Ransomware: Como Acontece

Introdução

Originalmente, ransomware era um tipo de malware desenvolvido para deixar dados e sistemas inacessíveis até que um resgate fosse pago ao atacante. Geralmente criptografava dados ou partes dos sistemas e exigia pagamento pela chave de criptografia, não importando quais sistemas eram infectados.

Recentemente, o ransomware evoluiu para um tipo de ataque mais elaborado, realizado por grupos de múltiplos indivíduos que dividem tarefas e coordenam as diversas fases que compõe o ataque.

Os atacantes invadem as redes das empresas, comprometem sistemas críticos, exfiltram dados, destroem backups, criptografam dados e fazem múltiplas extorsões, exigindo pagamento pelas chaves de criptografia e ameaçando publicar os dados se o resgate não for pago. Podem, ainda, fazer outras extorsões, como ameaçar lançar ataques de negação de serviço (DDoS) contra a empresa ou chantagear clientes ameaçando publicar informações sensíveis vazadas.

Os ataques se tornaram mais numerosos e os valores de extorsão mais elevados com o surgimento do modelo de negócio RaaS (Ransomware as a Service). Nesse modelo, grupos especializados agem de forma organizada em diferentes papéis:

• Operadores de Ransomware: criam e mantém o código do ransomware e operam a infraestrutura de Comando e Controle (C2), de exposição de dados vazados e de negociação e processamento de pagamentos. Geralmente, o nome do ransomware corresponde ao nome do operador que o criou.
• Afiliados: são responsáveis por comprometer as vítimas e efetivar os ataques, recebendo um percentual do resgate. Podem comprar informações de acesso de Initial Access Brokers.
• Initial Access Brokers (IAB): atacantes especializados em invadir redes e sistemas com intuito de vender as informações de acesso, como credenciais comprometidas e exploits para vulnerabilidades.

Entender como ataques de ransomware acontecem ajuda a determinar medidas de proteção, detecção e resposta a incidentes. Identificar qual foi o ransomware específico utilizado em um ataque pode direcionar as fases da resposta.

Apesar dos ataques não serem exatamente iguais, já que dependem do ambiente da vítima e do modo de operação do atacante, é possível destacar algumas fases comuns. O infográfico "Ransomware: Como acontece" ilustra as fases comuns de um ataque de ransomware, que são detalhadas a seguir.

1. Acesso Inicial

O atacante busca invadir a rede da empresa utilizando diferentes vetores, como credenciais comprometidas, vulnerabilidades de software, engenharia social (quando o usuário é induzido a burlar uma medida de segurança) e malware. Alguns exemplos comuns são:

• Credenciais de acesso remoto, como VPN e RDP, comprometidas via vazamentos de dados, ataques de força bruta ou malware, por exemplo, infostealer.
• Vulnerabilidades em sistemas expostos na Internet, especialmente em equipamentos de borda, como firewalls e VPN.
• Phishing, por e-mail ou mensagem de texto, levando a sites maliciosos para captura de credenciais ou instalação de malware.
• Malware enviado como anexo de e-mail ou baixado de sites maliciosos, por exemplo, via links patrocinados.
• Ligações telefônicas, por exemplo, se passando por suporte técnico para instalar ferramentas de desktop remoto, ou funcionário da empresa solicitando redefinição de senha.

O Acesso Inicial é feito geralmente por um afiliado ou IAB. No caso de IAB, o acesso pode ter ocorrido em momento anterior ao ataque de ransomware em si e as informações vendidas a diferentes afiliados.

Um mecanismo que têm sido amplamente empregado para capturar credenciais de acesso, incluindo tokens de sessão, são os infostealers. Entre os principais vetores de infecção por esse tipo de malware estão os aplicativos geradores de chave de produto/ativação (keygens) e programas ou aplicativos não originais (cracked).

2. Persistência e C2

O atacante busca estabelecer um acesso persistente, ou seja, que o permita retornar ao ambiente mesmo que o acesso inicial seja eliminado. Busca, também, estabelecer um mecanismo de comunicação entre o sistema invadido e a infraestrutura de C2. Algumas das técnicas utilizadas são:

• Criação de novas contas ou modificação de contas existentes.
• Instalação de malware, como backdoor.
• Agendamento de tarefas e scripts de inicialização maliciosos.
• Abuso de ferramentas legítimas de acesso remoto, como RDP e SSH.

3. Escalação de Privilégios

O atacante busca obter permissões elevadas que possibilitem realizar atividades de administrador, acessar dados sensíveis e movimentar-se lateralmente na rede. Algumas das técnicas mais usadas são:

• Exploração de vulnerabilidades.
• Invasão de contas privilegiadas, por exemplo, via senhas comprometidas ou dump de credenciais.
• Alteração de contas, por exemplo, pela adição de permissões ou inclusão em grupos.

4. Movimentação Lateral

O atacante busca conhecer o ambiente e ganhar acesso a sistemas e dados críticos. Também propaga o ransomware (malware) pelo ambiente para realizar a criptografia na fase de Impacto. Normalmente faz uso de:

• Varreduras de rede.
• Credenciais comprometidas.
• Vulnerabilidades de software.
• Ferramentas de acesso remoto, como RDP e SSH.

À medida que consegue novos acessos, o atacante pode tentar escalar privilégios em outros sistemas e estabelecer novos pontos de persistência e de C2.

5. Impacto

O atacante procura causar o máximo de impacto para pressionar a empresa a pagar o resgate, interrompendo as operações e provocando prejuízos financeiros e danos à reputação. As técnicas mais comuns incluem:

• Exfiltração de dados: exige pagamento em troca de não publicar dados sensíveis, como dados pessoais ou de propriedade intelectual. Os dados exfiltrados podem também ser vendidos na Dark Web ou usados para extorquir clientes.
• Criptografia de dados: para tornar sistemas e dados inacessíveis e exigir pagamento pelas chaves de criptografia.
• Destruição de backups: para impedir a restauração do ambiente sem necessidade das chaves de criptografia.