11 motivos para ainda temer o ransomware
As ferramentas e técnicas de detecção e recuperação de ransomware estão melhorando. Infelizmente, os desenvolvedores de ransomware também. Eles estão tornando o ransomware mais difícil de encontrar e os arquivos criptografados mais difíceis de recuperar.
Uma vantagem que as operações de segurança tiveram sobre o ransomware é que ele é previsível. Ele funciona de forma linear, o que oferece às ferramentas e equipes de segurança uma oportunidade de limitar os danos quando o ransomware é detectado. Agora, estamos vendo sinais de que os criadores de ransomware estão tornando seu trabalho menos previsível.
“No final do dia, ransomware tem que fazer algo, como substituir ou bloquear o sistema de arquivos”, diz Brian Bartholomew, pesquisador sênior de segurança, análise e pesquisa global da Kaspersky Lab. A atividade linear associada à sobrescrita ou ao bloqueio de dados torna o ransomware fácil de detectar, observa ele. “Se você pensar em todos os arquivos em um sistema como uma lista, o ransomware vai direto para a lista e começa a criptografá-los”, diz Bartholomew.
Mas os hackers estão tentando mudar a natureza previsível do ransomware para evitar a detecção. Estes são alguns dos novos truques que estão usando. Saiba mais: Veja com a SONDA 6 passos para uma boa detecção comportamental de ameaças Patrocinado
1. Abrandando o processo de criptografia
“Alguns criadores de ransomware espalharam essa rotina um pouco para que não acontecesse de uma só vez. Acontece durante um longo período de tempo ”, diz Bartholomew. O objetivo é estar abaixo do limite de qualquer ferramenta de detecção. “Diga que o AV está procurando por 1.000 arquivos sendo acessados em 10 segundos. Talvez eles aumentem esse prazo em 10 minutos para que a detecção não aconteça ”, diz Bartholomew. "Temos visto mais e mais disso". Um grande risco de alongar a criptografia por um longo período de tempo, segundo ele, é que os arquivos de backup também podem ser criptografados.
2. Randomizando o processo de criptografia
Os criadores de ransomware também estão randomizando sua abordagem para criptografar ou sobrescrever arquivos, em vez de passar por eles de forma linear. Isso ajuda a evitar a detecção por ferramentas anti-ransomware que buscam por um padrão mais linear.
3. Entregando ransomware por meio de arquivos em vez de e-mail
Os links maliciosos no email ainda são, de longe, o método mais comum para fornecer ransomware. À medida que as organizações fazem um trabalho melhor de instruir os usuários a não clicar em links de e-mail questionáveis, alguns criminosos de ransomware estão mudando de tática. Em vez de um link, eles usam um anexo de documento que pode ser um PDF, um DOC Word ou outro tipo de arquivo comum. Esse documento contém um script que inicia o ransomware.
"Estamos vendo o que costumavam ser arquivos PDF benignos ou fotos JPEG agora carregando processos maliciosos que podem ser introduzidos em seu ambiente", diz Hyder Rabbani, COO CyberSight, que vende um produto anti-ransomware. “Você recebe uma mensagem que diz: 'aqui está sua fatura' ou 'aqui está sua foto. As pessoas sempre clicam nessas coisas.
4. Criptografando o código do disco rígido
Talvez mais diabólicos, alguns hackers estão ignorando os arquivos e indo direto para o código no disco rígido. “Vimos rensomware que visam o registro mestre de inicialização. É o começo do disco rígido ”, diz Bartholomew. "Se eles podem corromper isso, então eles podem reter o resto do seu disco rígido sem ter que criptografar todos os arquivos."
5. Usando o código polimórfico
O uso de código polimórfico também complica a detecção de ransomware. “Para cada instância em que o malware é instalado em uma vítima diferente, ele irá alterar um pouco seu código antes de se espalhar novamente”, diz Bartholomew. “Isso torna difícil detectar estatisticamente os arquivos de ransomware.”
Rabbani observa que a frequência com que o código polimórfico muda - tão rapidamente quanto a cada 15 ou 20 segundos - é o que cria o desafio para os esforços de detecção. "Depois de descobrir a assinatura desse ransomware, fica mais fácil parar", diz ele. "No entanto, como o código continua mudando, parece ser um novo ransomware, tornando muito difícil pará-lo."
6. Usando ataques multi-threaded
O típico ataque de ransomware lança um único processo para realizar a criptografia. Em um ataque de ransomware multi-threaded, o código do ransomware principal inicia vários processos-filhos para acelerar o processo de criptografia e dificultar a sua interrupção. "Talvez você possa parar um ou dois, mas os outros executam e continuam a causar danos", diz Rabbani. “Torna-se exponencialmente mais difícil impedir os ataques paralelos.”
Um cenário de horror que Rabbani vê são os ataques multi-thread combinados com o código de ransomware polimórfico. "Você pode rapidamente sobrecarregar o processador e a memória, reduzindo a performance da máquina rapidamente", diz ele.
7. Melhorando suas habilidades de escrita de código
A descriptografia está ficando mais difícil à medida que os desenvolvedores de ransomware aprimoram seu ofício. “Obter uma ferramenta de descriptografia depende de algumas coisas”, diz Bartholomew. “O autor do ransomware cometer um erro ao implementar o processo de criptografia. Não fazer o gerenciamento de chaves adequado, por exemplo, ou usar um gerador de números predicáveis para uma chave. ”Esses erros permitem que os pesquisadores determinem as chaves de descriptografia do ransomware.
"Isso acontece mais vezes do que o esperado", diz Bartholomew. “Geralmente os caras que escrevem essas coisas não são especialistas em criptografia.” Ele vê essa mudança, observando que está ajudando com um caso que envolve uma nova versão do ransomware Crysis. “Com as versões anteriores do Crysis, o autor cometeu erros com a criptografia, então pudemos escrever decifradores. Agora eles consertaram e não há como decifrá-lo”.
8. Ransomware como distração
Outra tendência que Bartholomew viu crescer rapidamente no ano passado é o uso de ransomware como distração para esconder outro tipo de ataque. "Eles estão usando o ransomware como um ataque simples e destrutivo, talvez para agravar ainda mais a agenda política ou causar estragos na Internet, ou usá-lo para encobrir a instalação de malware em outro lugar."
Usar o ransomware para obter ganhos financeiros ainda é o motivo mais comum para os criminosos. De acordo com uma pesquisa recente do SentinelOne, 62% de todos os ataques de ransomware são para ganho financeiro, enquanto 38% são para atrapalhar os negócios. Apenas 24% são motivados politicamente. Bartolomeo se preocupa que isso possa mudar. “Nós temos alguns atores que realmente cruzaram essa linha. Mais atores adotarão essa técnica. ”Ele cita uma onda do ransomware WannaCry que deixou os arquivos sem nenhuma maneira de descriptografá-los.
Os dois grupos que costumam comentar nos noticiários mais propensos a lançar ataques de ransomware destrutivos são atores patrocinados pelo Estado em nome de governos como os do Irã ou da Coreia do Norte e hacktivistas. “Isso não é algo que um colegial possa fazer. Para lançar uma campanha destrutiva de sucesso, você precisa de uma exploração, diz Bartholomew. Ele cita o WannaCry usando um exploit para o qual ninguém tinha um patch. "Não havia como impedir que essa coisa se espalhasse no começo."
A única maneira de uma organização se proteger contra esses tipos de ataques de ransomware é manter uma boa higiene de segurança, garantir que seus usuários recebam treinamento de ransomware adequado e que tenham sólidos processos de backup e recuperação. Bartholomew observa que algumas empresas usam thin clients onde não há disco rígido nos sistemas dos usuários, onde eles entram em um sistema virtual. "Esses são fáceis de reverter porque são sistemas virtuais", diz ele.
9. Direcionando para sistemas operacionais desatualizados
As versões mais recentes do Microsoft Windows 10 e do Apple MacOS são mais difíceis de atacar que as anteriores. A boa notícia para o ransomware é que existem milhões de sistemas mal corrigidos e desatualizado.
"Ataques destinados a sistemas operacionais mais recentes são um pouco menos populares, apenas porque é mais fácil explorar vulnerabilidades conhecidas", diz Rabbani. Ele observa que a CyberSight tem “demanda massiva de clientes” para fornecer proteção contra ransomware em sistemas Windows XP. “Ouvimos quase diariamente clientes que estão, por exemplo, executando o XP em todos os seus sistemas de ponto de venda, com muitas vulnerabilidades que podem ser exploradas”, diz ele.
10. Encontrando novas maneiras de se mover lateralmente através da rede
Rabbani espera que incidentes de movimentação lateral de ransomware "aumentem significativamente". Um usuário pode usar um dispositivo móvel em um Starbucks ou hotel, por exemplo, e alguém carregar um malware no dispositivo por meio de uma porta de comunicação comprometida. "A partir daí, eles podem atravessar a rede e entrar nos servidores da empresa", diz ele. “Isso tem uma probabilidade muito alta de aumentar", alerta.
11. Atrasando ataques de ransomware
Uma tática que Rabbani espera ver mais em um futuro próximo é o que ele chama de “postura de ovos de Páscoa”, onde o ransomware infecta um sistema, mas fica inativo por um largo período de tempo antes de ser ativado.
Como os pesquisadores se adaptam às ameaças em evolução
Nenhuma dessas adaptações torna o ransomware indetectável. “Você tem que tomar cada uma como algo conhecido e escrever detecções para elas. Analise, veja como o ransomware se comporta e mude suas detecções ”, diz Bartholomew, falando sobre como o Kaspersky se adapta às novas táticas de ransomware. "É um jogo constante de gato e rato."
Algumas ferramentas de ransomware estão adotando uma abordagem mais orientada a dados para combater sua natureza em evolução. Os desenvolvedores do ShieldFS, por exemplo, o chamam de “um sistema de arquivos autocorretivo e compatível com ransomware”. Anunciado na Black Hat USA no ano passado, o ShieldFS cria modelos de detecção baseados em um conjunto de dados disponível publicamente que permite diferenciar o comportamento do ransomware dos processos normais. Se detectar ransomware, o ShieldFS pode reverter automaticamente os arquivos corrompidos de volta ao estado anterior ao ransomware.
Melhorara a colaboração e a comunicação também é uma arma importante contra o ransomware. Bartholomew cita um projeto que o Kaspersky Lab ajudou no lançamento chamado No More Ransom! Este projeto coleta e disponibiliza ferramentas de descriptografia de ransomware, oferece conselhos de prevenção e fornece uma maneira de relatar crimes de ransomware à comunidade.
Cooperar com a aplicação da lei é um aspecto importante do No More Ransom! "Podemos obter chaves fazendo com que as autoridades legais nos ajudem, capturando um servidor sendo usado pelo invasor", diz Bartholomew. Se as chaves privadas estiverem no servidor, os membros do projeto podem disponibilizá-las pelo site e escrever ferramentas de descriptografia.
Para derrotar os esforços feitos para evitar a detecção, disfarçando ou alterando a assinatura digital do ransomware, alguns fornecedores concentram-se na análise comportamental, às vezes usando Machine Learning para identificar o ransomware. A abordagem é eficaz com ameaças conhecidas, mas não tanto com o novo ransomware, pois ele não possui os dados necessários para reconhecê-lo.
O desafio é identificar novas ameaças, criar os conjuntos de dados que a análise comportamental precisa para detectá-las e, em seguida, distribuir esses conjuntos de dados para todos que precisarem deles o mais rápido possível. É o que a CyberSight está fazendo com seu produto RansomStopper. “Nós curamos as mais recentes e melhores variedades de ransomware e as executamos através de nosso software para ver seu comportamento”, diz Rabbani.
O machine learning pode desempenhar um papel maior na identificação de novas variações de ransomware. Alguns sugeriram usá-lo para prever como uma variedade específica mudará com a próxima iteração baseada em versões anteriores. Este trabalho ainda é teórico, em grande parte, mas mostra como o Machine Learning pode eventualmente ser capaz de antecipar novas ameaças de ransomware e estar pronto para elas quando elas chegarem.