Dicas de Segurança Hacker do bem

#21 – Ataque Ransomware

Leitura: 9 min

O que é ataque de ransomware?

Ransomware é um tipo de ataque de malware no qual o invasor bloqueia e criptografa os dados da vítima, arquivos importantes e, em seguida, exige um pagamento para desbloquear e descriptografar os dados.

Esse tipo de ataque aproveita vulnerabilidades humanas, de sistema, de rede e de software para infectar o dispositivo da vítima, que pode ser um computador, impressora, smartphone, dispositivo vestível, terminal de ponto de venda (POS) ou outro terminal.

Exemplos de ataques de ransomware

Existem milhares de variedades de malware ransomware . Abaixo listamos alguns exemplos de malware que causaram impacto global e causaram danos generalizados.

WannaCry

O WannaCry é um ransomware de entrada que explora uma vulnerabilidade no protocolo SMB do Windows e possui um mecanismo de autopropagação que permite infectar outras máquinas. O WannaCry é empacotado como um conta-gotas, um programa independente que extrai o aplicativo de criptografia/descriptografia, arquivos contendo chaves de criptografia e o programa de comunicação Tor. O WannaCry Não é ofuscado e relativamente fácil de detectar e remover. Em 2017, o WannaCry se espalhou rapidamente por 150 países, afetando 230.000 computadores e causando danos estimados em US$ 4 bilhões.

Cerber

O Cerber é ransomware-as-a-service (RaaS) e está disponível para uso de cibercriminosos, que realizam ataques e espalham seus saques com o desenvolvedor do malware. O Cerber é executado silenciosamente enquanto criptografa arquivos e pode tentar impedir a execução de recursos antivírus e de segurança do Windows, para impedir que os usuários restaurem o sistema. Quando ele criptografa com sucesso os arquivos na máquina, ele exibe uma nota de resgate no papel de parede da área de trabalho.

Locky

Locky é capaz de criptografar 160 tipos de arquivos, principalmente arquivos usados ​​por designers e engenheiros. Foi lançado pela primeira vez em 2016. É distribuído principalmente por kits de exploração ou phishing, os invasores enviam e-mails que incentivam o usuário a abrir um arquivo do Microsoft Office Word ou Excel com macros maliciosas ou um arquivo ZIP que instala o malware após a extração.

Cryptolocker

O Cryptolocker foi lançado em 2017 e afetou mais de 500.000 computadores. Ele normalmente infecta computadores por e-mail, sites de compartilhamento de arquivos e downloads desprotegidos. Ele não apenas criptografa arquivos na máquina local, mas também pode verificar unidades de rede mapeadas e criptografar arquivos nos quais tem permissão para gravar. Novas variantes do Crypolocker são capazes de iludir software antivírus e firewalls legados.

NotPetya e Petya

Petya é um ransomware que infecta uma máquina e criptografa um disco rígido inteiro, acessando a Master File Table (MFT). Isso torna o disco inteiro inacessível, embora os arquivos reais não sejam criptografados. O Petya foi visto pela primeira vez em 2016 e se espalhou principalmente por meio de uma mensagem falsa de solicitação de emprego vinculada a um arquivo infectado armazenado no Dropbox. Ele afetou apenas computadores Windows.

O Petya exige que o usuário concorde em dar permissão para fazer alterações no nível de administrador. Depois que o usuário concorda, ele reinicia o computador, mostra uma tela falsa de falha do sistema, enquanto começa a criptografar o disco nos bastidores. Em seguida, mostra o aviso de resgate.

O vírus Petya original não teve muito sucesso, mas uma nova variante, chamada NotPetya pela Kaspersky Labs, provou ser mais perigosa. NotPetya está equipado com um mecanismo de propagação e é capaz de se espalhar sem intervenção humana.

NotPetya originalmente se espalhou usando um backdoor em software de contabilidade amplamente usado na Ucrânia e, posteriormente, usou EternalBlue e EternalRomance, vulnerabilidades no protocolo SMB do Windows. NotPetya não apenas criptografa o MFT, mas também outros arquivos no disco rígido. Ao criptografar os dados, ele os danifica de tal forma que não podem ser recuperados. Os usuários que pagam o resgate não podem realmente recuperar seus dados.

Ryuk

Ryuk infecta máquinas através de e- mails de phishing ou downloads drive-by . Ele usa um dropper, que extrai um trojan na máquina da vítima e estabelece uma conexão de rede persistente. Os invasores podem usar o Ryuk como base para uma ameaça persistente avançada (APT), instalando ferramentas adicionais como keyloggers, realizando escalonamento de privilégios e movimento lateral. O Ryuk é instalado em cada sistema adicional ao qual os invasores obtêm acesso.

Depois que os invasores instalam o trojan no maior número possível de máquinas, eles ativam o ransomware de armário e criptografam os arquivos. Em uma campanha de ataque baseada em Ryuk, o aspecto do ransomware é apenas o último estágio do ataque, depois que os invasores já causaram danos e roubaram os arquivos de que precisam.

GrandCrab

O GrandCrab foi lançado em 2018. Ele criptografa arquivos na máquina de um usuário e exige um resgate, e foi usado para lançar ataques de extorsão baseados em ransomware, onde os invasores ameaçavam revelar os hábitos de visualização de pornografia das vítimas. Existem várias versões, todas voltadas para máquinas Windows. Decodificadores gratuitos estão disponíveis hoje para a maioria das versões do GrandCrab.

Proteção contra ransomware

Aqui estão várias práticas recomendadas que podem ajudá-lo a prevenir e proteger contra infecções de Ransomware em sua organização:

Proteção de endpoint

O antivírus é um primeiro passo óbvio na proteção contra ransomware, mas as ferramentas antivírus herdadas só podem proteger contra algumas variantes de ransomware.

As plataformas modernas de proteção de endpoint fornecem antivírus de última geração (NGAV), que protege contra ransomware evasivo ou ofuscado, ataques sem arquivo como WannaCry ou malware de dia zero cuja assinatura ainda não foi encontrada em bancos de dados de malware. Eles também oferecem firewalls de dispositivo e recursos de detecção e resposta de endpoint (EDR), que ajudam as equipes de segurança a detectar e bloquear ataques que ocorrem em endpoints em tempo real.

Backup de dados

Faça backup de dados regularmente em um disco rígido externo, usando controle de versão e a regra 3-2-1 (crie três cópias de backup em duas mídias diferentes com um backup armazenado em um local separado). Se possível, desconecte o disco rígido do dispositivo para evitar a criptografia dos dados de backup.

Gerenciamento de patches

Mantenha o sistema operacional do dispositivo e os aplicativos instalados atualizados e instale patches de segurança. Execute verificações de vulnerabilidades para identificar vulnerabilidades conhecidas e corrigi-las rapidamente.

Lista de permissões e controle de aplicativos

Estabeleça controles de dispositivo que permitem limitar os aplicativos instalados no dispositivo a uma lista de permissões controlada centralmente. Aumente as configurações de segurança do navegador, desative o Adobe Flash e outros plug-ins de navegador vulneráveis ​​e use a filtragem da Web para impedir que os usuários visitem sites maliciosos. Desative macros no processamento de texto e outros aplicativos vulneráveis.

Proteção de e-mail

Treine os funcionários para reconhecer e-mails de engenharia social e realize exercícios para testar se os funcionários são capazes de identificar e evitar phishing. Use proteção contra spam e tecnologia de proteção de endpoint para bloquear automaticamente e-mails suspeitos e bloquear links maliciosos se o usuário acabar clicando neles.

Defesas de rede

Use um firewall ou firewall de aplicativo da Web (WAF), sistemas de prevenção de intrusão/detecção de intrusão (IPS/IDS) e outros controles para impedir que o ransomware se comunique com os centros de comando e controle.

Detecção de Ransomware

Use alertas e bloqueios em tempo real para automatizar a identificação do comportamento de leitura/gravação específico de ransomware e, em seguida, bloquear usuários e endpoints de acesso a dados adicionais.

Use a detecção baseada em engano, que planta estrategicamente arquivos ocultos em sistemas de armazenamento de arquivos para identificar comportamentos de criptografia de ransomware no estágio inicial do ataque. Qualquer ação de gravação/renomeação nos arquivos ocultos aciona automaticamente um bloqueio do usuário ou endpoint infectado, enquanto continua a permitir o acesso de usuários e dispositivos não infectados.

Use relatórios e análises granulares para fornecer suporte detalhado à trilha de auditoria para investigações forenses sobre quem, o quê, quando, onde e como os usuários acessam os arquivos.

Remoção de ransomware: como mitigar uma infecção ativa de ransomware

Se você detectou uma infecção por Ransomware em sua rede, aqui estão as etapas imediatas que você deve seguir para mitigar a ameaça de ransomware:

  • Isolar – identifique máquinas infectadas, desconecte-se de redes e bloqueie unidades compartilhadas para evitar criptografia.
  • Investigue – veja quais backups estão disponíveis para dados criptografados. Verifique com que tipo de ransomware você foi atingido e se há descriptografadores disponíveis. Entenda se pagar o resgate é uma opção viável.
  • Recuperar – se nenhuma ferramenta de descriptografia estiver disponível, restaure seus dados do backup. Na maioria dos países, as autoridades não recomendam o pagamento do resgate, mas essa pode ser uma opção viável em alguns casos extremos. Use as práticas padrão para remover ransomware ou limpar e recriar a imagem dos sistemas afetados.
  • Reforce – execute uma sessão de lições aprendidas para entender como os sistemas internos foram infectados e como evitar uma recorrência. Identifique as principais vulnerabilidades ou falta de práticas de segurança que permitiram a entrada dos invasores e corrija-as.
  • Avaliação – passada a crise, é importante avaliar o que aconteceu e as lições aprendidas. Como o ransomware foi executado com sucesso? Quais vulnerabilidades tornaram a penetração possível? Por que o antivírus ou a filtragem de e-mail falhou? Até onde a infecção se espalhou? Foi possível limpar e reinstalar as máquinas infectadas e você conseguiu restaurar com êxito a partir do backup? Aborde os pontos fracos em sua postura de segurança para estar melhor preparado para o próximo ataque.

CYBER DICA!

Se você ficou interessado nesta área e quer começar do zero ou já trabalha com Tecnologia da Informação e quer migrar para Cibersegurança, recomendo fortemente o Curso Hacker Ético da Danki.Code. Clique aqui e saiba mais sobre o que você irá aprender e com isso se tornar um profissional de uma das áreas que esta com grande demanda no mercado de trabalho nos dias atuais.

Artigos Relacionados

#12 – Mais de 80.000 câmeras Hikvision expostas por uma vulnerabilidade #12 – Mais de 80.000 câmeras Hikvision expostas por uma vulnerabilidade
#24 – Banco Central comunica vazamento de dados de 137,3 mil chaves Pix #24 – Banco Central comunica vazamento de dados de 137,3 mil chaves Pix
#20 – O que é OSINT? #20 – O que é OSINT?
#07 – Cyber News – Plex Hackeada #07 – Cyber News – Plex Hackeada
× Quero aprender do ZERO!