Como investigar e recuperar após um ataque de ransomware

Views: 398

Por Russel McDonald | Engenheiro de Software Principal da Thales

Você provavelmente já viu manchetes sobre ataques de ransomware e os desafios monumentais que eles representam para organizações. Mas o que fazer quando um ataque ocorre, mesmo que você tenha uma solução de proteção contra ransomware em vigor?

Neste post, vamos aprofundar nas análises forenses de um ataque de ransomware, mostrando como classificar o ataque e recuperar-se dele se uma solução de proteção contra ransomware estiver em vigor. O ditado antigo “uma onça de prevenção” é verdadeiro neste contexto.

Usando exemplos reais dos ataques de ransomware WannaCry e Crytox, vamos destacar estratégias eficazes de recuperação. Você obterá o conhecimento para navegar por essas crises e entender como o ransomware afeta seus arquivos, considerando que você tenha uma solução de proteção contra ransomware em vigor.

Compreendendo os Ataques de Ransomware

Como o Ransomware Criptografa Arquivos

Os ataques de ransomware frequentemente usam Entrada/Saída em cache para criptografar arquivos rapidamente. Esse método permite que o ransomware criptografe muitos arquivos em cache rapidamente.

Figura 1: Este gráfico mostra o fluxo de um ataque de ransomware em comparação com acessos normais ao processo. O ransomware normalmente usa E/Ss em cache, acionando leituras de paginação para preencher o cache. Em seguida, ele criptografa os dados e os grava de volta no cache. Posteriormente, as E/S de paginação liberam os dados criptografados para o disco.

Tipos de Ataques de Ransomware

Existem dois tipos básicos de ataques de ransomware:

1. Ataques entre arquivos: O ransomware criptografa os dados e os escreve em um novo arquivo, potencialmente com um nome de arquivo aleatório ou em sintaxe de e-mail.
2. Ataques no local: O ransomware lê dados do arquivo original, criptografa-os e os escreve de volta no mesmo arquivo.

Vamos explorar esses tipos por meio de exemplos do mundo real: WannaCry e Crytox.

Ataque de Ransomware Entre Arquivos: WannaCry

Ao simular um ataque de ransomware WannaCry, podemos identificar com precisão suas características e comportamento. Para esta discussão, intencionalmente desativamos parcialmente nossa proteção contra ransomware, permitindo que dois arquivos fossem criptografados no disco. Este cenário controlado cria um rastro de fumaça, fornecendo valiosos insights para discussão e análise.

Detectando e Investigando o WannaCry

Vamos observar um processo de quatro etapas para detectar e investigar o ataque de ransomware. Para nossa discussão, usaremos a Proteção contra Ransomware de Criptografia Transparente CipherTrust (CTE-RWP) como uma ferramenta para nos ajudar a detectar e investigar esses ataques. A sensibilidade de proteção do CTE-RWP foi relaxada para permitir que alguns arquivos sejam infectados antes que o CTE-RWP bloqueie. Aqui está um vídeo curto que mostra isso.

1. Detecção: Quando o ataque começa, você receberá um pop-up do CTE-RWP e uma entrada de log detectada.
2. Análise de Log: Verifique a entrada de log para ver qual diretório foi acessado por último pelo ransomware.
3. Inspeção de Arquivos: Navegue até o diretório e examine os arquivos. Você notará a extensão “.wncry” em vários arquivos, indicando arquivos sombra. Os arquivos originais ao lado deles devem estar claros se bloqueados antes de qualquer gravação de paginação ocorrer. Este arquivo original separado indica um criptografador entre arquivos.

Por favor, note que para alguns ransomwares, se algum compartilhamento de rede foi acessado anteriormente por esse agente, então o ransomware pode ter acessado adicionalmente arquivos nesse sistema remoto, incluindo diretórios naquele sistema que não apenas o compartilhamento. É importante verificar arquivos em qualquer sistema remoto anteriormente acessado por este sistema.

4. Verificação de Volume: Pesquise em todos os volumes por arquivos com a extensão “.wncry” para ver quais arquivos foram criptografados no disco. Como relaxamos nossa proteção contra ransomware, 2 arquivos foram criptografados no disco para esta discussão.

Recuperação do WannaCry

O ransomware pode ter comprometido outros aspectos do sistema, como desabilitar o Gerenciador de Tarefas ou bloquear o acesso ao console do Windows. Por favor, note que sem proteção contra ransomware instalada, as únicas opções de recuperação podem ser pagar o resgate ou restaurar de um backup não afetado.

Para recuperar:

• Desligue o sistema e mova os volumes de dados para outro sistema.
• Verifique a integridade dos arquivos originais.

Ataque de Ransomware no Local: Crytox

Em seguida, vamos examinar um ataque de ransomware no local usando Crytox. Para esta discussão, continuaremos utilizando a ferramenta de Proteção contra Ransomware de Criptografia Transparente CipherTrust (CTE-RWP) para detectar e investigar o ataque. Ajustamos a sensibilidade de proteção do CTE-RWP, permitindo que alguns arquivos sejam infectados antes que o mecanismo de proteção bloqueie mais criptografia. Este cenário controlado cria um rastro de fumaça para análise. Aqui está um vídeo curto ilustrando esse processo.

Detectando e Investigando o Crytox

1. Detecção: Quando o Crytox ataca, ele será detectado rapidamente.
2. Análise de Log: Verifique o log do CTE RWP para ver qual caminho o Crytox estava acessando, que em nosso exemplo é através de svchose.exe e explorer.exe.
3. Inspeção de Arquivos: Os arquivos criptografados têm a extensão “.waiting” sem nomes de arquivos originais deixados ao lado deles, indicando um ataque no local. Verifique os sistemas remotos nos quais você acessou compartilhamentos nesses sistemas remotos.
4. Reinicialização do Sistema: Como o Crytox não reinicia ao reiniciar, reinicie o sistema para limpar o cache. Idealmente, remonte o volume em outro sistema para garantir a segurança. Verifique todos os arquivos com a extensão “.waiting” para garantir que estejam limpos.

Recuperação do Crytox

O ransomware pode ter comprometido outros componentes do sistema, como desabilitar o Gerenciador de Tarefas ou bloquear o acesso ao console do Windows. Por favor, note que sem proteção contra ransomware, as únicas opções de recuperação podem ser pagar o resgate ou restaurar de um backup anterior ao ataque.

• Remonte o volume em um sistema separado e seguro.
• Verifique a integridade dos arquivos originais. Neste exemplo, relaxamos a proteção contra ransomware para permitir que alguns arquivos sejam criptografados, mostrando como dados criptografados têm alta entropia.
• Remova a extensão “.waiting” dos arquivos para restaurar a acessibilidade. Seus arquivos originais claros devem estar acessíveis novamente.

Atenção: Ransomwares Podem Acessar Compartilhamentos Remotos

Um aspecto crucial, mas muitas vezes negligenciado, dos ataques de ransomware é a capacidade de certos tipos de ransomwares de explorar compartilhamentos remotos, ganhando acesso a todos os diretórios no sistema conectado. Lockbit é um exemplo primordial.

Se o Lockbit comprometer o Sistema A e o Sistema A tiver acessado anteriormente um compartilhamento no Sistema Remoto B, então o Lockbit pode potencialmente acessar todos os diretórios no Sistema B. Isso significa que após um ataque ao Sistema A, é imperativo verificar prontamente e minuciosamente todos os outros sistemas que o Sistema A acessou para evitar mais propagação e danos do ransomware. Se um compartilhamento de fato for visto como tendo sido atacado, então verifique todos os outros diretórios nesse sistema remoto também.

Resumo

Aqui estão os passos a tomar após detectar um ataque de ransomware:

• Encontre o último diretório acessado pelo ransomware usando os logs CTE-RWP.
• Explore o diretório afetado para encontrar a extensão ou padrão de nome que o ransomware usou para os arquivos criptografados.
• Verifique os sistemas remotos anteriormente acessados por este sistema.
• Desligue e remonte os volumes de dados em outro sistema.
• Procure nos volumes por arquivos com a extensão ou padrão de nome do ransomware.
• Verifique a integridade dos arquivos, focando nos arquivos originais para ataques entre arquivos e nos arquivos criptografados para ataques no local.

Esse artigo tem informações retiradas do blog da Thales. A Neotel é parceira da Thales e, para mais informações sobre as soluções e serviços da empresa, entre em contato com a gente.