Como é o ciclo de vida de um ataque ransomware?

Por Caique Barqueta: Nossa equipe de Threat Intelligence, o Heimdall, analisou e explicou detalhadamente todo o ciclo de vida de um incidente de ransomware, expondo alguns detalhes das técnicas utilizadas para acessos iniciais, persistência e movimentação lateral, além do impacto que poderá acarretar no negócio.

Apresentamos também algumas medidas de controles que podem ser implantadas, com o objetivo de auxiliar na mitigação um incidente de ransomware que não aconteceu ou que está em andamento, aumentando a maturidade de segurança da organização.

Ciclo de vida de um incidente de ransomware

Nesta seção, vamos abordar os principais ataques utilizados pelos atores de ransomware para realizar seus ataques a organizações, separando por Acesso Inicial, Preparação e Persistência e, por fim, o Impacto no Alvo, ou seja, a empresa.

Acesso inicial

Phishing: Os atores de ransomware utilizam phishing como uma técnica de acesso inicial devido a ser uma das técnicas eficazes para enganar e empregar de artifícios para manipular os usuários. Vale salientar que o phishing envolve a criação de mensagens de e-mails falsas ou sites que possuem o intuito de apresentar ao usuário serem legítimos.

Existem alguns dos principais motivos pelos quais os atores de ransomwares utilizam o phishing como método de acesso inicial, como:

  • Facilidade de execução e ampla execução de ataques: o phishing em comparação com outras ferramentas podem ser fáceis de implementação, já que podem utilizar contra diversas organizações, bem como hoje, é possível realizar a compra de kits de phishing na dark web ou em fóruns underground, os quais vendem toda a infraestrutura para os atores.
  • Obtenção de credenciais: Ao utilizar o phishing, o foco dos atores é realizar a coleta das credenciais de um usuário, obtendo desta forma acesso inicial a rede de uma organização.
  • Exploração de vulnerabilidades humanas: Os atores utilizam o fator humano como um dos elos mais fracos na segurança, já que as pessoas podem ser enganadas, distraídas ou manipuladas emocionalmente para que o criminoso consiga concretizar seu ataque.

Credenciais Válidas: Os atores de ransomware utilizam as credenciais válidas como forma de obter acesso inicial a rede e sistemas pois por alguns motivos como:

  • Evitar a detecção inicial: O cibercriminoso ao utilizar credenciais válidas, evitam suspeitas no sistema de detecção de intrusão, parecendo desta forma legítimo, e, caso o sistema de monitoramento não esteja adequado com configurações para identificações de logins incomuns, poderá facilitar ainda mais o acesso.
  • As credenciais obtidas pelo criminoso poderão ser reutilizadas em outros locais dentro da organização, facilitando sua movimentação pelo ambiente.
  • Utilização das credenciais para fins de persistência, já que uma vez no sistema os cibercriminosos podem usar as credenciais para manter o acesso.
  • A facilidade para atores terem acessos a credenciais válidas se tornou muito ampla em 2023, na qual diversos fóruns da Dark web e Underground realizam a venda de credenciais de usuários, bem como por vezes podem ser encontradas disponíveis em diversos locais sem que haja nenhum tipo de pagamento.

Password guessing: Os atores podem utilizar a técnica para tentar advinhar determinada senha de uma conta ou sistema sem que haja a necessidade de exploração de vulnerabilidade ou utilizar outras técnicas avançadas. Existem algumas maneiras das quais os ataques realizam o ataque de password guessing, como:

  • Ataques de Dicionário: o ator utiliza uma lista de palavras comuns, senhas padrões e combinações de caracteres, sendo esta lista chamada de dicionário, na qual poderá realizar tentativas de palavras como “admin” ou “123456”.
  • Ataque de Brute-Force: o ator utiliza todas as combinações possíveis de caracteres até encontrar a senha correta, onde o método é muito mais demorado do que o ataque de dicionário, pois pode envolver milhões ou até bilhões de tentativas.

Serviços Expostos na Internet: os serviços expostos na internet, como websites, servidores de e-mail, bancos de dados e outros podem enfrentar diversos riscos de segurança, como:

  • Ataques de DDoS, na qual os atores podem utilizar ataques de DDoS para sobrecarregar um serviço ao inundá-lo com um grande volume de tráfego, tornando-o inacessível para usuários legítimos.
  • Exploração de Vulnerabilidades de Sofware: caso os softwares e os sistemas estejam desatualizados ou com má configuração, podem conter vulnerabilidades conhecidas ou desconhecidas, as quais podem ser exploradas por hackers.
  • Injeção de SQL (SQL Injection): Caso o serviço possua a utilização de banco de dados, ele poderá ser vulnerável a ataques de injeção de SQL, nos quais um invasor manipula as consultas SQL para acessar, modificar ou excluir dados do banco.
  • XSS: Injetado código malicioso em páginas web ou aplicativos que são exibidos para os usuários. Isso pode permitir que o atacante roube informações, como cookies de sessões, ou execute ações em nome do usuário.

Exploração de Vulnerabilidades: Esta categoria se refere a uma possível fraqueza ou falha específica em um software, hardware ou sistema que poderá ser aproveitada por um agente malicioso para comprometer a segurança ou funcionalidade do sistema, já que uma vulnerabilidade poderá permitir ao cibercriminoso a obter acesso não autorizado, executar código malicioso ou realizar outras ações.

E-mail com entrega de Documento Malicioso e utilização de Malware: os cibercriminosos poderão utilizar desta técnica por alguns motivos, como:

  • Enganar as vítimas, já que o e-mail é uma das formas mais comuns de comunicação e, consequentemente, poderá ser utilizada para entrega de artefatos potencialmente maliciosos.
  • Além disso, esta técnica facilita a distribuição eficiente de um malware, na qual ao anexar um artefato malicioso a um e-mail, os cibercriminosos podem alcançar muitas vítimas.
  • Entre outras técnicas e motivos, mas que foram na obtenção de acessos iniciais.

 Além dos riscos e técnicas utilizadas para fins de acessos iniciais, mencionamos a seguir no diagrama todo o possível percurso utilizado por atores de ameaças para Acesso Inicial:

Fase de Acesso Inicial de acordo com as ações que podem ser utilizadas pelos atores

Preparação e Persistência

Comando e Controle:  Após obter o acesso inicial no sistema, os atacantes precisam buscar estabelecer um ponto de Comando e Controle (C2) como parte de sua estratégia de ataque. Vale lembrar que o C2 é um componente crítico para os atores, já que ajudam a manter o controle e gerenciar suas operações de ataques de forma eficaz. A seguir, listamos alguns dos motivos dos atores utilizarem C2 em seus ataques:

  • Persistência: garantem a persistência em um sistema, mesmo que a credencial do acesso inicial seja alterada ou se outras medidas forem implementadas.
  • Exfiltração de dados: Os atores podem utilizar o C2 para extrair dados do sistema comprometido, permitindo o roubo de informações confidenciais ou sigilosas.
  • Escalonamento de Privilégios e Movimentação Lateral: O ponto de C2 pode ser utilizado como plataforma para explorar outros sistemas na rede, movendo-se lateralmente e buscando obter acessos mais privilegiados.

Movimentação Lateral: Os atores podem utilizar a movimentação para fins de auxílio na escalação de privilégios, explorar alvos mais estratégicos, prejudicar a detecção, explorar outros recursos internos, realizar o mapeamento da rede e possíveis alvos, realizar a exfiltração de dados específicos, aumentar a persistência e obter uma visibilidade integral do sistema para realizar o ataque coordenado, ou seja, uma estratégia essencial para os atores alcançarem o seu objetivo final, que é implantar o payload de ransomware e atingir o máximo possível de ativos na organização.

Escalação de Privilégios: Os atores utilizam a escalação de privilégios no sistema ou rede para fins de acessos a recursos restritos, obter o controle total do sistema, explorar possíveis vulnerabilidades existentes, realizar bypass em medidas de segurança, utilizar malwares para fins de persistência, movimentação lateral, acesso a dados protegidos por acessos privilegiados entre outros, pois a escalação de privilégios é de suma importância para os atores, já que ao mesmo tempo da utilização da movimentação lateral, poderão ocasionar maior prejuízos a organização.

O diagrama a seguir exemplifica a fase de Preparação e Persistência do ator de ameaça quando este estiver diretamente no ambiente da vítima:

Fase de Preparação e Persistência utilizado pelos atores

Impacto no alvo

Exfiltração de dados: Os atores podem utilizam a exfiltração de dados, a qual se trata de um processo de transferência de dados de um ambiente controlado para um ambiente controlado pelo atacante, muitas vezes para o servidor C2.

Existem alguns motivos para realizar a exfiltração de dados, como: roubo de informações sensíveis, extorsão e emprego de ransomware, espionagem e inteligência, violação de privacidade e outros.

Como o alerta foca em realizar a descrição do incidente de ransomware, podemos afirmar que os atores utilizam a exfiltração de dados para fins de utilizar como forma de obter o pagamento de resgate de uma organização.

Destruição de Backups: os atores de ransomware utilizam a destruição de backups para prejudicar as organizações a realizarem a recuperação sem o pagamento de resgate, bem como causar dados e prejuízos adicionais.

Além disso, é perceptível que os atores realizam a destruição do backup para fins de aumento de valor de resgate, já que a organização por vezes só possui o backup como forma de recuperação de um ataque de ransomware.

Criptografia de dados: os atores de ransomware utilizam a criptografia dos dados como parte de seu modus operandi por algumas razões, como: pressionar a vítima, maximizar o valor do resgate, aumento de impacto psicológico e o principal, exigir que a vítima realize o pagamento de resgates para os atores.

O diagrama a seguir exemplifica a fase de Impacto no Alvo (Impacto na organização) que o ator de ameaça poderá realizar, seja com os dados ou com o backup:

Fase de Impacto no Alvo de acordo com as ações que podem ser utilizadas pelos atores

Agora que abordamos a problemática dos ciclos de ataques de operações de ransomware, mencionamos as principais recomendações e medidas de segurança que podem ser implementadas para fins de auxiliar a prejudicar um ataque em andamento ou se prevenir, lembrando que nenhuma ferramenta ou controle poderá impedir um ataque de ransomware por si só, por isso, é necessário utilizar e aplicar uma defesa profunda nos controles críticos de uma organização , visando detectar, prevenir e responder a qualquer possível incidente e ataque de ransomware.

Para melhor entendimento da imagem, cada losango correspondente a sua cor significa a utilização de um controle para mitigar o risco relacionado a um ataque, unificando todas as etapas de um ataque:

Recomendações e medidas de segurança para prevenir ataques de ransomware

Portanto, é de suma importância que as organizações apliquem tais medidas, uma vez que o mundo do crime cibernético está em constante evolução e altamente lucrativo para estes criminosos, os quais realizam o ataque e posteriormente poderão exigir quantias exorbitantes para fornecimento de chave de criptografia.

Referências

  • Heimdall by ISH Tecnologia