A Sophos publicou o relatório “How ransomware attacks” que explica como actuam os diferentes ataques de ransomware e quais os efeitos que têm nas suas vítimas. Este documento, que complementa o “Relatório Anual de Ciberameaças da Sophos”, apresenta uma análise de 11 das mais frequentes e persistentes famílias de ransomware, incluindo o Ryuk, o BitPaymer e o MegaCortex.
A investigação levada a cabo pela SophosLabs destaca a forma como os ataques de ransomware tentam passar despercebidos nos controlos de segurança, aproveitando-se dos processos habitualmente fiáveis e, uma vez dentro da rede, utilizam os sistemas internos para codificar o maior número possível de ficheiros e desactivar as cópias de segurança e os processos de recuperação, antes que as equipas de TI os consigam detectar.
O ransomware é distribuído normalmente de três formas: como cryptoworm, replicando-se rapidamente noutros computadores, de forma a obter um impacto ainda maior; através de ataques ransomware-as-a-service (RaaS), vendidos na dark web como um kit distribuível; ou através de um ataque levado a cabo pelos atacantes que implementam manualmente o ransomware após uma análise automatizada das redes, em busca de sistemas com protecção mais débil.
O aumento dos privilégios através da utilização de exploits facilmente disponíveis, como o EternalBlue, permite aos ciberatacantes a instalação de programas como ferramentas de administração remota (RATs, siglas em inglês), e a oportunidade de visualizar, alterar ou eliminar dados, criar novas contas com todos os direitos de utilizador e desactivar o software de segurança.
Os servidores, por si só, não são habitualmente objecto de ataques de ransomware, mas recebem-nos através de utilizadores comprometidos que codificam os seus ficheiros.
Não obstante, em algumas destas situações, o ataque é geralmente executado em um ou mais endpoints comprometidos, aproveitando-se de uma conta de utilizador com privilégios para atacar documentos de forma remota; noutras alturas, é através do protocolo de escritório remoto (RDP, siglas em inglês) ou através de soluções de gestão e monitorização remotas (RMM), que utilizam os MSP (fornecedores de serviços geridos) para gerir a infraestrutura de TI dos seus clientes e/ou os sistemas de utilizador final.
“Os criadores de ransomware têm um enorme conhecimento sobre como o software de segurança funciona e adaptam os seus ataques em conformidade. Em certos casos, a parte principal do ataque ocorre de noite, quando as equipas de TI estão em casa a dormir – assim, quando as vítimas descobrem o que está a acontecer, já é demasiado tarde. É imprescindível ter sólidos controlos de segurança e sistemas de monitorização e de resposta locais para cobrir todos os endpoints, redes e sistemas, e para instalar actualizações de software sempre que necessário”, referiu Mark Loman, Director de Engenharia de Tecnologia para a Migração de Ameaças da Sophos