Detecção de Ransomware com Tecnologias Existentes
Índice:
Parece que estamos à beira de outra crise causada por ataques de ransomware e a proliferação do Ransomware como Serviço modelo que permite até mesmo a iniciantes relativamente novatos entrarem no grande jogo. Toda semana, a mídia está repleta de manchetes de que uma empresa ou organização governamental bem conhecida se tornou mais uma vítima de um ataque, os sistemas foram bloqueados e dados sensíveis foram roubados. Essas organizações provavelmente tinham tudo o que precisavam para a detecção oportuna de ransomware, mas de alguma forma os atacantes superaram a equipe de segurança.
A crise que mencionamos anteriormente não está nem mesmo relacionada ao número de ataques, que está crescendo constantemente devido ao aumento do número de afiliados do RaaS, mas sim ao roubo de dados antes da criptografia dos arquivos. De acordo com o relatório divulgado pela Coveware em novembro de 2020, no terceiro trimestre, os cibercriminosos exfiltraram dados com sucesso em cerca de metade de seus ataques. E isso é o dobro do que no trimestre anterior. Outro dado interessante no relatório é o pagamento médio de resgate, que já ultrapassou $230.000.
Ataques de ransomware e exfiltração de dados
Os ataques de ransomware tornaram-se um problema em meados dos anos 2000, quando os cibercriminosos mudaram de simples bloqueadores de tela, que eram facilmente contornados por usuários avançados, mas ainda geravam um bom lucro, para a criptografia de arquivos, que sem uma chave de descriptografia quase garantiam a perda de dados. No início da década de 2010, apareceu o primeiro worm de ransomware e, após alguns anos, os cibercriminosos começaram campanhas de spam massivas direcionadas principalmente a usuários não corporativos, mas as capacidades de detecção de ransomware das empresas eram em sua maioria suficientes para não sentir a ameaça. Em 2016, surgiu o primeiro Ransomware como Serviço, ainda destinado a ataques a indivíduos. Em maio de 2017, o WannaCry mostrou ao mundo que as organizações podem ser um grande alvo e que se recuperar de um ataque de ransomware é muito caro. NotPetya apenas confirmou isso, e logo os grandes jogadores mudaram completamente para atacar organizações a fim de chegar aos servidores de backup e criptografar o maior número possível de sistemas-chave sem a possibilidade de recuperação. No final de 2019, Maze RaaS afiliados começaram a roubar dados após se infiltrar na rede da organização, que então postavam em um recurso especialmente criado para pressionar as vítimas e forçá-las a pagar uma quantia realmente enorme de resgate. Isso rapidamente se tornou popular, e como podemos ver no relatório, os cibercriminosos agora roubam dados em cada segundo ataque.
Ovelhas Negras do Lado Negro
Até recentemente, os cibercriminosos jogavam relativamente justo, e no caso de um resgate, forneciam algum tipo de evidência de que os dados haviam sido excluídos. Mas não há honra entre ladrões, e agora há cada vez mais casos em que os adversários não excluem os dados após receberem um pagamento de resgate. Em pelo menos algumas ocasiões, afiliados do ransomware Sodinokibi repetidamente exigiram dinheiro para excluir arquivos após os sistemas criptografados terem sido restaurados. Mas este não é o único RaaS com afiliados “corrompidos”. Atacantes por trás do Netwalker e Mespinoza também foram vistos não excluindo arquivos, já que informações confidenciais foram publicadas em seus “sites” devido a alguns “problemas técnicos” após receber um resgate. O grupo por trás do ransomware Conti tentou enganar as vítimas enviando-lhes evidências fabricadas de exclusão de dados.
Também devemos mencionar o pioneiro do roubo de arquivos, Maze RaaS e seus afiliados. De acordo com o relatório, houve casos em que afiliados disponibilizaram dados públicos antes de informar a vítima de seu sequestro. Os operadores do Maze são conhecidos por eliminar afiliados que violam suas regras, e alguns deles, como na situação com o Sodinokibi, tentam obter novamente o resgate das empresas atacadas ou tentam vender dados no DarkNet. A situação é agravada pelo fato de que um grande número de soluções de segurança oferece detecção de ransomware, e os atacantes não podem criptografar um número suficiente de sistemas. Mas eles têm todos os dados roubados de tais ataques meio fracassados, e estão tentando obter pelo menos algum lucro de qualquer maneira.
Detecção de ataques de ransomware e por que é tão importante
Claro, a detecção de ataques de ransomware é crucial para a defesa cibernética contínua, e você pode implementar isso usando as ferramentas que sua organização já possui. Apesar de o ransomware binário único ser compilado para cada ataque a uma organização, algumas soluções antivírus serão capazes de reconhecê-lo e neutralizá-lo. Existem muitas regras diferentes para soluções SIEM e NTDR que podem identificar anomalias indicando um ataque de ransomware. Mas é igualmente importante detectar uma ameaça o mais cedo possível, pois a criptografia de arquivos já é o estágio final de um ataque, quando dados sensíveis já estão nas mãos de cibercriminosos. Para penetrar na rede da organização, gangues de ransomware podem forçar conexões RDP, comprar credenciais comprometidas em mercados do DarkNet, usar o bom e velho phishing, ou explorar vulnerabilidades conhecidas. Após a penetração, os invasores buscam obter acesso ao Active Directory (de onde é mais fácil infectar centralmente todas as estações de trabalho) e fazer backup dos servidores para excluir todos os backups coletando todos os dados sensíveis que eles possam encontrar ao longo do caminho. Até agora, o grupo notório por usar Ryuk ransomware é considerado o campeão. Eles conseguiram criptografar sistemas em cinco horas após a penetração na rede.
Facilite sua detecção de ransomware
Infelizmente, não há solução que ofereça 100% de proteção contra tais ataques cibernéticos, mas é possível aumentar significativamente as capacidades de detecção de ransomware das plataformas de segurança existentes em sua organização. Todos os meses, os desenvolvedores do Programa Threat Bounty e a Equipe de Conteúdo SOC Prime publicam no Mercado de Detecção de Ameaças dezenas de itens de conteúdo SOC que ajudam a detectar técnicas, ferramentas, e atividades suspeitas, que podem indicar uma fase ativa de um ataque de ransomware. Afinal, é importante não apenas detectar binários de ransomware e seu comportamento, mas também uma variedade de ferramentas e explorações usadas por cibercriminosos durante reconhecimento e movimento lateral. Essas regras têm traduções para várias plataformas, incluindo as soluções SIEM e NTDR mais populares. No momento desta redação, o Mercado de Detecção de Ameaças suporta mais de 20 plataformas, incluindo Azure Sentinel, Chronicle Security, Humio, Corelight, Sumo Logic, Elastic Stack, Carbon Black, CrowdStrike, Logpoint, RSA NetWitness, ArcSight, Splunk, QRadar, Apache Kafka ksqlDB, Microsoft Defender ATP e Sysmon. Estamos continuamente adicionando novas plataformas e integrações suportadas, então se você não encontrar a plataforma que está usando nesta lista, entre em contato com support@socprime.com para priorizar o desenvolvimento dessa integração.
Você pode verificar o conteúdo disponível através deste link, ou encontrar regras para ferramentas específicas e variantes de ransomware na página de Conteúdo no Threat Detection Marketplace Recentemente lançamos o.
We’ve recently released the Continuous Content Management (CCM) módulo que suporta Azure Sentinel e Elastic Stack para transmitir conteúdo SOC diretamente para sua instância SIEM e ajudá-lo a automatizar suas capacidades de detecção de ransomware. Aqui você pode assistir à gravação da apresentação ao vivo das vantagens do módulo CCM. O suporte para outras plataformas está chegando em breve. Com o módulo CCM, você pode não apenas automatizar a pesquisa e instalação do conteúdo SOC necessário, mas também atualizar pontualmente as regras que você já implantou, e adicionar essas atualizações à sua instância SIEM instantaneamente.
Para aproveitar o módulo CCM, você pode comprá-lo como uma licença separada ou como parte do plano de assinatura Universo sem custos adicionais. Ainda assim, você tem mais uma opção de experimentá-lo gratuitamente solicitando um Teste Gratuito de 14 dias. Inscreva-se em Recentemente lançamos o para capacitar suas capacidades de detecção e resposta a ameaças.
