Nos últimos anos, os ataques de ransomware se tornaram uma das maiores ameaças às organizações em todo o mundo. Esse tipo de malware se infiltra no sistema da vítima e criptografa seus arquivos, exigindo um resgate em troca da chave de descriptografia e da liberação dos arquivos.
Mas como exatamente esses ataques funcionam e como eles podem ser evitados? Nesta publicação, exploraremos a anatomia de um ataque de ransomware, desde sua entrada no sistema até o momento em que o resgate é exigido, diferenciando cada uma das etapas de acordo com o tempo que as separa do momento da infecção.
Acesso inicial: o início do ataque
A etapa de acesso inicial é a primeira etapa de um ataque de ransomware. Neste estágio, os atacantes procuram uma maneira de entrar no sistema da vítima. Eles podem fazer isso por meio de várias técnicas, como phishing, exploração de vulnerabilidades ou uso de senhas fracas.
No caso de phishing, os atacantes enviam e-mails maliciosos que parecem vir de uma fonte confiável, como uma organização legítima ou um órgão governamental. Esses e-mails geralmente contêm um anexo ou link que, quando aberto ou clicado, faz o download do ransomware no sistema da vítima.
Em segundo lugar, a exploração de vulnerabilidades envolve encontrar um ponto fraco no sistema da vítima, como um software desatualizado ou uma configuração de rede insegura, que permita que os atacantes entrem no sistema sem serem detectados. Depois que os invasores encontram uma vulnerabilidade, eles podem usar ferramentas automatizadas para examinar a rede em busca de sistemas mais vulneráveis.
Por fim, os invasores também podem usar senhas fracas para obter acesso ao sistema da vítima. Geralmente, as pessoas usam senhas fáceis de adivinhar, como "123456" ou "password". Os invasores podem tentar essas senhas comuns ou usar ferramentas automatizadas para adivinhar a senha correta.
Tarefas de reconhecimento: horas, dias ou semanas após o acesso inicial
Durante a etapa de reconhecimento, os invasores tentam obter informações sobre a rede e os sistemas da vítima e também procuram possíveis vulnerabilidades que possam ser exploradas.
Os cibercriminosos podem usar uma variedade de técnicas para coletar informações, como varreduras de portas, análise de tráfego de rede, engenharia social e outras. Essas informações são usadas para identificar alvos e possíveis vulnerabilidades na rede.
Depois que os invasores identificam os sistemas vulneráveis, eles iniciam a etapa de movimentação lateral. Isso envolve a movimentação pela rede comprometida, ou seja, do sistema ou dispositivo inicialmente comprometido para outros sistemas na rede. O objetivo é estender o controle sobre a rede e obter acesso a informações adicionais.
Os invasores podem usar ferramentas como acesso remoto e exploração de vulnerabilidades para obter acesso a outros sistemas da vítima. Depois de comprometer um sistema, eles podem tentar usar as credenciais do sistema para se deslocar pela rede e obter acesso a outros sistemas. Nesta etapa, ferramentas como o Metasploit ou o CobaltStrike podem ser implantadas para procurar outras vulnerabilidades na rede e explorá-las.
O movimento lateral pode continuar até que os invasores obtenham acesso a sistemas de alto valor que contenham informações críticas, como dados financeiros ou de propriedade intelectual. Quando isso é alcançado, eles passam para a etapa de exfiltração de informações.
Na etapa de exfiltração, os atacantes efetivamente roubam os dados valiosos da vítima antes de criptografá-los e exigir o pagamento de um resgate para recuperá-los. A exfiltração de informações é feita como uma medida adicional para pressionar a vítima a pagar o resgate, pois os atacantes ameaçam tornar públicos os dados roubados, algo que relatamos em vários casos em que grupos de ransomware atacaram órgãos governamentais e organizações privadas na América Latina.
Para realizar a etapa de exfiltração, os atacantes procuram dados valiosos, como informações financeiras, dados pessoais ou informações de propriedade intelectual com base em nomes de arquivos ou tipos de arquivos, pastas que os contêm e assim por diante. Algumas das técnicas usadas para exfiltrar dados podem incluir a criação de backdoors, o uso de ferramentas de acesso remoto, a exploração de vulnerabilidades de rede ou o uso de malware do tipo infostealer, que são projetados para roubar informações confidenciais do computador infectado. Em alguns casos, os invasores também usam o phishing como uma técnica para obter as credenciais de login da vítima.
Depois de obter as informações, os atacantes as enviam para um servidor remoto controlado pelos atacantes e podem usá-las como moeda de troca para pressionar a vítima a pagar o resgate: se a vítima se recusar a pagar, os atacantes podem ameaçar tornar os dados públicos, o que pode resultar em perda de reputação ou até mesmo em sanções legais.
Por fim, afastando-se dos momentos silenciosos ou discretos do ataque, os cibercriminosos continuam com a etapa de implementação, também conhecido como deployment. Nesta etapa, os atacantes implementam e executam o ransomware na rede da vítima, criptografando os arquivos. Em particular, o código malicioso executado começa a criptografar os arquivos da vítima alterando a extensão do arquivo, o que impede o acesso aos arquivos, a menos que o resgate seja pago. Os atacantes geralmente deixam uma nota de resgate no sistema comprometido contendo instruções detalhadas sobre como pagar o resgate e recuperar o acesso aos arquivos.
Além da criptografia de arquivos, alguns tipos de ransomware também podem executar outras ações maliciosas, como excluir backups ou registros e espalhar o malware para outros sistemas.
Extorsão: nos dias, semanas ou meses seguintes
Por fim, chegamos às ações que os cibercriminosos realizam para obter um ganho financeiro com o ataque: a etapa de extorsão.
Para fornecer a chave de descriptografia que permite que a vítima recupere os arquivos criptografados, os atacantes exigem o pagamento de um resgate em alguma criptomoeda. Mas essa não é a única medida de pressão, pois eles também costumam usar outras táticas, como ameaçar a vítima com a publicação das informações roubadas em sites usados por grupos de ransomware, onde incluem o nome da vítima e detalhes adicionais das informações. Os dados podem estar disponíveis para download ou compra.
A publicação de arquivos roubados em sites de vazamento é uma tática que começou a ser observada no final de 2019 e foi adotada por outros grupos de ransomware em 2020. O objetivo: pressionar a vítima a pagar o resgate. Os invasores roubam dados confidenciais, como informações financeiras, dados pessoais ou informações de propriedade intelectual, e depois os publicam em sites de vazamento. Isso pode ter um impacto negativo na reputação da vítima ou da organização afetada e pode levar a sanções legais. Os atacantes geralmente ameaçam publicar essas informações se perceberem que a vítima não está disposta a pagar o resgate, o que pode fazer com que ela mude de ideia.
A venda de informações roubadas é outra tática usada pelos invasores para lucrar financeiramente com os ataques. Se a vítima não pagar o resgate, os atacantes podem oferecer as informações roubadas para venda a outros cibercriminosos no mercado clandestino. Essas informações podem ser usadas para realizar outros ataques ou para roubo de identidade. Além disso, as informações podem ser compradas por compradores anônimos, dificultando a identificação dos responsáveis pelos ataques.
Dicas de segurança
Algumas dicas para evitar um ataque de ransomware - ou para impedi-lo caso esteja ocorrendo - incluem:
- Mantenha o software atualizado: é importante que as organizações e os usuários mantenham seus sistemas operacionais e softwares de aplicativos atualizados, pois as atualizações podem incluir patches de segurança que corrigem vulnerabilidades que podem ser exploradas por cibercriminosos.
- Use soluções de segurança confiáveis: é essencial que você tenha um software antivírus, um firewall e outras soluções de segurança confiáveis instaladas para se proteger contra ransomware e outros ataques de malware.
- Faça backup regularmente: tanto os usuários domésticos quanto as organizações devem fazer backup regularmente de todos os seus dados e sistemas essenciais. É importante armazenar os backups em um local seguro e longe do computador em que o backup foi feito, mantendo-os, assim, fora do alcance dos cibercriminosos.
- Capacite as pessoas: no caso das organizações, as pessoas precisam estar cientes dos riscos de serem afetadas por ransomware ou outras ameaças cibernéticas. As organizações devem oferecer treinamento e educação aos que trabalham internamente sobre como reconhecer e-mails de phishing e outras técnicas usadas pelos cibercriminosos para distribuir ransomware.
- Implemente políticas de segurança fortes: as organizações devem implementar políticas de segurança fortes, incluindo o uso de senhas fortes e a limitação do acesso a dados e sistemas críticos.
- Estabeleça um plano de resposta a incidentes: as organizações devem ter um plano de resposta a incidentes para estarem preparadas no caso de um ataque de ransomware. O plano deve incluir etapas para minimizar os danos e recuperar os dados de forma segura e rápida.
- Verifique a procedência de anexos e links: tanto os funcionários das organizações quanto os usuários devem verificar a procedência de anexos e links antes de abri-los ou clicar neles, pois eles podem ser usados por cibercriminosos para distribuir ransomware.