Geral 4min de Leitura - 10 de março de 2020

O perigoso toque humano nos Ransomwares de última geração

close em tela de notebook que exibe linguagem de programação.

This post is also available in: Português

Vários Ransomwares estão ficando mais sofisticados com uma ação humana mais intensa, segundo a Microsoft – o que demanda uma grande mudança de mentalidade para se defender.

É fácil encontrar artigos na internet falando sobre os avanços da tecnologia em diversas áreas, adicionando a informação de que o toque humano sempre será um diferencial insubstituível. O problema é que tal lógica é verdadeira também em ações maliciosas.

Pesquisadores da equipe de inteligência de proteção contra ameaças da Microsoft reforçaram essa tese nos últimos dias. Eles estão avisando que as campanhas de ransomware operadas por humanos estão ficando mais elaboradas, adotando novas táticas de infecção e técnicas de movimento com as quais as equipes de defesa convencionais não estão preparadas para lidar.

Os especialistas disseram que o ransomware de propagação automática, como o WannaCry e o NotPetya, estão se tornando notícia devido às paralisações e contratempos que causam nas empresas que se tornaram suas vítimas. No entanto, os ransomwares operados por humanos, como REvil, Bitpaymer e Ryuk, estão adotando novas técnicas que lhes permitem atuar com menos restrições – e driblando as defesas mais conhecidas.

A questão é que os ataques operados por pessoas concentram-se em comprometer contas com altos privilégios. Assim, apresentam amplo conhecimento de administração de sistemas e configurações incorretas comuns de segurança de rede.

Além disso, podem se adaptar rapidamente logo após infectar um sistema, estabelecendo um ponto de apoio nas máquinas. Isso permite que os invasores tornem-se praticamente inabaláveis em suas investidas, com meios muito avançados de camuflagem – superiores às proteções de seus alvos.

“Esses ataques são conhecidos por tirar proveito das fraquezas da configuração de rede para implementar ransomwares mais devastadores”, disseram os especialistas.

Ao mesmo tempo em que os ransomwares são instalados nesses ataques, os operadores humanos trazem outras cargas maliciosas aos sistemas, furtam credenciais e acessam e filtram dados de redes, ou seja, em ataques simultâneos e paralelos.

Ágeis e rápidos

A Microsoft disse que uma tendência observada é uma técnica na qual os invasores se infiltram em um sistema e prosseguem com a implantação do ransomware e outros ataques em menos de uma hora, diminuindo as chances de as vítimas intervirem a tempo.

Os especialistas perceberam isso ao acompanhar por um ano e meio um grupo popular de ransomware que utilizava esse método, chamado de Parinacota – que também instala o ransomware conhecido como Dharma.

Com o tempo, o grupo passou a invadir de três a quatro empresas por semana, e foi evoluindo suas táticas para usar os computadores afetados em vários propósitos, como a mineração de criptomoedas, envio de e-mails de spam ou proxy para outros ataques.

O Parinacota emprega o método de “esmagar e agarrar”. Primeiro, abre caminho em servidores vulneráveis do Protocolo de Área de Trabalho Remota (RDP), e em seguida procura outros sistemas com qualquer tipo de fragilidade. Assim, executa ataques do RDP contra novos alvos na rede, permitindo que eles se movam lateralmente.

Por fim, há o furto de credenciais, implantação de malware com criptografia e entrega de conteúdos finais do ransomware. Os operadores de Parinacota alteram frequentemente os valores de resgate, que pode variar de 0,5 a 2 Bitcoins, com base na probabilidade do que a vítima pagaria devido ao impacto em sua empresa.

Por baixo dos panos

Outra característica das campanhas de ransomware operadas diretamente por humanos é que elas geralmente começam com malwares tidos como comuns, a exemplo dos Cavalos de Troia bancários.

Esses ataques são vistos como pouco sofisticados e tendem a ser classificados como sem importância e, portanto, não são completamente investigados e solucionados – permitindo que os operadores de ransomwares escapem de quem os combateria. Porém, é como um Cavalo de Troia violento escondido dentro de outro Cavalo de Troia mais brando.

Essa técnica se mostrou bem-sucedida com o ransomware Ryuk, recentemente visto em uma invasão na empresa Epiq Global, que fez com que essa companhia de serviços jurídicos precisasse desligar seus sistemas todos.

Há informações dando conta de que o ataque começou com o malware TrickBot infectando um computador da Epiq em dezembro. Depois que o TrickBot foi instalado, ele foi abrindo aos poucos oportunidades para os operadores do Ryuk, permitindo que eles acessassem os dispositivos de rede e criptografassem arquivos nos computadores. Foi, então, como uma bola de neve, que começou minúscula e acabou gigantesca.

Encontrado em ataques que roubaram dados de um fornecedor da SpaceX e da Tesla, o ransomware DoppelPaymer também usa malwares tidos como comuns como meio de infecção inicial, usando o vírus Dridex em estágios iniciais do ataque.

Faz isso por meio de atualizadores falsos, documentos maliciosos em e-mails de phishing e, depois, colocando o Doppelpaymer em máquinas nas redes afetadas. Já o Trojan bancário Dridex, que existe desde 2011, vem equipado com recursos de ofuscação, ajudando a evitar a detecção por antivírus.

Os investigadores da Microsoft encontraram indícios de que as redes afetadas foram comprometidas de alguma maneira – e por vários invasores – diversos meses antes da implantação do ransomware. Isso mostra que esses ataques são bem-sucedidos por não serem resolvidos com antecedência, especialmente em redes onde não são adotados os devidos cuidados nos controles e monitoramento.

Como reforçar as defesas

Nesse contexto, é preciso uma grande mudança de mentalidade para impedir que esses tipos de ataques sejam eficazes.

As equipes de defesa precisam se concentrar na proteção abrangente necessária para retardar e impedir os atacantes antes que eles possam ter sucesso, considerando que riscos menores podem estar escondendo problemas gigantes meses antes do ataque verdadeiro.

Seria como ter sintomas da gripe e ignorá-los por serem semelhantes aos de uma doença comum, esquecendo-se que são compatíveis também a males mais graves, como pneumonia.

Assim, as equipes de defesa precisam integrar melhor os profissionais de TI nos times de segurança, porque os invasores buscam definições e configurações que muitos administradores de TI gerenciam e controlam.

As equipes de segurança também precisam abordar a fraqueza da infraestrutura que inicialmente permitiu a entrada de invasores, porque os grupos de ransomware atingem rotineiramente os mesmos alvos várias vezes – até conseguir se implantar.

Além disso, deve-se entender que alertas de malware aparentemente raros, isolados ou comuns podem indicar futuros ataques perigosos.

Se tais avisos forem priorizados de imediato, as equipes de operações de segurança poderão mitigar melhor os ataques e impedir a carga útil do ransomware. Infecções por malwares tidos como comuns, a exemplo do Emotet, Dridex e Trickbot, devem ser remediadas e tratadas com comprometimento total, incluindo todas as credenciais presentes nele.

Afinal, quando o assunto é segurança digital, pode não ser exagero combater moscas com bazucas, já que há a chance de as moscas crescerem escondidas e tornarem as bazucas peças de museu.

This post is also available in: Português