Como o ransomware se espalha? Os 10 métodos de infecção mais comuns

Métodos de infecção por ransomware

À medida que os operadores de ransomware continuam a evoluir suas táticas, é importante entender os vetores de ataque mais comuns usados para que você possa defender sua organização com eficácia.

O ransomware se espalha de muitas maneiras diferentes, mas os 10 métodos de infecção mais comuns incluem:

1. Engenharia social (Phishing)
2. Malvertising
3. Ataques sem arquivo
4. Remote Desktop Protocol
5. MSPs e RMMs
6. Downloads Drive-By
7. Software pirata
8. Propagação de rede
9. Ofuscação de malware
10. Ransomware como serviço (RaaS)

1. E-mails de phishing usando engenharia social

Tecnologia e natureza humana são dois lados da mesma moeda quando se trata de ataques de ransomware. Em um caso observado pela CrowdStrike, o e-mail de um CEO foi falsificado e o invasor usou engenharia social para realizar ataques de phishing e fazer com que os funcionários clicassem em um link em um e-mail falso do executivo.

Para ter sucesso, esse ataque exigiu pesquisa metódica sobre a administração da empresa, seus funcionários e a indústria. À medida que os ataques de Big Game Hunting (BGH) aumentam, a engenharia social está se tornando uma presença mais constante nos ataques de phishing. As mídias sociais também desempenham um papel importante, não apenas permitindo que invasores obtenham informações sobre vítimas em potencial, mas também como um canal para implementar malware.

2. Malvertising e kits de exploit

Malvertising e kits de exploit podem ser usados juntos para propagar ransomware, permitindo que o invasor crie “pop-ups de Trojan” ou anúncios contendo código malicioso oculto. Se os usuários clicarem em um deles, eles serão redirecionados clandestinamente para a landing page do kit de exploit. Lá, um componente do kit de exploit fará uma varredura discreta na máquina em busca de vulnerabilidades que o invasor possa explorar.

Se o kit de exploit for bem-sucedido, ele enviará um payload de ransomware para infectar o host. Os kits de exploits são populares entre as organizações do eCrime devido à sua natureza automatizada. Além disso, exploits são uma técnica sem arquivo eficiente, pois podem ser injetados diretamente na memória sem exigir que nada seja gravado no disco, tornando-os indetectáveis pelos softwares de antivírus tradicionais.

Os kits de exploit também estão proliferando entre invasores de ransomware menos sofisticados, porque não exigem muito conhecimento técnico para serem implementados. Com um investimento modesto na darknet, praticamente qualquer um pode entrar no negócio de pedidos de resgate on-line.

3. Ataques sem arquivo

As técnicas de ransomware sem arquivo estão aumentando. São ataques em que as táticas iniciais não resultam em um arquivo executável gravado no disco. O ransomware sem arquivo usa ferramentas pré-instaladas do sistema operacional, como PowerShell ou WMI, para permitir que o invasor execute tarefas sem exigir que um arquivo malicioso seja executado no sistema comprometido. Essa técnica é popular porque os ataques sem arquivo são capazes de ignorar a maioria das soluções antivírus legadas.

4. Remote Desktop Protocol

O Remote Desk Protocol (RDP) permite que os usuários se conectem a um computador de qualquer lugar do mundo usando um canal seguro e confiável. Embora a ferramenta seja geralmente segura e ofereça muitos benefícios, como aumento de produtividade e flexibilidade para a força de trabalho, ela também cria uma vulnerabilidade de segurança que pode ser explorada por um invasor.

Os ciber criminosos usam scanners de portas para buscar portas vulneráveis na Internet. Então, eles usam ataques de força bruta ou outras técnicas de roubo de credenciais para obter acesso. Após entrarem no sistema, eles podem fazer o que quiserem, inclusive deixar uma “porta aberta” para acesso futuro.

5. MSPs e RMMs

Os Provedores de Serviços Gerenciados (MSPs) fornecem à organização serviços para auxiliá-los nas tarefas de tecnologia da informação. No entanto, os ciber criminosos podem tirar vantagem da vulnerabilidade do MSP em seu software de monitoramento e gerenciamento remoto (RMM) e vazar dados. É um problema importante porque não apenas os dados privados da organização estão em risco, mas também todos os dados de seus clientes.

6. Downloads Drive-By

Um ataque drive-by, às vezes chamado de download drive-by, é um ataque de malware que aproveita a vulnerabilidade em diferentes navegadores, plugins ou aplicativos para realizar o ataque. Ele não requer qualquer ação humana para ser iniciado, o que significa que um funcionário só precisa abrir um site infectado sem saber. Uma vez que o ataque esteja em andamento, o hacker pode tomar o controle do dispositivo, espionar as atividades do usuário ou roubar dados e informações pessoais.

7. Software pirata

Há uma infinidade de softwares piratas por aí, e é difícil distinguir alguns deles de softwares legítimos. O ransomware é muito conhecido por se espalhar por meio de software pirata, e é muito mais fácil ser vítima de um download drive-by ou de malvertising ao navegar em um site que hospede software pirata.

Uma das principais vulnerabilidades do uso de software pirata é que as atualizações regulares não são realizadas automaticamente ou não podem ser realizadas de forma alguma, deixando áreas de segurança não corrigidas que aumentam o risco de exploits de dia zero.

8. Propagação em rede por movimento lateral

As primeiras variantes de ransomware não tinham capacidades de propagação em rede como as variantes mais recentes. Elas estavam limitadas a atacar apenas dispositivos infectados. Hoje em dia, as variantes de ransomware estão se tornando mais complexas e possuem mecanismos de autopropagação que permitem o movimento lateral para outros dispositivos conectados à rede.

9. Ofuscação de malware no processo de construção

Em 2020, a Inteligência CrowdStrike observou que o Wizard Spider e o Mummy Spider estavam implementando ferramentas de proteção de software de fonte aberta em seu processo de construção de malware. O uso de técnicas de ofuscação em malware não é novo, mas a inclusão de ferramentas de código aberto em processos de construção é uma novidade que oferece suporte a adversários avançados em busca de processos de desenvolvimento ágeis. Por conta da complexidade do código aberto, tal tática pode ter sua adoção limitada por grupos de ameaças menos sofisticados.

10. Ransomware como serviço (RaaS) e brokers de acesso

Como os ciber criminosos estão sempre buscando formas de otimizar suas operações e obter mais lucros, eles se inspiraram no modelo de software como serviço (SaaS) para criar um modelo de ransomware como serviço (RaaS). Os provedores de ransomware como serviço (RaaS) oferecem todos os componentes de ataque de ransomware necessários para realizar campanhas de ransomware, desde código malicioso até painéis de resultados. Alguns até incluem um departamento de atendimento ao cliente, colocando o ransomware ao alcance de criminosos sem conhecimento técnico. Além disso, o custo da assinatura geralmente é coberto como uma parte dos lucros da campanha, o que torna esse modelo uma opção de baixo custo para ser adotado por ciber criminosos. Um exemplo desse tipo é o famoso ransomware como serviço (RaaS) Carbon Spider. O Carbon Spider aprofundou seu compromisso com a Big Game Hunting (BGH) em agosto de 2020, utilizando seu próprio ransomware (DarkSide) e, em novembro de 2020, ampliou sua presença na Big Game Hunting (BGH) ao criar um programa de afiliados de ransomware como serviço (RaaS) para o DarkSide. Esse programa permite que outros atores de ameaças usem o ransomware DarkSide enquanto pagam uma parte do valor obtido ao Carbon Spider.

Brokers de acesso são atores de ameaças que obtêm acesso de backend a várias organizações (tanto corporações quanto entidades governamentais) e vendem esse acesso em fóruns criminosos ou por meio de canais privados. Os compradores economizam tempo com alvos pré-identificados e acesso estabelecido, permitindo mais alvos e implementações mais rápidas, que resultam em um maior potencial de monetização. O uso de brokers de acesso se tornou cada vez mais comum entre os atores de BGH e os aspirantes a operadores de ransomware. A equipe de Inteligência da CrowdStrike observou alguns brokers de acesso associados a afiliados de grupos de RaaS.

Proteção contra ransomware

Os backups são uma boa forma de se defender, mas eles também devem ser protegidos, pois geralmente são a primeira coisa que um invasor bloqueia ou tenta destruir em um ambiente. Garantir que os backups estejam seguros e possam ser acessados separadamente, mesmo em um ambiente comprometido, é uma medida de precaução padrão. Em setembro de 2020, a Agência de Segurança Cibernética e de Infraestrutura (CISA) do Departamento de Segurança Interna dos EUA e o Centro de Análise e Compartilhamento de Informações Multiestaduais (MSISAC) publicaram um Guia de Proteção contra Ransomware descrevendo medidas adicionais de cibersegurança que as organizações devem tomar para compreender e lidar com uma ameaça de ransomware. O guia dá conselhos sobre como se proteger contra ransomware, se preparar para um possível incidente, se recuperar de um ataque e onde buscar ajuda. Ele inclui recomendações práticas, como manter os sistemas corrigidos e atualizados, treinar o usuário final e criar e executar um plano de resposta a incidentes (IR).

Soluções de ransomware

Ataques de ransomware podem prejudicar as operações comerciais e a privacidade de dados. Dependendo do tamanho da sua organização, os pacotes de produtos Falcon Go, Falcon Pro ou Falcon Enterprise da CrowdStrike ajudam a defender as áreas de ataque da sua organização, incluindo endpoints e workloads na nuvem, identidade e dados.