Como as famílias de ransomware mais frequentes atacam

A investigação levada a cabo pela SophosLabs destaca a forma como os ataques de ransomware tentam passar despercebidos nos controlos de segurança, aproveitando-se dos processos habitualmente fiáveis e, uma vez dentro da rede, utilizam os sistemas internos para codificar o maior número possível de arquivos e desativar as cópias de segurança e os processos de recuperação, antes que as equipas de IT os consigam detetar.

“Os criadores de ransomware têm um enorme conhecimento sobre como o software de segurança funciona e adaptam os seus ataques em conformidade. Tudo está pensado para evitar a deteção enquanto o malware codifica tantos documentos quantos consiga com a maior rapidez possível, para que se torne difícil, ou até mesmo impossível, recuperar os dados. Em certos casos, a parte principal do ataque ocorre de noite, quando as equipas de IT estão em casa a dormir – assim, quando as vítimas descobrem o que está a acontecer, já é demasiado tarde. É imprescindível ter sólidos controlos de segurança e sistemas de monitorização e de resposta locais para cobrir todos os endpoints, redes e sistemas, e para instalar atualizações de software sempre que necessário”, declara Mark Loman, Diretor de Engenharia de Tecnologia para a Migração de Ameaças da Sophos, e autor do relatório.

Algumas das ferramentas e técnicas identificadas no relatório são:

Principais canais de distribuição das famílias de ransomware mais importantes. O ransomware é distribuído normalmente de três formas: como cryptoworm, replicando-se rapidamente noutros computadores, de forma a obter um impacto ainda maior (por exemplo, o WannaCry); através de ataques Ransomware-as-a-Service, vendidos na dark web como um kit distribuível (Sodinikibi, por exemplo); ou através de um ataque automatizado ativo levado a cabo pelos atacantes, que implementam manualmente o ransomware após uma análise automatizada das redes, em busca de sistemas com proteção mais débil. Este tipo de ataques ativos e automatizados são os mais comuns que a Sophos deteta entre todas as famílias de ransomware identificadas no relatório.

Ransomware com código encriptado e que parece fiável. Alguns ataques de ransomware utilizam certificados digitais legítimos, comprados ou roubados, para tentar convencer os sistemas de segurança de que o código é fiável e não é necessário analisá-lo.

Aumento dos privilégios através da utilização de exploits facilmente disponíveis, como o EternalBlue, para aumentar os direitos de acesso. Isto permite aos ciberatacantes a instalação de programas como ferramentas de administração remota (RAT, na sigla em inglês), e a oportunidade de visualizar, alterar ou eliminar dados, criar novas contas com todos os direitos de utilizador e desativar o software de segurança.