Como Detectar Ransomware: Entendendo Sinais de Infecção

Com ransomware ficando mais sofisticado, as organizações estão sob constante ameaça de perda de dados e violações. De acordo com a Statista, um número crescente de organizações tem sofrido ataques de ransomware por ano desde 2018 e o pico foi alcançado em 2021 em 68,5% das empresas. Além disso, o número de famílias de ransomware detectadas em 2020 foi 34% maior do que em 2019 (em comparação com 127 famílias em 2020).

Neste post do blog, definimos ransomware e esclarecemos os principais canais de infecção e técnicas de detecção de ransomware. Além disso, examinamos as soluções para identificar ransomware, prevenir futuras infecções e aumentar a resiliência dos seus dados contra ransomware.

O Que É Ransomware?

Ransomware é um software malicioso usado para invadir ambientes de TI pessoais/corporativos e criptografar ou bloquear dados. O objetivo dos ataques de ransomware é extorquir um resgate das vítimas em troca de restaurar o acesso aos dados criptografados/bloqueados.

Como os Sistemas São Infectados por Ransomware: 5 Vetores de Infecção

Para evitar que os sistemas de TI da sua organização sejam infectados por ransomware, você deve estar ciente das formas mais comuns de propagação de malware. Dessa forma, você pode aprender quais componentes do sistema estão mais expostos e vulneráveis a ataques de ransomware e como detectar prontamente a atividade de ransomware na sua infraestrutura.

As formas pelas quais sua organização pode se tornar vítima de ransomware são inúmeras. No entanto, aqui estão os vetores de infecção por malware mais prevalentes:

• Mensagens de email suspeitas que incitam o destinatário a clicar em um link ou baixar um anexo contendo malware.
• Websistes maliciosos criados para enganar as pessoas a navegarem em suas páginas e, eventualmente, serem infectadas com ransomware ao clicarem em hiperlinks maliciosos.
• Redes sociais são frequentemente vistas como plataformas confiáveis e legítimas, fazendo com que indivíduos confiem nelas imediatamente. Geralmente, malware é disseminado por meio de aplicativos maliciosos, anúncios, plug-ins e links em plataformas de redes sociais. Esses aplicativos, anúncios, links e anexos de navegador então convencem os usuários a baixar conteúdo malicioso, como ransomware ou agentes de criptomineração.
• Malvertising é uma forma de publicidade online contendo código malicioso. Você clica no link em um site aparentemente legítimo e seu computador pode ser automaticamente infectado por malware.
• Ransomware móvel executado por meio de aplicativos móveis injetados com código malicioso. Ao baixar tais aplicativos, você pode permitir que o malware infecte seu telefone celular em segundos e, em seguida, espalhe a infecção para seu computador na próxima vez que conectar os dois dispositivos.

Técnicas de Detecção de Ransomware

Para detectar ransomware tentando intrusão ou já perturbando seu ambiente de TI, você pode usar um conjunto de ferramentas e técnicas que ajudam a revelar arquivos maliciosos e atividades suspeitas. Especialistas em TI distinguem os seguintes tipos de técnicas de detecção:

• Baseado em assinaturas
• Baseado em comportamento
• Engano

Abaixo, revisamos detalhadamente cada técnica de detecção de ransomware.

Deteção baseada em assinaturas

Baseado em assinaturas comparações métodos comparam um hash de amostra de uma cepa de ransomware com assinaturas previamente encontradas. Esta é uma técnica comum de primeiro passo para soluções antivírus e plataformas de segurança. Estas verificam os fragmentos de dados embalados em um arquivo executável antes de lançar esse arquivo. A técnica envolve detectar fragmentos de código semelhantes ao ransomware cedo e bloquear a execução do código infectado.

O método é usado para construir a defesa básica de uma organização. No entanto, mesmo que detectem cepas de ransomware conhecidas de forma eficaz, os métodos baseados em assinaturas podem falhar com novos malwares. Além disso, os hackers investem muito esforço para atualizar seus malwares e ferramentas de neutralização de segurança, tornando a detecção de assinaturas mais desafiadora.

Há vários fornecedores de software de detecção de malware atualmente competindo no mercado. Cada um deles fornece um conjunto de ferramentas de detecção de ransomware destacado que pode ser eficaz até certo ponto. No entanto, de acordo com o relatório da Sophos, mais de 50% dos ataques de ransomware em 2021 foram bem-sucedidos, o que significa que nenhum sistema de detecção de malware pode revelar ransomware com 100% de garantia.

Deteção baseada em comportamento

Métodos de detecção de ransomware baseados em comportamento comparam comportamentos conhecidos historicamente a novos comportamentos. Especialistas e ferramentas automáticas monitorizam as atividades de usuários e aplicativos dentro do ambiente para pegar mudanças incomuns em sistemas de arquivos, tráfego incomum, processos desconhecidos e chamadas de API, entre outros sinais.

Verifique e lembre-se dos sinais de comportamento comuns de tentativas de ataque de ransomware ou de infecções de sistema bem-sucedidas:

• E-mails de spam e de phishing: O phishing é a mais comum abordagem que os hackers usam para entregar ransomware.
• Redução de desempenho: Caso as nós da infraestrutura de TI funcionem mais lentamente do que esperado, certifique-se de reagir a uma possível intrusão de ransomware.
• Atividades de login suspeitas contínuas: Quando tentativas de login falhantes acontecem regularmente e em várias contas de locais e dispositivos incomuns, é muito provável que alguém esteja tentando obter acesso não autorizado aos sistemas de TI da sua organização.
• Scanners de rede não autorizados detectados: Quando você não sabe quem iniciou o procedimento de scanner de rede e para que propósito, deve investigar, pois pode ser atividade maliciosa.
• Potenciais ataques de teste: Hackers podem iniciar algumas pequenas ataques em alguns nós para verificar a resiliência do sistema de proteção da sua organização e o tempo de reação antes de lançar um ataque de escala total.
• Desativação ou remoção de software de segurança: Nenhuma das interrupções do sistema de proteção deve ser ignorada, pois mesmo um mau funcionamento a curto prazo significa uma brecha aberta para uma infecção por ransomware.
• Encriptação de dados em alguns nós: A encriptação bem-sucedida de dados em qualquer nó do seu sistema indica uma falha na proteção de TI que os hackers podem usar em um ataque mais sério.
• Deteção de ferramentas de hacking conhecidas: Caso você note aplicativos como Microsoft Process Explorer, MimiKatz, IOBit Uninstaller e PC Hunter no ambiente da sua organização, você deve realizar uma revisão completa da segurança de cada nó.
• Atividade incomum em torno do Active Directory: Há um caso conhecido de hackers usando o Protocolo de Área de Trabalho Remota (RDP) para alcançar os servidores AD protegidos de instalações de petróleo e gás e injetar o ransomware Ryuk diretamente no script de login do AD.
• Tentativas de corrupção de backup: As plataformas de armazenamento de backup estão entre os principais alvos de ciberataques. Qualquer atividade suspeita em torno do armazenamento de backup, seja em discos físicos ou na nuvem, pode ser um sinal de um ataque potencial ou em andamento de ransomware.

Deteção baseada em decepção

Assim como hackers frequentemente tentam enganar os sistemas de detecção de ameaças digitais de uma organização, especialistas em segurança IT têm criado formas de criar armadilhas para atores maliciosos. Uma das armadilhas mais comuns é conhecida como honeypot: um servidor ou área em um ambiente de TI de uma organização que contém dados que parecem valiosos para hackers. No entanto, este ambiente está totalmente isolado do site e pode ser usado para monitorar e analisar ataques táticas.

As ameaças evolutivas fazem as empresas usarem todas as opções de segurança disponíveis para prevenir brechas e perda de dados, portanto, a combinação de métodos de detecção de ransomware é uma prática comum. Além disso, uma boa estratégia para detectar e combatir ataques de ransomware de forma proativa é entender as táticas dos atacantes e prevenir a infiltração. A seguir, há algumas recomendações para identificar e prevenir ataques.

Como Identificar e Prevenir um Ataque

Recomendamos que você adote as seguintes práticas para prevenir ataques de ransomware. Também adicionamos dicas para reduzir o risco de perda de dados em caso de infiltração do ransomware no ambiente da organização.

• Encoraje seus funcionários a:
  • Aprender os sinais mais comuns de ransomware e outros malware
  • Usar senhas fortes e atualizá-las regularmente
  • Examinar os links e anexos de arquivos antes de clicar neles
  • Entender como funciona o phishing e verificar os endereços de email das mensagens chegando

• Atualize regularmente seu sistema

Você deve manter seu sistema operacional e aplicativos críticos com patches e atualizados. Instale as atualizações assim que forem lançadas. As atualizações do sistema e os patches de segurança geralmente são destinados a corrigir problemas das versões anteriores e cobrir as vulnerabilidades conhecidas do seu sistema.

• Verifique o software de terceiros

Antes de instalar o software de terceiros, verifique primeiro se o fornecedor do software é autêntico e confiável. Para esse fim, instale software de listagem branca (por exemplo, Bit9, Velox, McAfee, Lumension), que pode identificar se um novo aplicativo é seguro o suficiente para ser instalado e executado em seu sistema.

• Escaneie regularmente sua infraestrutura

Instale e use software antimalware que o notificará sobre quaisquer possíveis ameaças, identifique potenciais vulnerabilidades e detecte atividades de ransomware em sua infraestrutura. Ferramentas modernas antiransomware permitem que você escaneie todo o seu sistema para vírus existentes e ameaças de malware ativas. Além disso, tais verificações em computador podem ser executadas tanto sob demanda quanto com base em um cronograma que você configure, minimizando assim a entrada de gerenciamento por sua parte.

• Crie armadilhas virtuais (honeypots)

A honeypot is one of the most effective security measures that can be used to confuse cybercriminals and take their attention away from critical files. By setting up a honeypot, you create a fake file repository or a server that looks like a legitimate target to an outsider and appears especially enticing to ransomware attackers. This way, you can not only protect your files and rapidly detect a ransomware attack, but also learn how cybercriminals operate. Then, use that data and experience to improve the protection of your system against future cyberattacks.

• Restrinja o acesso a sistemas e aplicativos críticos

Aplique o princípio de menor privilégio quando conceder permissões aos funcionários para os sistemas. O princípio envolve conceder a um funcionário acesso apenas aos arquivos e recursos de sistema necessários para executar seu trabalho com eficiência. qualquer ação ou acesso que não é necessário para um funcionário executar suas atribuições deve ser proibido pelo administrador para evitar infecções acidentais.

• Proteção de dados e testes de cópia de segurança

Crie e atualize regularmente cópias de segurança de dados. Use a regra 3-2-1 para melhorar a proteção e garantir o recuperação bem-sucedida de dados criptografados por ransomware. A regra diz que você deve ter 3 cópias de seus dados e que você deve armazená-los em 2 mídias diferentes, com 1 deles armazenado fora do local. Depois que os dados forem backup, execute testes para verificar se suas cópias de backup são funcionais e recuperáveis. Assim, você pode prevenir falhas que poderiam ocorrer durante a recuperação do sistema.

Como o NAKIVO Pode Ajudar a Proteger Seus Dados contra o Ransomware

Hoje, um ataque de ransomware que impede que os dados de uma organização sejam disponíveis não é apenas outra possibilidade, mas uma questão de tempo. E a melhor maneira de prevenir incidentes de perda de dados e evitar paradas de produção após interrupções causadas por ataques de ransomware bem-sucedidos é ter cópias de backup válidas prontas para recuperação.

Algumas 93% das empresas que não implementam backups e planos de recuperação de desastres fecham as portas dentro de um ano após um desastre global de perda de dados. Por outro lado, 96% das empresas que possuem uma estratégia confiável de backup e recuperação conseguiram se recuperar com sucesso de ataques de ransomware.

O NAKIVO Backup & Replication é uma solução de proteção de dados que você pode usar para implementar uma estratégia confiável de proteção contra ransomware e aumentar a resiliência da organização contra ataques:

1. Crie backups confiáveis e consistentes com aplicativos de seus dados.
2. Armazene os backups localmente, envie para fora ou na nuvem para seguir a regra 3-2-1 e evitar um único ponto de falha.
3. Ative a imutabilidade para backups armazenados em repositórios locais baseados em Linux e/ou na nuvem para garantir que seus dados de backup permaneçam inalterados e disponíveis mesmo se o ransomware atingir a infraestrutura de backup.
4. Ative a criptografia de seus dados de backup em trânsito e em repouso. A solução utiliza o padrão de criptografia AES-256 para evitar o acesso de terceiros aos seus dados de backup.
5. Use controle de acesso baseado em funções (RBAC) para definir direitos de acesso para funcionários e melhorar a segurança dos backups.Quando um ataque de ransomware atinge e criptografa os dados originais, use os backups para recuperação. Você pode recuperar VMs completas e máquinas físicas como VMs imediatamente. Use Recuperação Granular Instantânea para restaurar arquivos individuais e objetos de aplicativos para locais originais ou personalizados para um tempo de inatividade ainda mais curto.
6. Quando um ataque de ransomware atinge e criptografa os dados originais, use backups para recuperação. Você pode recuperar VMs completas e máquinas físicas como VMs imediatamente. Use Recuperação Granular Instantânea para restaurar arquivos individuais e objetos de aplicativos para locais originais ou personalizados para um tempo de inatividade ainda menor.
7. Use replicação, failover automatizado e orquestração de recuperação de desastres para garantir a rápida disponibilidade de sistemas e aplicativos.

A solução NAKIVO permite que você controle e automatize processos de backup e recuperação de um único painel de controle. Execute backups a cada minuto para minimizar a perda de dados. Com backups imutáveis relevantes à sua disposição, você pode evitar pagar resgate a hackers mesmo após o ransomware contornar seus sistemas de segurança e criptografar com sucesso os dados originais.