0
0
O cenário de ransomware evoluiu consideravelmente desde que o WannaCry levou dramaticamente para casa a gravidade potencial da ameaça há cinco anos, em 12 de maio. O que mudou um pouco menos no mesmo período é a preparação da empresa diante dos ataques de ransomware.
O Ransomware surgiu e permaneceu entrincheirado como um dos problemas de segurança mais difíceis para organizações em todos os setores nos últimos anos. O wannaCry em si, embora não tão difundido como era inicialmente, continua sendo uma ameaça potente e até mesmo figurado em algumas listas de fornecedores das principais ameaças de malware tão recentemente quanto em novembro passado.
Na maioria das contas, as organizações corporativas melhoraram na correção de vulnerabilidades e na atualização de softwares obsoletos e desatualizados. Mesmo assim, a versão vulnerável do protocolo Server Message Block (SMB) que o WannaCry usou para se espalhar como fogo permanece em uso generalizado entre organizações e regiões. A maioria dos ataques contra o protocolo SMB ainda tenta explorar eternalblue, a exploração que foi usada nos ataques do WannaCry. Os programas de gerenciamento de patches e vulnerabilidades continuam a representar desafios, assim como práticas como detecção de ameaças, remediação e resposta.
Enquanto isso, o ransomware e a maneira como ele é usado mudou. Muitos ataques de ransomware hoje em dia são altamente direcionados e envolvem táticas práticas para máxima eficácia. As ferramentas estão se tornando cada vez mais multiplataformas, o que significa que podem ser usadas para atacar diferentes sistemas operacionais. Exemplos dessas ferramentas incluem Conti, BlackCat e Deadbolt.
E a proliferação de ofertas de ransomware como serviço reduziu a barreira à entrada de cibercriminosos comuns, mesmo que tenha fomentado hierarquias e processos cada vez mais empresariais dentro da indústria criminosa. Uma alta porcentagem de ataques de ransomware hoje em dia também envolve roubo de dados e ataques de negação de serviço como formas adicionais de extorsão.
Alive and Kicking
“WannaCry, embora não tão prevalente de uma ameaça como antes, ainda está vivo e chutando”, diz Tessa Mishoe, analista sênior de ameaças do LogicHub. Ao longo do tempo entre seus primeiros ataques e agora, a indústria de ransomware aprendeu com os esforços do WannaCry e as respostas a ele – sejam novas táticas, como leiloar dados e chantagear clientes ou novas técnicas, como fugas e persistência de máquinas virtuais mais complexas. “O aumento da participação de mercado do Ransomware deve ser um bom indicador de como o WannaCry lançou mais intriga no ransomware”, diz Mishoe.
O WannaCry surgiu em 12 de maio de 2017, e em questão de dias se espalhou para cerca de 300.000 computadores em todo o mundo. Embora muitos o tenham descrito como ransomware, uma de suas principais funções era limpar dados de sistemas infectados.
Várias organizações foram afetadas no surto, incluindo FedEx, Nissan, e, talvez mais notavelmente, o Serviço Nacional de Saúde do Reino Unido. O Departamento de Justiça dos EUA e vários outros atribuíram o malware e os ataques ao Grupo Lazarus da Coreia do Norte. Ao longo dos anos, pesquisadores estimaram que os danos associados ao malware são de mais de US$ 1 bilhão de dólares.
O malware se espalhou através de uma exploração desenvolvida publicamente pela Agência de Segurança Nacional dos EUA (NSA) chamada EternalBlue, que tinha como alvo uma vulnerabilidade crítica de execução de código remoto (MS17-010) no protocolo de compartilhamento de arquivos Server Message Block 1.0 (SMBv1) da Microsoft. Uma vez instalado em um sistema, o WannaCry se espalhou rapidamente para outros dispositivos executando uma versão SMB vulnerável. A maioria deles eram sistemas Windows mais antigos, como os que rodavam no Windows Vista, Windows 7 e Windows 8.1.
Embora a Microsoft tivesse emitido um patch para a falha do SMB mais de um mês antes do WannaCry, milhões de computadores não foram corrigidos contra o problema quando o malware atingiu.
Uma ameaça contínua
Cinco anos depois, os atacantes continuam a usar a exploração EternalBlue para implantar o WannaCry e outros malwares em sistemas corporativos.
Uma análise recente conduzida pela Barracuda Networks de ataques durante um período de três meses mostra que 92% de todos os ataques na porta SMB 445 envolvem tentativas de usar a exploração EternalBlue.
“Ainda existem máquinas por aí que nunca foram corrigidas contra esse tipo de exploração e provavelmente nunca haverá”, diz Jonathan Tanner, pesquisador sênior de segurança da Barracuda. “Então, não é muito trabalho da parte dos atacantes tentar encontrar e explorar esses sistemas.”
Muito disso também se deve a atrasos contínuos nas organizações que atualizam suas infraestruturas. Uma pesquisa com 500 tomadores de decisão de TI pelo fornecedor ExtraHop encontrou 68% dos entrevistados admitindo ainda executar o SMBv1, embora versões mais novas e seguras do protocolo de compartilhamento de arquivos existam há anos. A empresa discutirá os obstáculos que as empresas enfrentam para endurecer-se para ataques de ransomware na próxima Conferência RSA (RSAC), em uma sessão apropriadamente intitulada, “O que será preciso para parar o Ransomware?”
O SMBv1 é preterido desde 2014, observa Jeff Costlow, CISO da ExtraHop. “Gostaria que fosse surpreendente que 68% das organizações ainda estejam executando o SMBv1, mas vejo exemplo após exemplo de organizações executando protocolos desatualizados, inseguros ou não criptografados — consciente ou inconscientemente”, diz ele. O risco é enorme, acrescenta. “O SMBv1 não precisa ser instalado em todos os dispositivos do ambiente para ser usado para lançar um ataque catastrófico. Ele só precisa ser em um.
Brian Donahue, principal especialista em segurança da informação da Red Canary, diz que, na maioria das vezes, as organizações são menos vulneráveis ao WannaCry agora do que eram antes. Mesmo assim, muitas organizações ainda não se atualizaram para o MS17-010 e suas instalações de SMB permanecem suscetíveis à exploração eternalblue, diz ele.
“Em geral, a adoção de patches corporativos fica atrás das atualizações dos fornecedores, e as organizações sempre lutarão para se manter em dia com novos lançamentos de software”, observa.
As organizações também precisam se manter no topo da inovação cibernética. Para isso, Katie Nickels, também diretora do Instituto SANS, fará parte de um painel durante o RSAC de junho intitulado “As 5 novas técnicas de ataque mais perigosas“, que visa destacar vetores de ameaças emergentes para ransomware (e outros ataques cibernéticos).
Uma ameaça dominante e em evolução
Donahue diz que o ransomware foi uma das ameaças mais dominantes em 2017 e continua sendo uma grande ameaça em 2022. As ameaças de ransomware semelhantes a worms passaram de uma ameaça emergente para o padrão de fato para campanhas de ransomware. Mais do que isso, a adoção de técnicas de exfiltração para realizar dupla extorsão foi incomum em 2017, mas é extremamente comum agora.
A indústria de ransomware evoluiu de outras maneiras também desde o surto do WannaCry. Pesquisadores da Bishop Fox, que analisaram o espaço de ameaças, recentemente, detectaram uma tendência para o uso de ransomware como isca em ataques patrocinados pelo Estado, guerra cibernética e atividade criminosa. Eles observaram como WannaCry, NotPetya e WhisperGate eram limpadores de disco disfarçados de ransomware que enganavam as vítimas a acreditar que poderiam recuperar seus dados se pagassem um resgate.
Da mesma forma, os atacantes estão usando ransomware para distrair as vítimas dos verdadeiros motivos de um invasor, de acordo com o Bishop Fox.
Os ataques de ransomware de hoje também são muito mais personalizados e personalizados em comparação com o WannaCry, que se espalhou indiscriminadamente de forma automatizada, diz Trevin Edgeworth, diretor de prática da equipe vermelha da Bishop Fox. Ele aponta o DarkSide, o ransomware que atingiu o Colonial Pipeline, como um exemplo de ransomware que está sendo amplamente implantado por humanos e destinado a organizações específicas.
“Seja pelas informações do paciente que um provedor de saúde mantém, ou a contínua operação de sistemas críticos a uma empresa de manufatura, os ataques de hoje são personalizados e personalizados para cada organização-alvo e o que é fundamental para eles”, diz ele.
Em um relatório esta semana, a Kaspersky disse ter identificado casos recentes de grupos de ransomware tomando partido em conflitos geopolíticos — como o que envolve a guerra da Rússia na Ucrânia. Grupos por trás da família de ransomware Conti, por exemplo, se aliaram aos interesses russos, enquanto outros, como o Exército de TI da Ucrânia, estão do lado oposto. Esse alinhamento pode ter um impacto sobre as organizações alvo.
O WannaCry foi um alerta para muitas organizações em torno de suas práticas de patches, e promoveu programas mais fortes de gerenciamento de vulnerabilidades. No entanto, muitas organizações continuam a priorizar a patches do sistema operacional sobre a patches de aplicativos-chave, como Java, Office e Produtos da Adobe que são instalados de forma onipresente em todo o seu ambiente, diz Edgeworth.
“A preparação para ransomware começa primeiro com a superação na higiene básica da segurança, como arquitetura de rede segura, redução de superfícies de ataque desnecessárias e imposição de menos privilégio em torno dos sistemas Active Directory e ‘crown jewels'”, diz Edgeworth. “As organizações devem ter um plano com antecedência sobre como responder a um ataque de ransomware.”
FONTE: DARK READING