O mandato é claro para as organizações: Tenha defesas robustas de ransomware em vigor, ou então.

“As organizações precisam estar preparadas para um ataque de ransomware”, diz a empresa de segurança cibernética FireEye em um relatório recente. “Isso significa garantir que as redes sejam segmentadas, que um plano real esteja em vigor e que exercícios de mesa tenham sido realizados com líderes seniores e outros funcionários-chave para que todos estejam prontos para tomar uma ação ideal. As organizações devem ter um contrato de nível de serviço de resposta a incidentes – SLA – em vigor. Eles também devem estabelecer backups seguros para os quais as equipes possam reverter quando necessário.”

Outra defesa essencial: manter todos os softwares atualizados. Para ataques investigados por atendentes de incidentes na empresa de segurança Group-IB no ano passado, explorar falhas conhecidas que não haviam sido corrigidas “foi um dos vetores de acesso inicial mais populares entre os atores de ameaças” e, especialmente, para grandes caçadores de caças, diz Oleg Skulkin, principal especialista em perícia digital da empresa. A caça ao grande jogo refere-se a derrubar alvos maiores na busca por maiores recompensas de resgate.

Especialistas também recomendam o uso de autenticação multifatorial para proteger protocolo de área de trabalho remota e o acesso VPN. Sem MFA, os atacantes só precisam força bruta ou roubar credenciais válidas para acessar remotamente sistemas.

“Se você tiver autenticação multifatorial, mesmo que os atacantes tenham credenciais adequadas, será impossível para eles” acessar remotamente os sistemas simplesmente usando essas credenciais, observa Skulkin. Finalmente, treinar funcionários e especialmente equipes de segurança cibernética para “prevenir e responder melhor a tais ataques” continua sendo essencial, observa ele.

Caça às Ameaças: 13 TTPs para Cuidado

Para identificar melhor quando eles foram violados, especialistas recomendam que as organizações procurem atacantes de ransomware que possam estar dentro de suas redes. Aqui estão apenas algumas das táticas, técnicas e procedimentos que estão sendo amplamente utilizados pelos operadores de ransomware em seus esforços que as organizações devem monitorar:

  • AdFind: Esta ferramenta de linha de comando do Active Directory é empregada – como tantos utilitários legítimos – por vários criminosos, diz Group-IB.
  • Verificador IP avançado: O desenvolvedor Famatech diz que seu scanner de rede gratuito “mostra todos os dispositivos de rede, fornece acesso a pastas compartilhadas, fornece controle remoto de computadores (via RDP e Radmin) e pode até desligar remotamente os computadores”. O Group-IB diz que os atacantes às vezes abandonam a ferramenta ou simplesmente a baixam nos sistemas do site oficial, como parte de seus esforços de penetração na rede.
  • Trojans “bancários”: Trickbot e Qakbot estão entre os tipos de malware que começaram como Trojans bancários, mas que foram redesenhados para ajudar as gangues a obter acesso inicial a um sistema e depois “soltar” outros tipos de malware, incluindo ransomware. Por causa do crescente cruzamento entre esse tipo de malware e ransomware, “achamos que as empresas devem investigar infecções com mais cuidado, em vez de apenas reimaginar a máquina e seguir em frente”, diz Ariel Jungheit, da Equipe Global de Pesquisa e Análise do Kaspersky Lab.
  • Criptografia de Unidade BitLocker: A menos que seja administrada corretamente, esta ferramenta, incorporada a versões recentes do Windows, pode ser usada por atacantes para criptografar à força todos os PCs. “Nem sempre é preciso um pedaço de malware para resgatar sistemas”, diz Rick McElroy, chefe de estratégia de segurança da VMware.
  • ClearLock: Esta ferramenta de bloqueio de tela é usada por atacantes “para que os administradores de sistema e outros funcionários não possam fazer login e cancelar processos de criptografia”, diz Skulkin, do Group-IB.
  • Armazenamento em Nuvem: “Os operadores de ransomware geralmente usam armazenamento em nuvem para filtrar dados confidenciais de redes comprometidas”, diz Group-IB. A empresa de segurança Sophos diz que os três principais sites que os atacantes usam para enviar dados filtrados são o Google Drive, o Amazon Simple Storage Service e o serviço de compartilhamento de arquivos Mega.
  • Cobalt Strike: Esta ferramenta de teste de penetração é usada por “cerca de 70% de todos os grupos envolvidos na caça de grandes jogos”, diz Skulkin.
  • Explorações: As gangues de ransomware têm como alvo vulnerabilidades em serviços de acesso remoto, como a falha CVE-2019-11510 no Pulse Secure e falhas nos produtos Pulse Secure, Fortinet e Palo Alto, diz Skulkin. Tais falhas podem dar aos atacantes acesso fácil e remoto à infraestrutura de uma vítima. Por outro lado, especialistas dizem que manter esses sistemas corrigidos pode levar os atacantes a procurar em outro lugar.
  • IObit Uninstaller: Este utilitário do Windows foi projetado para instalar arquivos indesejados. Os criminosos geralmente usam a ferramenta para desativar ou ajudar a evitar software antivírus.
  • Mimikatz: Esta ferramenta disponível gratuitamente pode ser usada para despejar senhas do Windows e ajudar atacantes a aumentar privilégios. Skulkin diz que continua amplamente utilizado e muitas vezes é implantado sem que os atacantes se preocupem em renomear ou tentar escondê-lo.
  • NLBrute: Isso foi projetado para adivinhar uma ampla gama de senhas RDP.
  • NS2: Hackers empunhando malware usam este utilitário para montar unidades de rede e compartilhamentos disponíveis para permitir que seu código malicioso se espalhe mais.
  • PsExec: A Microsoft chama isso de “uma substituição leve de telnet que permite executar processos em outros sistemas”. Especialistas em segurança dizem que inúmeras gangues confiam nele para ajudar a derrubar vítimas.

Preparação Paga

Dedicar recursos à caça a ameaças e à observação de TTPs conhecidos, além de colocar defesas essenciais em prática, não impedirá todos os atacantes empunhando ransomware em seus rastros.

“As organizações serão direcionadas e comprometidas, por isso é crucial ter estratégias de prevenção e recuperação em vigor”, diz FireEye. Isso inclui a implementação de estratégias de resposta a incidentes bem afiadas.

Mas qualquer coisa que uma organização possa fazer para tornar a vida mais difícil para atacantes empunhando ransomware pode levar os criminosos a procurar em outro lugar. Da mesma forma, estratégias de resposta de afiação podem diminuir melhor o impacto de um ataque em andamento, expulsar atacantes de redes e mitigar mais rapidamente os danos. Como em todos os aspectos da defesa contra ransomware, o planejamento compensa.

FONTE: BANKINFO SECURITY

POSTS RELACIONADOS