Trace Id is missing

Ransomware como serviço: A nova face do crime cibernético industrializado

Compartilhar
Duas setas sobrepostas em uma linha e apontando uma para a outra em um caminho diferente

 O mais novo modelo de negócios do crime cibernético, os ataques operados por humanos, encoraja criminosos de diferentes capacidades.

O ransomware, uma das ameaças cibernéticas mais persistentes e difundidas, continua a evoluir, e sua forma mais recente representa uma nova ameaça para as organizações em todo o mundo. A evolução do ransomware não envolve novos avanços tecnológicos. Em vez disso, envolve um novo modelo de negócios: Ransomware como serviço (RaaS).

O RaaS (ransomware como serviço) é um acordo entre um operador, que desenvolve e mantém as ferramentas para potencializar as operações de extorsão, e um afiliado, que implementa a carga útil do ransomware. Quando o afiliado realiza um ataque bem-sucedido de ransomware e extorsão, ambas as partes lucram.

O modelo RaaS reduz a barreira de entrada para os invasores que podem não ter a habilidade ou os recursos técnicos para desenvolver suas próprias ferramentas, mas podem gerenciar testes de penetração e ferramentas de administração de sistemas prontos para realizar ataques. Esses criminosos de nível inferior também podem simplesmente comprar acesso à rede de um grupo criminoso mais sofisticado que já tenha violado um perímetro.

Embora as afiliadas do RaaS usem cargas úteis de ransomware fornecidas por operadores mais sofisticados, elas não fazem parte da mesma "gangue" de ransomware. Em vez disso, são suas próprias empresas distintas que operam na economia geral do crime cibernético.

Avanço das capacidades dos criminosos cibernéticos e crescimento da economia geral do crime cibernético

O modelo de ransomware como serviço facilitou um rápido refinamento e industrialização do que criminosos menos capazes podem realizar. No passado, esses criminosos menos sofisticados podiam usar malware de commodity que eles criavam ou compravam para realizar ataques de escopo limitado, mas agora eles podem obter tudo o que precisam, desde acesso a redes até cargas de ransomware, de seus operadores de RaaS (por um preço, é claro). Muitos programas de RaaS incorporam ainda um conjunto de ofertas de suporte à extorsão, incluindo hospedagem de sites de vazamento e integração em notas de resgate, bem como negociação de descriptografia, pressão para pagamento e serviços de transação de criptomoeda.

Isso significa que o impacto de um ataque bem-sucedido de ransomware e extorsão permanece o mesmo, independentemente das habilidades do invasor.

Descobrir e explorar vulnerabilidades de rede... por um preço

Uma forma das operadoras de RaaS agregarem valor aos seus afiliados é fornecendo acesso a redes comprometidas. Os corretores de acesso examinam a Internet em busca de sistemas vulneráveis, que eles podem comprometer e reservar para lucro posterior.

Para serem bem-sucedidos, os invasores precisam de credenciais. As credenciais comprometidas são tão importantes para esses ataques que, quando os criminosos cibernéticos vendem acesso à rede, em muitos casos, o preço inclui uma conta de administrador garantida.

O que os criminosos fazem com o acesso depois que ele é obtido pode variar muito, dependendo dos grupos e de suas cargas de trabalho ou motivações. O tempo entre o acesso inicial e a implantação de um teclado prático pode, portanto, variar de minutos a dias ou mais, mas quando as circunstâncias permitem, os danos podem ser infligidos em uma velocidade vertiginosa. De fato, observou-se que o tempo entre o acesso inicial e o resgate total (incluindo a transferência de um corretor de acesso para um afiliado de RaaS) leva menos de uma hora.

Manter a economia em movimento, métodos de acesso persistentes e sorrateiros

Quando os invasores obtêm acesso a uma rede, eles não querem sair, mesmo depois de receber o resgate. Na verdade, o pagamento do resgate pode não reduzir o risco para uma rede afetada e, potencialmente, serve apenas para financiar os criminosos cibernéticos, que continuarão tentando monetizar os ataques com diferentes cargas de malware ou ransomware até serem expulsos.

A transferência que ocorre entre diferentes atacantes à medida que ocorrem transições na economia do crime cibernético significa que vários grupos de atividades podem persistir em um ambiente usando vários métodos diferentes das ferramentas usadas em um ataque de ransomware. Por exemplo, o acesso inicial obtido por um trojan bancário leva à implantação do Cobalt Strike, mas a afiliada RaaS que adquiriu o acesso pode optar por usar uma ferramenta de acesso remoto, como o TeamViewer, para operar sua campanha.

O uso de ferramentas e configurações legítimas para persistir em relação a implantes de malware, como o Cobalt Strike, é uma técnica popular entre os atacantes de ransomware para evitar a detecção e permanecer residente em uma rede por mais tempo.

Outra técnica popular dos invasores é criar novas contas de usuário de backdoor, locais ou no Active Directory, que podem ser adicionadas a ferramentas de acesso remoto, como uma rede privada virtual (VPN) ou uma área de trabalho remota. Também observamos os atacantes de ransomware editando as configurações dos sistemas para ativar a Área de Trabalho Remota, reduzir a segurança do protocolo e adicionar novos usuários ao grupo de Usuários da Área de Trabalho Remota.

Diagrama de fluxo que explica como os ataques de RaaS são planejados e implementados

Enfrentar os adversários mais esquivos e astutos do mundo

Uma das qualidades da RaaS que torna a ameaça tão preocupante é o fato de ela depender de invasores humanos que podem tomar decisões informadas e calculadas e variar os padrões de ataque com base no que encontram nas redes em que entrarem, garantindo que atinjam seus objetivos.

A Microsoft criou o termo ransomware operado por humanos para definir essa categoria de ataques como uma cadeia de atividades que culmina em uma carga útil de ransomware, e não como um conjunto de cargas úteis de malware a serem bloqueadas.

Embora a maioria das campanhas de acesso inicial dependa de reconhecimento automatizado, quando o ataque passa para a fase prática, os invasores usam seu conhecimento e habilidade para tentar derrotar os produtos de segurança no ambiente.

Os invasores de ransomware são motivados por lucros fáceis, portanto, aumentar o custo por meio do fortalecimento da segurança é fundamental para abalar a economia do crime cibernético. Essa tomada de decisão humana significa que, mesmo que os produtos de segurança detectem estágios específicos do ataque, os próprios invasores não são totalmente expulsos; eles tentam continuar se não forem bloqueados por um controle de segurança. Em muitos casos, se uma ferramenta ou carga útil for detectada e bloqueada por um produto antivírus, os invasores simplesmente pegam uma ferramenta diferente ou modificam sua carga útil.

Os invasores também estão cientes dos tempos de resposta do SOC (centro de operações de segurança) e dos recursos e limitações das ferramentas de detecção. Quando o ataque atingir o estágio de exclusão de backups ou cópias de sombra, faltarão poucos minutos para a implantação do ransomware. O adversário provavelmente já teria realizado ações prejudiciais, como a exfiltração de dados. Esse conhecimento é fundamental para os SOCs que respondem ao ransomware: investigar detecções como o Cobalt Strike antes do estágio de implantação do ransomware e realizar ações rápidas de correção e procedimentos de IR (resposta a incidentes) são essenciais para conter um adversário humano.

Reforçar a segurança contra ameaças e evitar a fadiga de alertas

Uma estratégia de segurança duradoura contra determinados adversários humanos deve incluir metas de detecção e mitigação. Não basta confiar apenas na detecção, pois 1) alguns eventos de infiltração são praticamente indetectáveis (parecem várias ações inocentes) e 2) não é incomum que os ataques de ransomware passem despercebidos devido à fadiga de alertas causada por vários alertas de produtos de segurança diferentes.

Como os invasores têm várias maneiras de evitar e desativar os produtos de segurança e são capazes de imitar o comportamento benigno do administrador para se misturarem o máximo possível, as equipes de segurança de TI e os SOCs devem apoiar seus esforços de detecção com medidas de fortalecimento da segurança.

Os invasores de ransomware são motivados por lucros fáceis, portanto, aumentar o custo por meio do fortalecimento da segurança é fundamental para abalar a economia do crime cibernético.

Aqui estão algumas medidas que as organizações podem tomar para se proteger:

 

  • Promova a higiene de credenciais: Desenvolva uma segmentação lógica da rede com base em privilégios que possam ser implementados juntamente com a segmentação da rede para limitar o movimento lateral.
  • Audite a exposição de credenciais: A auditoria da exposição de credenciais é fundamental para evitar ataques de ransomware e crimes cibernéticos em geral. As equipes de segurança de TI e os SOCs podem trabalhar juntos para reduzir os privilégios administrativos e entender o nível em que suas credenciais estão expostas.
  • Fortaleça na nuvem: À medida que os invasores migram para os recursos da nuvem, é importante proteger os recursos e as identidades da nuvem, bem como as contas locais. As equipes de segurança devem se concentrar em fortalecer a infraestrutura de identidade de segurança, aplicar a autenticação multifator (MFA) em todas as contas e tratar os administradores de nuvem/administradores locatários com o mesmo nível de segurança e higiene de credenciais que os administradores de domínio.
  • Fechar os pontos cegos de segurança: As organizações devem verificar se as ferramentas de segurança estão sendo executadas na configuração ideal e realizar varreduras regulares na rede para garantir que um produto de segurança proteja todos os sistemas.
  • Reduza a superfície de ataque: Estabeleça regras de redução da superfície de ataque para evitar técnicas de ataque comuns usadas em ataques de ransomware. Em ataques observados de vários grupos de atividade associados a ransomware, as organizações com regras claramente definidas conseguiram atenuar os ataques em seus estágios iniciais e, ao mesmo tempo, impedir a atividade prática no teclado.
  • Avaliar o perímetro: As organizações devem identificar e proteger os sistemas de perímetro que os invasores podem usar para acessar a rede. Interfaces de varredura públicas, como , podem ser usadas para aumentar os dados.
  • Proteger os ativos voltados para a Internet: Os atacantes de ransomware e os agentes de acesso usam vulnerabilidades não corrigidas, sejam elas já divulgadas ou de dia zero, especialmente no estágio inicial de acesso. Eles também adotam rapidamente novas vulnerabilidades. Para reduzir ainda mais a exposição, as organizações podem usar os recursos de gerenciamento de ameaças e vulnerabilidades dos produtos de detecção e resposta de pontos de extremidades para descobrir, priorizar e corrigir vulnerabilidades e configurações incorretas.
  • Preparar para a recuperação: A melhor defesa contra ransomware deve incluir planos de recuperação rápida no caso de um ataque. A recuperação de um ataque custará menos do que o pagamento de um resgate, portanto, certifique-se de fazer backups regulares de seus sistemas essenciais e de proteger esses backups contra apagamento deliberado e criptografia. Se possível, armazene os backups em um armazenamento imutável online ou totalmente offline ou fora do local.
  • Maior defesa contra ataques de ransomware: A ameaça multifacetada da nova economia de ransomware e a natureza elusiva dos ataques de ransomware operados por humanos exigem que as organizações adotem uma abordagem abrangente de segurança.

As etapas que descrevemos acima ajudam na defesa contra padrões de ataque comuns e ajudarão muito a evitar ataques de ransomware. Para reforçar ainda mais as defesas contra ransomware tradicional e operado por humanos e outras ameaças, use ferramentas de segurança que possam oferecer visibilidade profunda entre domínios e recursos de investigação unificados.

Para obter uma visão geral adicional do ransomware, com dicas e melhores práticas de prevenção, detecção e correção, confira Proteja sua organização contra ransomware e, para obter informações ainda mais detalhadas sobre ransomware operado por humanos, leia p artigo da pesquisadora sênior de segurança Jessica Payne Ransomware-as-a-service: Entendendo a economia de trabalhos do crime cibernético e como se proteger.

Artigos relacionados

Cyber Signals Edição 2: Economia da extorsão

Escute os especialistas de campo sobre o desenvolvimento de ransomware como serviço. Desde programas e conteúdos maliciosos até intermediários de acesso e afiliados, conheça as ferramentas, táticas e alvos preferidos dos criminosos cibernéticos, além de receber orientações para proteger sua organização.
Saiba mais

Perfil de especialista: Nick Carr

Nick Carr, líder da equipe de inteligência contra o crime cibernético do Centro de Informações sobre ameaças da Microsoft, discute as tendências do ransomware, explica o que a Microsoft está fazendo para proteger os clientes contra o ransomware e descreve o que as organizações podem fazer caso tenham sido afetadas por ele.
Saiba mais

Proteja sua organização contra ransomware

Tenha um relance de como os criminosos operam na economia clandestina do ransomware. Vamos ajudar você a entender as motivações e a mecânica dos ataques de ransomware e disponibilizaremos as melhores práticas de proteção, backup e recuperação.
Saiba mais