This post is also available in: Português
Táticas e técnicas de invasão evoluem e mostram a fúria dos invasores, cada vez mais inteligentes e impiedosos.
Os ataques de ransomware aumentaram consideravelmente ao longo dos anos, assim como as demandas de resgate que eles trazem. A evolução ano a ano das ameaças desse tipo é atribuída principalmente às táticas, técnicas e procedimentos emergentes adotados pelos invasores.
De acordo com um relatório do Group-IB, o RDP (Protocolo de Área de Trabalho Remota) foi o ponto de entrada mais comum nos ransomwares em 2019. As portas vulneráveis do Windows RDP, por exemplo, foram alvos em – no mínimo – 70% de todos os ataques dessa classe no ano passado. Nomes conhecidos como Ryuk, LockerGoga, REvil, MegaCortex, Maze e NetWalker usavam portas RDP abertas para se infiltrar nas redes e servidores das empresas.
Outros métodos de ataque
O relatório também destacou que kits de exploração, serviços remotos externos, anexos de spear-phishing e contas válidas são outras técnicas usadas pelos operadores de ransomware para obter acesso aos computadores das vítimas.
Sistemas mais avançados baseiam-se no comprometimento da cadeia de suprimentos, explorando vulnerabilidades não corrigidas em aplicativos públicos e comprometendo os MSPs (provedores de serviços gerenciados) para obter acesso a destinos valiosos.
Quando os invasores vencem as primeiras barreiras nos computadores de destino, eles implantam suas ferramentas e passam aos próximos estágios para buscar privilégios, fugir da detecção, adquirir credenciais, mapear a rede, roubar arquivos e depois criptografá-los.
Técnicas em evolução
Evitar a detecção continua sendo o foco principal dos criminosos. Algumas das táticas de evasão amplamente usadas incluem desativar ferramentas de segurança no computador da vítima, disfarçar o ransomware como software legítimo e burlar o UAC (Controle de Conta de Usuário).
No entanto, existem algumas famílias de ransomware que desenvolveram suas técnicas de antianálise para se espalhar às escondidas. Por exemplo, os operadores do Netwalker utilizam um método reflexivo de carregamento de DLL para melhorar os recursos antianálise do ransomware. No caso do RagnarLocker, usa-se uma máquina virtual Oracle VirtualBox Windows XP para ocultar o ataque.
Nesse contexto, várias classes de ransomware optaram por vazar arquivos de vítimas que não cumpriram suas demandas de resgate. A tendência foi iniciada pelo Maze em novembro de 2019, e mais tarde foi seguida por outros 12 tipos, incluindo REvil, Nefilim, DoppelPaymer, CLOP, Pysa e RagnarLocker. Já os operadores do Ako foram além, pedindo dois resgates: um por descriptografar os arquivos e outro por não publicar os dados roubados.
Com a evolução dos métodos de invasão, também houve um crescimento acentuado na descoberta de novos ransomwares. Contudo, com os criadores dessas ameaças ampliando suas operações a cada ano, teme-se que as empresas enfrentem vários desafios inéditos na proteção de suas informações confidenciais contra as investidas.
A tendência, infelizmente, é pelo aumento dos ataques – o que vai demandar ainda mais atenção e proteção por parte das empresas. O exemplos mostram que, quem subjulgar os ransomwares e quiser pagar para ver, provavelmente vai presenciar a situação ser levada ao pé da letra e terá de pagar – ou um resgate ou uma consultoria especializada com máxima urgência, evitando vazamento de seus dados e de seus clientes.
This post is also available in: Português