Como é que o ransomware escapa aos software de segurança

HBi Sophos Partner

O ransomware existe há décadas, mas continua a ser uma ameaça comum e lucrativa. Decidimos examinar mais de perto o comportamento do ransomware, uma vez dentro do sistema da vítima, e como as várias ferramentas e técnicas observadas são usadas pelas famílias de ransomware mais prevalentes, WannaCry, Matrix, GandCrab, Ryuk, SamSam, MegaCortex, e mais.

Novas versões de ransomware são criadas e libertadas todos os dias, e o trabalho do software de segurança é detectá-las e bloqueá-las antes que causem algum dano. O resultado é uma luta contínua entre os softwares, com seus controlos de segurança e sistemas de detecção afinados para detectar comportamentos suspeitos e os mecanismos de ransomware em constante evolução, projetados para contornar esses controlos – ou para fazer o trabalho antes dos serem alcançados.

Tudo começa com um pacote de ficheiros

O primeiro obstáculo para o software de segurança é geralmente o pacote no qual o código malicioso é encriptado. O encriptamento do código, dificulta o trabalho da barreira de proteção a analisar o que está dentro do pacote (o executável malicioso) e quais são as suas intenções. O próximo obstáculo é detectar e mitigar as ações do malware, uma vez descompactado dentro do sistema. Como o software de proteção de endpoint está atento a comportamentos potencialmente maliciosos, é frequente que o código malicioso se concentre em fazer tudo parecer legítimo até que atinja seu o objetivo: criptografar os dados do utilizador e tornar muito difícil, senão impossível, obtê-los sem pagar o resgate exigido.

Comportamento Ransomware - Sophos Labs

Comportamento de vários ransomwares

Código de Autenticação (Code signing)

Os invasores podem tentar minimizar a deteção, atribuindo ao seu ransomware um certificado de autenticação legítimo, o que pode ajudar o ransomware a evitar a deteção de código não autenticado por algumas ferramentas de segurança de software.

Previlégios de Administrador (Privilege escalation)

Existem vários mecanismos que permitem que os invasores adquiram privilégios de acesso e abusem das credenciais roubadas ao administrador, independentemente dos direitos de acesso do utilizador comprometido. Um dos exemplos inclui a utilização do EternalBlue pelo WannaCry, bem como o acesso à linha de comandos, que permite que qualquer ransomware seja iniciado com privilégios de administrador. Também existe um que permite que os invasores executem códigos arbitrários no modo kernel e, como resultado, instalem programas, exibam, alterem ou excluam dados ou criem novas contas com todos os direitos do utilizador.

Ataque em Rede (Network first)

Para garantir que as vítimas paguem, o ransomware tenta criptografar rapidamente o máximo de documentos possível e dificulta, se não impossibilita, a recuperação de versões anteriores ou duplicadas. Os documentos geralmente são armazenados em unidades fixas e amovíveis bem como em unidades compartilhadas em rede. O ransomware pode priorizar determinadas unidades ou tamanhos de documento primeiro, para garantir o sucesso antes de ser capturado pelo software de proteção ou detetado pelas vítimas. Por exemplo, o ransomware pode ser programado para criptografar vários documentos ao mesmo tempo por meio de vários encadeamentos, priorizar documentos menores ou até começar por atacar documentos em unidades compartilhadas.

Encriptação por Proxy (Encryption by proxy)

Alguns ransomware – como GandCrab e Sodinokibi – abusam do Windows PowerShell para obter um script da Internet, que está definido para iniciar automaticamente o ransomware após um atraso de vários dias, fazendo com que o ataque pareça surgir do nada. Neste cenário, o próprio ataque de criptografia é realizado pelo processo autorizado do Windows POWERSHELL.EXE, enganando o software de segurança ao pensar que um aplicativo confiável está a modificar os documentos. Outros ransomware como Ryuk e MegaCortex usam uma abordagem semelhante para criptografar documentos através de um processo confiável.

Para receber mais informações preencha o formulário de contacto ou ligue: 22 018 3506.


 
Termos e Condições

Sim, li e concordo com a Política de Privacidade.