Como Detectar Ransomware: Entendendo Sinais de Infecção

Com o ransomware se tornando mais sofisticado, as organizações estão sob constante ameaça de perda de dados e violações. De acordo com a Statista, um número crescente de organizações tem sofrido ataques de ransomware por ano desde 2018 e o pico foi atingido em 2021, em 68,5% das empresas. Além disso, o número de famílias de ransomware detectadas em 2020 foi 34% maior do que em 2019 (em comparação com 127 famílias em 2020).

Neste post do blog, definimos ransomware e esclarecemos os principais canais de infecção e técnicas de detecção de ransomware. Além disso, revisamos as soluções para identificar ransomware, prevenir infecções adicionais e aumentar a resiliência de seus dados contra ransomware.

O Que É Ransomware?

O ransomware é um software malicioso usado para invadir ambientes de TI pessoais/corporativos e criptografar ou bloquear dados. O objetivo dos ataques de ransomware é extorquir um resgate das vítimas em troca da restauração do acesso aos dados criptografados/bloqueados.

Como os Sistemas São Infectados com Ransomware: 5 Vetores de Infecção

Para evitar que os sistemas de TI de sua organização sejam infectados por ransomware, você deve estar ciente das formas mais comuns de propagação de malware. Dessa forma, você pode aprender quais componentes do sistema estão mais expostos e vulneráveis a ataques de ransomware e como detectar prontamente a atividade de ransomware em sua infraestrutura.

As formas pelas quais sua organização pode se tornar vítima de ransomware são inúmeras. No entanto, aqui estão os vetores de infecção por malware mais prevalentes:

• Mensagens de email suspeitas que levam o destinatário a clicar em um link ou baixar um anexo contendo malware.
• Websites maliciosos criados para enganar as pessoas a navegarem em suas páginas e, eventualmente, serem infectadas com ransomware ao clicarem em hiperlinks maliciosos.
• As redes sociais são frequentemente vistas como plataformas confiáveis e legítimas, fazendo com que as pessoas confiem nelas imediatamente. Geralmente, malware é propagado por meio de aplicativos maliciosos, anúncios, plug-ins e links em plataformas de redes sociais. Esses aplicativos, anúncios, links e anexos de navegador então convencem os usuários a baixarem conteúdo malicioso, como ransomware ou agentes de mineração de criptomoedas.
• O malvertising é uma forma de publicidade online contendo código malicioso. Você clica no link em um site aparentemente legítimo, e seu computador pode ser automaticamente infectado com malware.
• Ransomware móvel executado por meio de aplicativos móveis injetados com código malicioso. Ao baixar tais aplicativos, você pode permitir que o malware infecte seu telefone celular em segundos e, em seguida, espalhe a infecção para o seu computador na próxima vez que conectar os dois dispositivos.

Técnicas de Detecção de Ransomware

Para detectar ransomware tentando invadir ou já interrompendo seu ambiente de TI, você pode usar um conjunto de ferramentas e técnicas que ajudam a revelar arquivos maliciosos e atividades suspeitas. Os especialistas em TI distinguem os seguintes tipos de técnicas de detecção:

• Assinatura baseada
• Deteção baseada em comportamento
• Fraude

Abaixo, revisamos cada técnica de detecção de ransomware em detalhes.

Deteção baseada em assinatura

Baseada em assinatura Os métodos comparam um hash de amostra de uma cepa de ransomware com assinaturas encontradas anteriormente. Esta é uma técnica comum de primeiro passo para soluções antivírus e plataformas de segurança. Estas verificam os fragmentos de dados embalados em um arquivo executável antes de lançar esse arquivo. A técnica envolve detectar fragmentos de código semelhantes a ransomware precocemente e bloquear a execução do código infectado.

O método é usado para construir a defesa básica de uma organização. No entanto, mesmo que detectem efetivamente cepas de ransomware conhecidas, métodos baseados em assinatura podem falhar com novo malware. Além disso, os hackers investem muito esforço para atualizar seu malware e ferramentas de neutralização de segurança, tornando a detecção de assinaturas mais desafiadora.

Há vários fornecedores de software de detecção de malware atualmente competindo no mercado. Cada um deles fornece um conjunto de ferramentas de detecção de ransomware com características que podem ser eficazes até certo ponto. No entanto, de acordo com o relatório da Sophos, mais de 50% dos ataques de ransomware em 2021 foram bem-sucedidos, o que significa que nenhum sistema de detecção de malware pode revelar ransomware com uma garantia de 100%.

Deteção baseada em comportamento

Métodos de detecção de ransomware baseados em comportamento comparam comportamentos historicamente conhecidos com novos. Especialistas e ferramentas automáticas monitoram as atividades de usuários e aplicativos dentro do ambiente para detectar alterações incomuns nos sistemas de arquivos, tráfego incomum, processos desconhecidos e chamadas de API, entre outros sinais. Verifique e lembre-se dos sinais comportamentais comuns de tentativas de ataque de ransomware ou infecção bem-sucedida do sistema:

• E-mails de spam e phishing: Phishing é a abordagem mais comum que os hackers usam para entregar ransomware.
• Redução de desempenho: Caso os nós de sua infraestrutura de TI funcionem mais lentamente do que o esperado, certifique-se de reagir a uma possível intrusão de ransomware.
• Atividades de login suspeitas contínuas: Quando as tentativas de login falhadas acontecem regularmente e em várias contas de locais e dispositivos incomuns, é muito provável que alguém esteja tentando obter acesso não autorizado aos sistemas de TI de sua organização.
• Scanners de rede não autorizados detectados: Quando você não sabe quem iniciou o procedimento de varredura de rede e para qual finalidade, você deve investigar, pois pode ser uma atividade maliciosa.
• Possíveis ataques de teste: Hackers podem iniciar alguns ataques leves em alguns nós para verificar a resiliência do sistema de proteção de sua organização e o tempo de reação antes de lançar um ataque em grande escala.
• Desativação ou remoção de software de segurança: Nenhuma das interrupções do sistema de proteção deve ser ignorada, pois mesmo um mau funcionamento a curto prazo significa uma brecha aberta para uma infecção por ransomware.
• Encriptação de dados em alguns nós: O sucesso na encriptação de dados em qualquer nó do seu sistema indica uma falha na proteção de TI que os hackers podem usar em um ataque mais sério.
• Deteção de ferramentas de hacking conhecidas: Caso você perceba aplicativos como o Microsoft Process Explorer, MimiKatz, IOBit Uninstaller e PC Hunter no ambiente da sua organização, você deve realizar uma revisão completa de segurança de cada nó.
• Atividade incomum em torno do Active Directory: Há um caso conhecido de hackers usando o Protocolo de Área de Trabalho Remota (RDP) para alcançar os servidores AD protegidos de instalações de petróleo e gás e injetar o ransomware Ryuk diretamente no script de login do AD.
• Tentativas de corrupção de backup: As plataformas de armazenamento de backup estão entre os principais alvos para ciberataques. Qualquer atividade suspeita em torno do armazenamento de backup, seja em discos físicos ou na nuvem, pode ser um sinal de um ataque de ransomware potencial ou em andamento.

Deteção baseada em decepção

Apenas como os hackers regularmente tentam enganar os sistemas de detecção de ameaças digitais de uma organização, os especialistas em segurança de TI criaram uma maneira de atrair os maus atores. Uma das iscas mais comuns é conhecida como honeypot: um servidor ou área no ambiente de TI de uma organização contendo dados que parecem ter valor para os hackers. No entanto, esse ambiente está completamente isolado do site e pode ser usado para monitorar e analisar táticas de ataque.

A evolução das ameaças faz com que as empresas usem todas as opções de segurança disponíveis para evitar violações e perdas de dados, assim, combinar métodos de detecção de ransomware é uma prática comum. Além disso, uma boa estratégia para detectar e combater proativamente ataques de ransomware é entender as táticas dos invasores e prevenir a infiltração. Abaixo estão algumas recomendações para identificar e prevenir ataques.

Como Identificar e Prevenir um Ataque

Recomendamos que você adote as seguintes práticas para prevenir ataques de ransomware. Também adicionamos dicas para reduzir os riscos de perda de dados caso o ransomware infiltre o ambiente da organização.

• Encoraje os funcionários a:
  • Aprender os sinais mais comuns de ransomware e outros malwares
  • Usar senhas fortes e atualizá-las regularmente
  • Examinar os links e anexos de arquivos antes de clicar neles
  • Entender como funciona o phishing e verificar os endereços de e-mail das mensagens recebidas

• Atualize regularmente seu sistema

Você deve manter seu sistema operacional e aplicativos críticos corrigidos e atualizados. Instale as atualizações assim que forem lançadas. As atualizações do sistema e as correções de segurança geralmente têm a intenção de corrigir problemas das versões anteriores e cobrir as vulnerabilidades conhecidas do seu sistema.

• Verifique o software de terceiros

Antes de instalar o software de terceiros, verifique primeiro se o fornecedor do software é autêntico e confiável. Para esse fim, instale software de listagem branca (por exemplo, Bit9, Velox, McAfee, Lumension), que pode identificar se um novo aplicativo é seguro o suficiente para ser instalado e executado em seu sistema.

• Escaneie regularmente sua infraestrutura

Instale e use software antimalware que o notifique de quaisquer possíveis ameaças, identifique potenciais vulnerabilidades e detecte atividades de ransomware em sua infraestrutura. Ferramentas antiransomware modernas permitem que você escaneie todo o seu sistema para vírus existentes e ameaças de malware ativo. Além disso, tais verificações em seu computador podem ser executadas a pedido ou com base em um cronograma que você estabelece, minimizando assim a entrada de gerenciamento por sua parte.

• Crie armadilhas (honeypots)

A honeypot is one of the most effective security measures that can be used to confuse cybercriminals and take their attention away from critical files. By setting up a honeypot, you create a fake file repository or a server that looks like a legitimate target to an outsider and appears especially enticing to ransomware attackers. This way, you can not only protect your files and rapidly detect a ransomware attack, but also learn how cybercriminals operate. Then, use that data and experience to improve the protection of your system against future cyberattacks.

• Restrinja o acesso a sistemas e aplicativos críticos

Aplicar o princípio do menor privilégio ao conceder permissões aos funcionários para sistemas. O princípio envolve dar a um funcionário acesso apenas aos arquivos e recursos do sistema necessários para realizar seu trabalho de forma eficiente. Qualquer ação ou acesso que não seja necessário para que um funcionário execute suas funções deve ser proibido pelo administrador para evitar infecções acidentais.

• Proteção de dados e testes de backups

Criar e atualizar regularmente backups de dados. Utilize a regra 3-2-1 para aumentar a proteção e garantir a recuperação bem-sucedida de dados criptografados por ransomware. A regra dita que você deve ter 3 cópias dos seus dados e que deve armazená-los em 2 mídias diferentes, com 1 delas armazenada fora do local. Após o backup dos dados, execute testes para verificar se seus backups estão funcionais e recuperáveis. Assim, você pode prevenir falhas que, de outra forma, poderiam ocorrer durante a recuperação do sistema.

Como a NAKIVO pode ajudar a proteger seus dados contra ransomware

Hoje, um ataque de ransomware que torna os dados de uma organização indisponíveis não é apenas outra probabilidade, mas uma questão de tempo. E a maneira mais eficiente de prevenir incidentes de perda de dados e evitar períodos de inatividade na produção após interrupções causadas por ataques bem-sucedidos de ransomware é ter backups válidos prontos para recuperação.

Alguns 93% das empresas que não implementam backups e planos de recuperação de desastres saem do negócio dentro de um ano após um desastre global de perda de dados. Por outro lado, 96% das empresas que têm uma estratégia de backup e recuperação confiável conseguiram recuperar com sucesso de ataques de ransomware.

NAKIVO Backup & Replication é uma solução de proteção de dados que você pode usar para implementar uma estratégia de proteção contra ransomware confiável e aumentar a resiliência da organização a ataques:

1. Crie backups confiáveis e consistentes em relação aos aplicativos de seus dados.
2. Armazene backups no local, envie para fora do local ou na nuvem para seguir a regra 3-2-1 e evitar um único ponto de falha.
3. Habilite a imutabilidade para backups armazenados em repositórios locais baseados em Linux e/ou na nuvem para garantir que seus dados de backup permaneçam inalterados e disponíveis, mesmo que o ransomware atinja a infraestrutura de backup.
4. Habilite a criptografia de seus dados de backup em trânsito e em repouso. A solução usa o padrão de criptografia AES-256 para impedir o acesso de terceiros a seus dados de backup.
5. Use o controle de acesso baseado em função (RBAC) para definir direitos de acesso para funcionários e melhorar a segurança dos backups.Quando um ataque de ransomware atinge e criptografa os dados originais, use backups para recuperação. Você pode recuperar VMs e máquinas físicas como VMs imediatamente. Use Recuperação Granular Instantânea para restaurar arquivos individuais e objetos de aplicativos para locais originais ou personalizados para um tempo de inatividade ainda menor.
6. Quando um ataque de ransomware ocorre e criptografa os dados originais, utilize backups para recuperação. Você pode recuperar VMs completas e máquinas físicas como VMs imediatamente. Use Recuperação Instantânea e Granular para restaurar arquivos individuais e objetos de aplicativos para locais originais ou personalizados, reduzindo ainda mais o tempo de inatividade.
7. Utilize replicação, failover automatizado e orquestração de recuperação de desastres para garantir a rápida disponibilidade de sistemas e aplicativos.

A solução NAKIVO permite que você controle e automatize processos de backup e recuperação a partir de uma única interface. Execute backups a cada minuto para minimizar a perda de dados. Com backups imutáveis relevantes à disposição, você pode evitar pagar resgate a hackers, mesmo após o ransomware contornar seus sistemas de segurança e criptografar com sucesso os dados originais.