Ransomware: Como Detectar

Introdução

Ataques de ransomware podem ser detectados nas diferentes fases, de distintas formas e com variados níveis de detalhamento. Quanto antes a detecção ocorrer, menores serão os impactos na empresa e, como resultado, os esforços da Resposta.

Para que a detecção ocorra, é essencial que o ambiente esteja previamente preparado para monitorar e detectar as atividades dos atacantes, e possua ferramentas e pessoas capazes de interpretar os resultados.

Cada fase do ataque oferece oportunidades de detectar e interromper as ações maliciosas do atacante, conforme ilustrado no Infográfico "Ransomware: Como detectar" e discutido a seguir.

1. Habilitar e analisar logs

Logs gerados nos diversos equipamentos e sistemas ajudam a identificar atividades maliciosas de atacantes e de malware e, pela importância que possuem, precisam ser protegidos contra remoções ou alterações indevidas.

• Habilite a geração de logs em dispositivos de rede, servidores, ferramentas de segurança, aplicações e serviços de nuvem, principalmente em sistemas críticos:
  • em dispositivos de rede e firewalls, habilite também a geração de netflows.
• Proteja os logs contra acesso indevido:
  • envie os logs para servidores centralizados e com mecanismos de proteção ativados.
• Para facilitar a correlação de logs, eventos e outros dados, mantenha o horário de servidores e dispositivos de rede sincronizados com uma fonte confiável de tempo usando, por exemplo, o protocolo NTP.

2. Monitorar o tráfego de rede

A monitoração de rede deve incluir tanto o tráfego de entrada e saída da Internet, quanto o interno entre as redes da própria empresa. Ela ajuda na detecção de atividades de Acesso Inicial, Persistência e C2, Movimentação Lateral e Impacto.

2.1. Tráfego de entrada

• Identifique previamente o padrão de tráfego de entrada na rede.
• Determine quais equipamentos e portas de serviços podem ser acessados de outras redes, tanto da Internet como de redes internas.
• Monitore:
  • Acessos externos a equipamentos que não deveriam ser acessados de fora da rede: podem indicar alterações na configuração do equipamento para permitir acesso remoto.
  • Tentativas sucessivas de acesso a uma porta de serviço específico: podem indicar potencial de exploração de vulnerabilidades neste serviço ou ataques de força bruta.
  • Varreduras de redes e de portas: podem indicar tentativas de identificar equipamentos ativos e os serviços que eles disponibilizam, para então associar vulnerabilidades a esses serviços.

Analisar dados de varreduras em equipamentos expostos na Internet pode ser desafiador, devido às constantes tentativas de ataques e ao tráfego vindo de inúmeros projetos de pesquisa e empresas que também varrem a Internet para mapear vulnerabilidades. Essa análise pode exigir o uso de ferramentas específicas de análise de tráfego para a detecção de anomalias relevantes.

2.2. Tráfego de saída

• Determine previamente o padrão de tráfego de saída da rede.
• Monitore:
  • Aumentos atípicos no volume de dados transmitidos: podem indicar Exfiltração de Dados.
  • Aumentos incomuns de tráfego em compartilhamentos de rede, como SMB: podem indicar Criptografia de dados destas áreas.
  • Conexões para endereços IP conhecidamente envolvidos em atividades maliciosas e para links de phishing detectados por notificações e ferramentas de proteção: podem indicar comprometimento de credenciais de usuário ou do sistema.
  • Consultas DNS usadas para comunicação com C2 e com domínios suspeitos de envolvimento com ransomware: podem indicar a presença de mecanismos de Persistência.
  • Requisições Tor ou Tor2Web: podem indicar comunicação com C2 ou Exfiltração de Dados.
  • Sessões muito longas: podem indicar comunicação com C2 ou Exfiltração de Dados.

3. Observar alertas de ferramentas de proteção

Ferramentas de proteção, como de detecção e resposta, firewalls, filtros antispam e anti-phishing, costumam emitir alertas quando detectam atividades suspeitas e também auxiliam na Resposta, bloqueando automaticamente algumas atividades.

• Monitore:
  • Logs e alertas gerados pelas ferramentas de proteção.
  • As próprias ferramentas de proteção por tentativas de desativação ou alterações em suas configurações.
• Configure as ferramentas de proteção para identificar e bloquear a instalação e execução de software não original.

4. Monitorar contas de usuários e administradores

A invasão ou criação de contas de usuários e administradores é um dos vetores de Acesso Inicial. Também pode ocorrer nas fases de Movimentação Lateral e de Persistência e C2.

• Monitore:
  • Criação ou alteração de contas, em especial as de administrador.
  • Ataques de força bruta de credencial, especialmente sucessivas tentativas negadas seguidas de uma autenticação bem-sucedida.
  • Acessos a contas antigas ou fora do padrão de uso de funcionários e terceiros: podem indicar que uma conta está comprometida e sendo usada para acessar a rede da empresa.
  • Acessos remotos bem-sucedidos, como de VPN: podem ajudar a rastrear contas comprometidas e ações dos atacantes.

5. Monitorar o uso dos sistemas

Nas diferentes fases do ataque de ransomware, atacantes podem alterar configurações, instalar malware e ferramentas de acesso remoto, fazer varreduras de rede, Apagar Backups e Exfiltrar e Criptografar dados. Tais ações são capazes de afetar o comportamento dos sistemas e servir como alertas de atividades maliciosas.

• Estabeleça o que é considerado uso "normal" dos equipamentos.
• Monitore:
  • Mudanças no padrão de uso dos equipamentos, como aumento na utilização da CPU e na atividade de acesso ao disco e à rede.
  • Instalações de software e execuções de processos desconhecidos.
  • Alterações em configurações de sistemas, como tarefas agendadas, scripts de inicialização e chaves de registro.
• Execute software de checagem de integridade em arquivos críticos, como sistemas de arquivos, diretórios, bancos de dados, componentes do sistema operacional e aplicações, e monitore alterações.
• Crie arquivos decoy e monitore o acesso a eles.

Arquivos decoy são, por exemplo, arquivos que parecem ser de dados sensíveis, senhas, certificados ou tokens de acesso, mas que não são usados por ninguém da empresa. Devem ser monitorados e gerar alertas sempre que acessados, pois é provável que o acesso seja ação de um atacante ou malware.

6. Estabelecer um canal para receber notificações de segurança

Ter um contato divulgado para onde devam ser enviadas notificações de segurança ajuda a identificar problemas, como vazamentos de dados, equipamentos infectados, contas invadidas e tentativas de explorar vulnerabilidades. Elas podem ser recebidas tanto de pessoas externas como internas à empresa.

• Crie e monitore canais de comunicação para receber notificações de fontes externas, como pesquisadores e times de resposta a incidentes, e internas, como funcionários e terceiros:
  • crie caixas padrão de e-mail, como abuse@dominio e security@dominio;
  • mantenha o contato técnico do seu domínio na Internet sempre atualizado e sendo lido por alguém que possa repassar as mensagens para a equipe técnica;
  • crie o arquivo security.txt no seu site seguindo o padrão descrito em https://securitytxt.org/.
• Divulgue os canais de comunicação e como fazer notificações de segurança:
  • veja mais sobre conscientização de funcionários em "Ransomware: Como se Proteger".
• Incentive funcionários e terceiros a notificar sempre que encontrarem problemas de segurança, como phishing, pedidos de resgate de ransomware e comportamentos "estranhos" nos equipamentos, por exemplo, arquivos faltando e alertas de ferramentas de proteção.
• Use as notificações recebidas para treinar filtros de ferramentas de proteção e como alerta para ataques contra a empresa.