A crescente popularidade do ransomware como modelo de negócios tem sido impulsionada pela combinação ideal de mercados de ransomware como serviço, entrega de malware como serviço e métodos de acesso inicial.
Neste artigo, serão apresentados os sinais que podem ser identificados e interrompidos para quebrar a cadeia de ataques de ransomware.
Serão discutidos os principais elos da cadeia de ransomware, com foco em suas vulnerabilidades, nos seguintes tópicos:
Infiltração e Acesso Inicial
Movimento lateral
Entrega de carga útil de ransomware
Cadeia de ransomware em ação: Trickbot
Exemplos de cadeias de ransomware
Análise Forense de uma Cadeia de Ransomware
Como quebrar uma cadeia de ransomware
O ransomware não aparece do nada. O sistema da vítima geralmente é comprometido por malware que abre caminho para o pacote de ransomware. A cada etapa, os agentes de ameaças são capazes de agrupar vários comprometimentos de malware, cada um com base em seu precursor, cultivando um ecossistema de malware com o objetivo de completar uma 'cadeia de ransomware'. Felizmente, é possível identificar e quebrar o elo mais fraco da cadeia.
Infiltração e Acesso Inicial
Os agentes de ameaças usam uma variedade de meios para implantar seus pacotes iniciais de malware. Algumas táticas incluem:
Phishing por e-mail
Links em documentos
Arquivos em lote
Programas executáveis
Mercados de acesso inicial
Esses atores tendem a seguir uma metodologia de "pulverizar e rezar", na esperança de infectar o maior número possível de sistemas. Dessa forma, computadores domésticos pessoais e sistemas industriais podem ser infectados. Mas, em algum momento, os agentes de ameaças chegarão a um sistema corporativo e decidirão obter a monetização máxima por meio de ransomware.
No final desta etapa, um pacote de malware precursor será implantado (veja a lista abaixo). Esse pacote de malware dará ao invasor mais opções para comprometer a rede e abrir caminho para a entrega de ransomware.
Movimento lateral
Sabendo que estão em uma rede corporativa, os operadores do malware tentarão explorar ativos dentro da rede. Eles mapearão a rede e procurarão dados confidenciais, credenciais que conferirão mais privilégios e acesso à infraestrutura crítica.
Há uma variedade de ferramentas que ajudam as gangues de ransomware a se moverem lateralmente. Alguns deles, como o Cobalt Strike, foram projetados para avaliações de vulnerabilidade legais e de chapéu branco ou testes de penetração. Os agentes de ameaças também realizam varreduras de rede para identificar portas abertas e outras vulnerabilidades na rede.
Também há casos em que o ransomware é aplicado diretamente por agentes de ameaças sem o uso de um malware anterior. Nessas situações, os agentes de ameaças adquiriram acesso à rede por meio de RDP, VPN ou credenciais comprometidas e a fase de movimento lateral é uma tarefa mais manual.
Entrega de carga útil de ransomware
Assim que o agente da ameaça ganhar poder suficiente sobre a rede, ele executará o pacote de ransomware. Isso resultará na criptografia de dados, juntamente com o bloqueio de usuários em seus sistemas. Depois que essas ações forem realizadas com sucesso, a demanda de ransomware será entregue. Também se tornou popular exfiltrar dados confidenciais para serem usados para chantagem e incentivo adicional para pagar o resgate, em uma estratégia conhecida como "dupla extorsão".
Cadeia de ransomware em ação: Trickbot
O Trickbot é um excelente exemplo do primeiro elo de uma cadeia de ransomware. Ele começou como um trojan bancário que tinha como alvo navegadores da web para coletar e exfiltrar credenciais bancárias e cookies. No entanto, seus recursos só se expandiram com o tempo e a cada atualização. É importante ressaltar que ele se atualiza automaticamente, para que possa se adaptar ao sistema que ocupa.
Os pesquisadores de malware analisaram 61 módulos do Trickbot que permitem fornecer acesso remoto, tráfego de rede proxy, realizar ataques de força bruta, baixar outros malwares e muito mais.
O Trickbot é usado como um dos primeiros elos de uma cadeia que resulta em dois dos comprometimentos de ransomware mais populares: Conti e Ryuk.
Exemplos de cadeias de ransomware
A seguir estão alguns exemplos de infecções por malware precursor que levam a ataques de ransomware:
Análise Forense de uma Cadeia de Ransomware
Veja a seguir um exemplo de um ataque em cadeia de ransomware da vida real. Após o ataque, os metadados da rede da vítima foram injetados no Processo de Iluminação da LUMU para análise forense retrospectiva.
As duas imagens acima do Portal Lumu mostram um exemplo de onde os invasores foram bem-sucedidos na implantação de um ataque de ransomware completamente evitável. A segunda imagem representa contatos de malware (amarelo), enquanto a primeira mostra todos os outros tipos de contatos (phishing, C&C, etc). Os dados foram separados em dois gráficos, pois a escala dos contatos de malware faria com que os outros tipos de contato parecessem marginais.
Inicialmente, havia apenas alguma atividade genérica de malware do Conficker detectada. O ataque de ransomware realmente começou com a implantação de um kit de exploração baseado no kit de ferramentas RIG, quando um usuário visitou um site comprometido que redirecionou o navegador da Web vulnerável (Internet Explorer) para o servidor de exploração, que foi capaz de carregar a carga distribuída: o malware SmokeLoader. Por fim, a carga útil do ransomware STOP/DJVU foi entregue. À medida que os contatos C&C (vermelho) aumentaram, inicialmente não houve aumento real na atividade de malware. Isso representa a fase de 'movimento lateral' do ataque. Por fim, podemos ver o aumento drástico na atividade de malware antes da implantação final do ransomware STOP/DJVU. Todo o ataque, incluindo o acesso inicial e o movimento lateral, levou um pouco menos de 3 meses para ser realizado. No final, a implantação do ransomware levou apenas 1 fim de semana.
Existem algumas conclusões importantes deste estudo de caso:
Em primeiro lugar, o compromisso inicial poderia facilmente ter sido considerado uma ameaça "menor" ou de baixa importância. Na verdade, todas as ameaças devem ser erradicadas rapidamente antes que se transformem em uma violação mais séria, como ransomware.
Em segundo lugar, mesmo que a vítima tivesse visibilidade da rede para ver o malware precursor, isso significaria pouco sem recursos de resposta rápidos e precisos. Quando a equipe do SOC não é capaz de operar manualmente a erradicação de comprometimentos, a automação e a orquestração podem ser usadas para integrar recursos de detecção com ferramentas de prevenção e resposta.
Como quebrar uma cadeia de ransomware
Os ataques de ransomware nunca acontecem isoladamente. Como você pode ver tanto pela 'teoria' de como as cadeias de ransomware são propagadas quanto pelas evidências do portal Lumu, sempre há outros contatos maliciosos que o precedem. Esses primeiros contatos de malware são o 'elo mais fraco' em qualquer cadeia de ransomware. Se eles puderem ser detectados e removidos rapidamente, a cadeia de ransomware não poderá progredir.
Também deve ficar claro que os operadores de ransomware precisam fazer uso da rede - em todas as etapas - para atingir seus objetivos. Isso significa que eles inevitavelmente deixam para trás pegadas de suas ações e movimentos nos metadados que todas as redes já criam. A Avaliação de Comprometimento Contínuo™ foi projetada para padronizar, ingerir e analisar esses metadados em tempo real e fornecer evidências confirmadas de comprometimento.
Lumu analisa o tráfego entre a rede e a infraestrutura externa (Norte-Sul) e o tráfego interno (Leste-Oeste) para identificar as fontes de comprometimentos à medida que eles acontecem.
Dessa forma, as equipes de segurança recebem as informações necessárias para erradicar os comprometimentos antes que eles possam se transformar em dados criptografados, sistemas inacessíveis e uma nota de ransomware.
Commentaires