Estudo da Symantec aponta que o ransomware continua sendo uma das maiores ameaças entre os crimes cibernéticos enfrentados por qualquer organização. Embora o ransomware continue muito prevalente, a natureza da ameaça mudou muito nos últimos dois anos, e as empresas estão sendo cada vez mais atacadas por grupos de ransomware. Durante 2018, enquanto o o número geral de infecções por ransomware caiu 20%, os ataques contra empresas aumentaram 12%. No último ano, as empresas representavam 81% de todas as infecções por ransomware.
Porém, nessa estatística existe uma outra tendência mais preocupante. Ao longo do último ano, o número de ataques de ransomware direcionado se multiplicou com a entrada de novos agentes no setor. Embora os ataques direcionados sejam uma porcentagem pequena dos ataques de ransomware em geral, eles representam um risco muito maior. Em alguns casos, centenas de computadores foram criptografados, backups foram destruídos e dados críticos para os negócios ficaram irrecuperáveis. Esses ataques podem desativar a empresa afetada, levando à perda de negócios, danos à reputação e despesas de milhões de dólares com reparos.
Durante vários anos, o ransomware direcionado foi discutido como uma ameaça teórica. Só havia um grupo que realizava este tipo de ataque, o SamSam. Porém, em 2018, eles ganharam a companhia de outra operação altamente ativa, o Ryuk. E, em 2019 houve a chegada de vários novos grupos que estavam ligados a uma série de ataques nos EUA e na Europa.
O número de organizações afetadas por ataques de ransomware direcionado aumentou muito nos últimos dois anos e meio. Em janeiro de 2017, a Symantec observou que mais de doze organizações estavam sendo atacadas por mês. Porém, nos últimos meses, esse número aumentou para mais de 50 empresas atacadas por mês.
O número verdadeiro de ataques de ransomware direcionado pode ser maior. As estatísticas da Symantec são baseadas em telemetria de cinco famílias de ransomware que foram usadas em ataques direcionados: SamSam (Ransom.SamSam), Ryuk (Ransom.Hermes), GoGalocker (ou LockerGoga) (Ransom.GoGalocker), MegaCortex (Ransom.MegaCortex) e RobbinHood (Ransom.Robbinhood).
Há várias outras “famílias” de ransomware, como Crysis (ou Dharma) (Ransom.Crysis) e GandCrab (Ransom.GandCrab), que foram usadas em ataques direcionados, mas também foram espalhadas com o uso de vetores tradicionais de infecção, como campanhas de spam. O número geral de empresas afetadas por Crysis e GandCrab é muito maior do que o de afetadas pelas outras cinco famílias, mas não há como determinar quantas foram infectadas em ataques direcionados e quantas foram infectadas por outros meios.
Quando as estatísticas são divididas por família de ransomware, fica evidente que, até o início de 2018, o SamSam era a única família de ransomware sendo usada exclusivamente em ataques direcionados. O Ryuk chegou no início de 2018 e, em praticamente cada mês desde seu surgimento, tem sido mais ativo que o SamSam. GoGalocker, MegaCortex e RobbinHood chegaram recentemente, e após montarem alguns ataques desastrosos, já estão causando impacto nas estatísticas gerais.
Em termos de divisão regional, os EUA são o país mais afetado pelos ataques de ransomware direcionado, com quase 900 empresas atingidas entre janeiro de 2017 e maio de 2019. Um fator importante por trás dessa tendência é o fato de que o grupo mais antigo, SamSam, se concentrava nos EUA. A Turquia vem em um distante segundo lugar, com pouco mais de 100 empresas afetadas, seguida por alguns países Anglófonos: Reino Unido, Austrália e Canadá.
Famílias de ransomware direcionado
O número de famílias de ransomware sendo usadas em ataques direcionados se multiplicou nos últimos meses. Agora há pelo menos cinco famílias diferentes sendo usadas de forma exclusivamente direcionada: SamSam, Ryuk, GoGalocker, MegaCortex e RobbinHood. Mais duas famílias, Crysis e GandCrab, foram usadas em ataques direcionados, mas também foram usadas em campanhas indiscriminadas envolvendo distribuição por spam via email ou kits de exploração.
SamSam
O SamSam é considerado a ameaça direcionada original. O grupo é focado principalmente em alvos nos EUA. Embora tenha atacado empresas em vários setores, a área de saúde parece ter sido muito afetada, respondendo por um quarto de todos os ataques em 2018. O SamSam também atacou algumas organizações governamentais locais, e acredita-se que esteja por trás do ataque à cidade de Atlanta em março de 2018, que criptografou vários computadores municipais. Os custos de reparo após o ataque devem ultrapassar US$ 10 milhões.
O grupo também está ligado ao ataque contra o Departamento de Transportes do estado do Colorado, que gerou custos de reparo de US$ 1,5 milhões.
Em novembro de 2018, dois cidadãos iranianos foram indiciados nos EUA pelo suposto envolvimento nos ataques do SamSam. O FBI estimou que o grupo SamSam tenha recebido US$ 6 milhões em pagamento de resgates até hoje e causado mais de US$ 30 milhões em prejuízos para as vítimas. Os indiciamentos parecem não ter afetado muito a atividade do grupo. O número de empresas afetadas pelos ataques do SamSam caiu em novembro e dezembro de 2018, mas os níveis de atividade do grupo aumentaram de novo em 2019.
Ryuk
O Ryuk é considerado como uma evolução do ransomware Hermes, mais antigo. O Hermes surgiu pela primeira vez em 2017, enquanto a variante Ryuk começou a circular durante 2018. Desde agosto de 2018, o Ryuk tem sido visto em campanhas direcionadas contra empresas, criptografando centenas de computadores e servidores antes de exigir uma recompensa entre 15 e 60 Bitcoins.
O Ryuk ganhou a atenção do público em dezembro de 2018, quando foi ligado a um grave ataque de ransomware contra a Tribune Publishing, que cuida das operações de impressão de vários jornais dos EUA. O ataque prejudicou a impressão de diversos títulos.
GoGalocker
O GoGalocker surgiu pela primeira vez em janeiro de 2019 e tem sido usado em ataques contra empresas em vários setores de negócios. Embora os EUA tenham sido mais afetados, um grande número de empresas na Escandinávia também foram atingidas pelos ataques. Para mais informações sobre essa ameaça, veja a seção “Em profundidade: GoGalocker”.
MegaCortex
O MegaCortex é uma das mais recentes ameaças direcionadas em operação, tendo surgido em maio de 2019, quando foi usado contra 11 empresas. O malware tem algumas similaridades com o GoGalocker, indicando que a autoria pode ser a mesma. Embora seja possível que os dois grupos de invasores estejam ligados, também é possível que o ransomware tenha sido desenvolvido pelo mesmo terceiro para ambos os grupos. Para mais informações sobre essa ameaça, veja a seção “Destaque: MegaCortex”.
Robbinhood
O RobbinHood é outra família nova que surgiu em maio de 2019. Há relatos de que tenha sido usada no ataque contra a cidade de Baltimore, nos EUA.
Crysis (também conhecido como Dharma)
O Crysis tem circulado desde 2016 e é uma ameaça muito prevalente, que se espalha por múltiplos vetores de infecção. Embora tenha estado envolvido em ataques direcionados que usam serviços RDP desprotegidos, ele também foi espalhado em campanhas de spam, o que provavelmente explica o grande número de ataques em relação a outras ameaças.
Uma característica interessante dos ataques do Cryisis é que as empresas na África respondem pela maioria dos ataques, com oito dos dez países mais afetados localizados naquele continente.
GandCrab
Assim como o Crysis, o GandCrab tem sido uma prolífica ameaça de ransomware desde que surgiu, em janeiro de 2018. Embora tenha sido usado em ataques direcionados, esse ransomware também foi distribuído em massa. Essa variação no padrão de ataque provavelmente é devida ao fato de que o GandCrab funcionaria com um modelo ransomware-como-serviço, o que significa que os operadores alugam o ransomware para outros grupos usarem em ataques.
No início de junho de 2019, o GandCrab anunciou que havia decidido encerrar suas operações. O anúncio chegou após uma queda notável de atividade no final de 2018 e no início de 2019. A gangue alegou que recebeu mais de US$ 2 bilhões em resgates, com os operadores dizendo que haviam faturado cerca de US$ 150 milhões por ano. A veracidade dessas alegações não foi estabelecida.
Vetores de infecção
Embora a maioria das famílias de ransomware comuns dependam principalmente das campanhas de spam por e-mail para serem distribuídas, as ameaças direcionadas geralmente se espalham por métodos diferentes. Vários métodos de ataque diferentes foram observados até hoje, e os grupos de ransomware direcionado muitas vezes adotam métodos de grupos de espionagem para estabelecer uma posição na rede da vítima.
Phishing direcionado
Um método usado com frequência e muito eficaz para invadir a rede de uma empresa. Os invasores enviam e-mails para funcionários selecionados, muitas vezes disfarçados como correspondência relacionada ao trabalho. Os ataques de phishing direcionados geralmente exigem um elemento de engenharia social para convencer a vítima a abrir o e-mail. Se a farsa funcionar, o malware é enviado para a máquina da vítima, permitindo que os invasores comecem a se mover pela rede da empresa.
Exploração de vulnerabilidades
Vários grupos de ransomware direcionado têm sido observados atacando software vulnerável executado em servidores voltados ao público para obter acesso à rede de uma empresa. Na maioria dos casos, os invasores exploram vulnerabilidades conhecidas em software desatualizado.
Serviços desprotegidos
Em alguns casos, os invasores não precisam explorar uma vulnerabilidade para acessar um computador voltado ao público. Há várias instâncias em que os invasores comprometeram serviços desprotegidos. Por exemplo, o Crysis foi observado várias vezes atacando empresas por meio de serviços de Protocolo de Área de Trabalho Remota (RDP) com segurança deficiente, aproveitando-se de credenciais fracas ou vazadas. Já o GandCrab foi visto recentemente fazendo varreduras na Internet em busca de bancos de dados MySQL expostos para infectá-los com malware.
Movimentação lateral
Uma das fases principais em qualquer ataque de ransomware direcionado é a movimentação lateral. O objetivo da maioria dos invasores é identificar e criptografar o máximo possível de computadores na rede da vítima. Quanto maior a proporção de computadores infectados, maior é a interrupção. Isso aumenta as chances da vítima pagar o resgate, especialmente se os invasores identificarem e criptografarem backups e servidores importantes.
Ataques de ransomware direcionado recentes tiveram invasores usando uma ampla gama de táticas e ferramentas para executar a movimentação lateral. O ransomware tende a imitar as táticas usadas em ataques direcionados, em que o uso de malware personalizado é mantido em um nível mínimo. Em vez disso, os invasores tendem a usar uma combinação de ferramentas de invasão publicamente disponíveis, malware comercial e táticas de “subsistência” — o uso malicioso de recursos e ferramentas administrativas dos sistemas operacionais.
Os mais usados são:
- PowerShell: A ferramenta de scripting da Microsoft foi usada para executar comandos a fim de fazer o download de cargas maliciosas, percorrer redes comprometidas e fazer reconhecimento.
- PsExec: Uma das ferramentas Microsoft Sysinternals para executar processos em outros sistemas. Essa ferramenta foi usada pelos invasores principalmente para se mover lateralmente na rede da vítima.
- PsInfo: Mais uma ferramenta Microsoft Sysinternals que permite que o usuário recolha informações sobre outros computadores na rede.
- Mimikatz (Hacktool.Mimikatz): Ferramenta gratuita, capaz de alterar privilégios, exportar certificados de segurança e recuperar senhas do Windows em texto simples, dependendo da configuração.
- PuTTY: um utilitário de linha de comando usado para criar sessões SSH.
Em profundidade: GoGalocker
O GoGalocker é uma das novas ameaças de ransomware direcionado que surgiu no início de 2019. Em rápida sucessão, o ransomware foi usado em ataques direcionados contra muitas empresas, causando sérios problemas para várias vítimas.
Os invasores por trás do GoGalocker parecem ser altamente habilidosos, capazes de invadir a rede da vítima e implantar uma ampla gama de ferramentas para mapear a rede, recolher credenciais, elevar privilégios e desativar software antivírus antes de implantar o ransomware.
Preparação para o ataque
Depois que os invasores do GoGalocker estabelecem uma posição na rede da vítima, começam a mapear a rede e adquirir credenciais que permitam o acesso a outras máquinas e a escalação de seus privilégios de usuário.
Para iniciar o processo, os invasores usam dois comandos do PowerShell codificados em Base 64, projetados para compilar e executar dinamicamente o shellcode na memória. Os invasores usam técnicas populares para utilizar os recursos no ambiente da vítima. Esses comandos do PowerShell fazem chamadas de recursos legítimos do Windows, VirtualAlloc e CreateThread, que são funções chamadas pela API nativa do Windows e que podem ser usadas para preparar e executar código do shell. Esses comandos são usados para fazer o download e a execução de dois códigos do shell no computador:
- Um shellcode de escuta (listener): Ao ser executado, esse código abre a porta TCP 9899 e fica aguardando código adicional ou outros comandos.
- Um shellcode de download: Esse código age como um mecanismo de download. Quando ele é executado, estabelece uma conexão com a infraestrutura controlada pelo invasor (https://89[.]105[.]202[.]58/sMNN) e faz o download do shellcode do segundo estágio.
Depois de compilado, o shellcode do segundo estágio oferece funcionalidades similares à da ferramenta comercial Cobalt Strike Beacon Reflective Loader, que é usada para a comunicação (sinalizador) com o invasor. A Symantec observou duas variantes desse shellcode de segundo estágio. Ambas ofereciam a mesma funcionalidade, mas cada uma se conectava a um servidor de comando e controle diferente (89.105.198.21 ou 89.105.202.58).
Além do PowerShell, os invasores usam várias outras ferramentas na rede da vítima. Entre eles:
- PuTTY: um utilitário de linha de comando usado para criar sessões SSH.
- Mimikatz: uma ferramenta gratuita, capaz de alterar privilégios, exportar certificados de segurança e recuperar senhas do Windows em texto simples, dependendo da configuração.
- Wolf-x-full: Uma ferramenta com várias funções, descrita pelos desenvolvedores como “uma forma completa de gerenciar e recolher informações do seu computador”. Os recursos incluem:
- Acesso de CLI remoto
- Ativar/desativar o Controle de Conta de Usuário (UAC) do Windows
- Ativar/desativar restrições remotas do UAC
- Ativar/desativar o firewall do Windows
- Obter o endereço de IP externo
- Visualizar programas instalados (e desinstalá-los)
- Exibir grupos e usuários locais e do domínio, incluindo os números de identificação de segurança (SIDs)
- Consultar várias máquinas remotas para obter informações básicas
Usadas em conjunto, todas essas ferramentas permitem que os invasores do GoGalocker mapeiem a rede da vítima e roubem as credenciais de contas com privilégios elevados e de administrador. Esse processo permite que os invasores identifiquem e acessem uma grande quantidade de computadores para depois infectá-los simultaneamente com o ransomware.
Desativando o software de segurança
Um dos motivos dos invasores do GoGalocker serem muito eficazes é que eles geralmente desativam o software de segurança antes de instalar o ransomware. Isso não é devido a qualquer ponto fraco ou vulnerabilidade do software de segurança desativado. O grupo usa credenciais roubadas de administradores para desativar ou desinstalar o software.
O processo de infecção
Depois que os invasores terminam de mapear a rede e obter credenciais, começam a espalhar o ransomware para muitos computadores e servidores.
A próxima fase do ataque é começar a criptografar arquivos nos computadores com o ransomware GoGalocker. Ele criptografa todos os arquivos em um computador infectado, exceto os arquivos no diretório C:\Windows\. A extensão de arquivo .locked é adicionada a todos os arquivos criptografados.
O último passo dos invasores é efetuar o logoff do usuário atual. Uma descoberta interessante é a diferença nos períodos de tempo entre a compilação do ransomware GoGaloker e a implantação posterior nas redes das vítimas. As evidências sugerem que o grupo desenvolve uma nova variante do ransomware para cada novo ataque. O período de tempo entre a compilação e a implantação varia entre 24 horas a várias semanas.
Outra tática usada para evitar a detecção é assinar digitalmente seu ransomware com certificados legítimos.
Desde que surgiu, no início de 2019, o GoGalocker atacou empresas em uma ampla gama de setores, incluindo serviços de computação, contabilidade e auditoria, consultoria, serviços financeiros, ferramentas elétricas, construção, editoração, impressão, metais e depósito/armazenamento.
Embora os ataques tenham ocorrido em todo o mundo, muitas vítimas estavam localizadas na Escandinávia, incluindo a Finlândia (23%), Noruega (15%) e Suécia (8%).
Vetor de infecção
Ainda não se sabe como o GoGalocker infiltra na rede das vítimas. A Symantec identificou três cenários possíveis, embora não haja evidências suficientes para confirmar qualquer um deles.
- Phishing direcionado: Muito usado nesses tipos de ataques, mas não há evidência de que o GoGalocker tenha usado o phishing direcionado.
- Protocolo de Área de Trabalho Remota: Um relatório de terceiros indicou que o RDP foi usado como vetor de infecção.
- Malware de jogos de azar: A Symantec observou malware de jogos de azar na rede de uma das vítimas, cerca de 10 dias antes de um ataque.
Destaque: MegaCortex
O MegaCortex é outro exemplo do novo tipo de ameaça de ransomware direcionado que começou a se multiplicar em 2019. Esse ransomware surgiu pela primeira vez em maio de 2019, quando foi usado em ataques contra empresas nos EUA, Coreia do Sul, Itália, Israel e Holanda.
O MegaCortex usa algumas das técnicas de evasão de detecção vistas em outras famílias de ransomware direcionado. Por exemplo, seu executável principal é assinado com um certificado válido, mas que já foi revogado. Porém, se um computador não tiver atualizado seu banco de dados de certificados revogados, o certificado continuará funcionando.
O executável principal é embarcado com dois binários em formato de DLL. Os dois binários são criptografados com AES-128-GCM. Ao ser executado, o MegaCortex tenta descriptografar esses dois binários e carregá-los dinamicamente sozinho.
Nessa etapa, o MegaCortex usa outra técnica de evasão para impedir sua detecção em sandboxes. O malware requer um argumento válido, que é uma string em Base 64, e então a combina com outro valor calculado a partir do horário do sistema no computador infectado para extrair uma chave AES e um vetor de inicialização (IV) para a próxima fase da descriptografia.
Então, o MegaCortex usará a chave AES e o IV para descriptografar os binários integrados usando o algoritmo AES-128-GCM embarcado na biblioteca TLS.
Essa técnica permite que os invasores criem um tempo de sessão para entrada. O ransomware pode enganar uma sandbox fazendo-a pensar que é benigno, a menos que seja executado por um período de tempo válido. Na amostra analisada pela Symantec, o tempo de sessão para entrada era de três horas.
Empregar essa técnica não impõe qualquer limite à liberdade de operação dos invasores, pois eles já sabem a chave AES e o IV, e podem gerar um argumento de entrada sempre que quiserem.
Cargas principais
O primeiro dos dois binários extraídos chama-se payload.dll e é o módulo principal do ransomware. Esse arquivo .DLL exporta duas funções: start e start2.
O segundo binário é chamado injecthelper.dll. Ele exporta a função _command@16.
Depois que os dois binários são descriptografados com sucesso, o MegaCortex tenta carregar o payload.dll diretamente na memória antes de encontrar o endereço da função “start” e invocá-la.
Ligação com o GoGalocker?
Com base na atividade do MegaCortex e os atributos de uso de binários e código, a Symantec acredita que há alguma ligação entre o MegaCortex e o GoGalocker.
Tanto o MegaCortex quanto o GoGalocker executam as seguintes ações:
- Criam um arquivo de registro em C:\ \
- Funcionam usando o modelo mestre/escravo
- Usam o interprocesso de módulos na biblioteca Boost para compartilhar dados e fazer a comunicação entre mestre e escravo
- Usam funções para enumerar unidades lógicas antes da criptografia (Figura 15)
- Usam funções nativas da API para interagir com os arquivos-alvo:
- NtOpenFile, NtReadFile, NtWriteFile, NtClose
- Criptografam arquivos usando AES-128-CTR
- Executam o comando “cipher.exe /w” para eliminar dados não utilizados após concluir o processo de criptografia
Por fim, o cabeçalho dos executáveis do MegaCortex e do GoGalocker é compilado com uma versão quase idêntica do Visual Studio 2017
Além disso, com base na telemetria da Symantec, a companhia observou que há um padrão de uso do malware Cobalt Strike nos ataques do GoGalocker e do MegaCortex.