As mecânicas por trás de um ataque de ransomware

Ataques de ransomware continuam a crescer. De acordo com o McAfee Labs, as amostras de ransomware cresceram 169% em 2015 e o total de amostras do malware já somam quase 6 milhões. A técnica não é recente, ela já existe há muito tempo, os primeiros protótipos do malware foram desenvolvidos em meados da década de 1990. No entanto, a modalidade criminosa vem ganhando cada vez mais popularidade devido à impossibilidade de rastrear as moedas virtuais usadas nos pagamentos dos resgates e também pela oferta de pacotes de Ransomware as a Service disponíveis na deep web.

O ransomware usa a criptografia para extorquir as vítimas, os ataques podem causar a perda de acesso à informação, perda de confidencialidade e vazamento de informações. Os ataques podem ser direcionados tanto a consumidores quanto a empresas de todos os portes. É importante entender como funciona a anatomia de um ataque de ransomware para se prevenir com mais eficácia.

Há seis etapas que um ataque percorre para atingir seus objetivos. O primeiro passo é a distribuição. Na verdade, os cibercriminosos utilizam métodos de distribuição bastante conhecidos, geralmente o malware é espalhado por meio de esquemas de phishing envolvendo links fraudulentos, anexos de e-mail ou downloads de arquivos que são instalados no endpoint a partir de sites comprometidos. Mesmo conhecida, a técnica ainda é bastante efetiva, um em cada quatro destinatários abre mensagens de phishing e, surpreendentemente, um em cada 10 clica em anexos recebidos nessas mensagens.

O segundo passo é a infecção. O binário chega no computador do usuário e inicia os processos necessários para completar suas atividades maliciosas. Esta etapa pode incluir técnicas mais novas e comportamentos sofisticados. Por exemplo, o malware CryptoWall 3 funciona da seguinte forma: Gera um identificador de computador exclusivo; certifica um “reboot de sobrevivência” instalando um programa seja executado ao ligar a máquina; desativa cópias e sistemas de reparação e recuperação de erro do Windows, desativa programas de defesa; injeta-se no explorer.exe e svchost.exe e recupera o endereço IP externo.

O terceiro passo é a comunicação. O malware se comunica com os servidores de chave de criptografia para obter a chave pública necessária para criptografar os dados. O CryptoWall 3, por exemplo, se conecta a um site WordPress comprometido e relata seu status. Todo o tráfego de servidor de controle é criptografado usando o algoritmo de criptografia RC4. O quarto passo é a pesquisa de arquivos. O ransomware procura por arquivos no sistema de uma forma sistemática. Ele normalmente busca por arquivos que sejam importantes para o usuário e não podem ser facilmente replicados, como arquivos com extensões de jpg, docx, xlsx, pptx, e pdf.

O passo seguinte é a criptografia. O processo é realizado movendo e renomeando arquivos específicos, as informações são “embaralhadas” e não podem mais serem acessadas sem serem descriptografadas. A última etapa é o pedido de resgate, quando normalmente um aviso aparece na tela do computador infectado exigindo pagamento em bitcoins para então enviar à vítima a chave que poderá desbloquear a máquina.

Conhecer como funciona um ataque de ransomware detalhadamente é essencial para criar estratégias capazes de barrar a atuação do malware antes que ele consiga criptografar a máquina. O método mais proativo de proteger a rede contra ataques é evitar que a ameaça chegue ao endpoint em primeiro lugar. Usar uma solução de segurança que contemple filtro de web, antispam, antimalware e manter atualizado patches do sistema operacional e aplicativos ajuda a bloquear a chegada do malware.

Pare evitar o estágio de infeção é indicado nunca ativar macros, a não ser que você saiba muito bem o que está fazendo. Macros do Office costumam ser usados pelo ransomware no processo de infecção. Também é importante restringir as permissões de acesso dos usuários. Navegar na web, abrir diversos aplicativos e documentos e trabalhar com diversos programas diferentes enquanto conectado com perfil administrativo, por exemplo, aumenta a vulnerabilidade. Também é recomendado usar uma ferramenta de sandbox, que irá analisar melhor os arquivos suspeitos e evitar a contaminação.

Para a fase de comunicação é recomendável utilizar firewalls de rede, que têm recurso padrão para bloquear domínios maliciosos. Outra dica é bloquear o acesso ao Tor, um sistema de comunicação anônima via Internet com base em uma rede distribuída usado para garantir a privacidade na internet. Essa ferramenta é usada pelo ransomware para ofuscar as comunicações do servidor de controle. Em situações em que não é preciso o uso do Tor, recomenda-se bloqueá-lo. O ataque de ransomware poderá ser parado se ele não puder estabelecer o controle, de modo que bloquear Tor fará com que o ransomware que usa essa estratégia pare nesta fase. Para os que usam appliances de proxy e gateway, essas tecnologias podem ser configuradas para fazer varreduras e bloquear ataques de ransomware. A maioria dos ransomware não pode continuar as operações se não puder recuperar a chave de criptografia pública necessária para a criptografia assimétrica.

E finalmente, mantenha um backup offsite. Após o backup feito, desligue a unidade e a mantenha longe de todos os computadores. Dessa forma o ransomware não consegue detectar o backup e danificá-lo.

*Marcus Almeida é gerente de Inside Sales & SMB da Intel Security