Ferramentas legítimas armadas para ransomware em 2021

Por Janus Agcaoili e Earle Earnshaw

À medida que os operadores de ransomware aumentam seus arsenais de armas, as empresas correm um risco, cada vez maior, de sofrer graves consequências desses ataques. Organizações que são afetadas por ransomware normalmente têm perdas financeiras na ordem de milhões, além de experimentarem a inacessibilidade e até mesmo a exposição de dados confidenciais.

A maioria dos ataques recentes utilizou técnicas de dupla extorsão, em que os hackers criptografam os arquivos de uma empresa e vazam seus dados para o público. Tudo leva a crer que em 2021 os ataques do tipo ransomware serão uma ameaça ainda mais preocupante, à medida que se tornarão mais direcionados.

Os cibercriminosos também continuarão a usar ferramentas legítimas para facilitar e aumentar os ataques de ransomware. Por si só, essas ferramentas não são maliciosas. Muito pelo contrário, elas ajudam na pesquisa de segurança ou aumento da eficiência dos programas. No entanto, como muitas outras tecnologias, os cibercriminosos encontraram uma maneira de explorá-las, tornando-as um componente típico de campanhas de ransomware e de outros ataques cibernéticos. O Centro Nacional de Segurança Cibernética do Reino Unido (NCSC) publicou uma lista dessas ferramentas em um relatório.

O uso de ferramentas legítimas para campanhas de ransomware é atraente por várias razões. Primeiro, como não são maliciosas em si, elas podem escapar da detecção. Outro fator é que essas ferramentas são de código aberto e, portanto, podem ser acessadas e usadas pelo público, gratuitamente. E, por último, são como uma faca de dois gumes, já que ao mesmo tempo que beneficiam os analistas de segurança com seus recursos, são usadas pelos cibercriminosos, como vantajosas armas de ataque.

A presença de ferramentas legítimas “amadas” deve ser detectada para que as equipes de segurança possam interromper uma campanha de ransomware e resgatar os seus rastros. No entanto, isso é mais fácil de dizer do que fazer, pois essas ferramentas podem se disfarçar de várias maneiras. Uma delas é por meio de recursos usados para implementar as técnicas de evasão. Cibercriminosos também podem alterar o código dessas ferramentas para ajustar as partes que desencadeiam soluções antimalware.

Além disso, quando vistas a partir de um único ponto de entrada (por exemplo, se olharmos somente a partir do endpoint), as detecções podem parecer benignas, mesmo quando deveriam fazer o alarme soar. O que não ocorreria se fossem vistas de uma perspectiva mais ampla e com maior contexto em relação a outras camadas, como e-mails, servidores e workloads em nuvem.

No rastreamento de ameaças, as organizações estariam melhor protegidas se dependessem não apenas de detecções de arquivos e hashes, mas também do monitoramento do comportamento em camadas.

As soluções de defesa para plataformas que centralizam alertas de risco fornecem maior visibilidade e poder de detecção porque correlacionam as diferentes camadas (endpoints, e-mails, servidores e workloads na nuvem), garantindo que nenhum incidente significativo passe despercebido. Isso permite uma resposta mais rápida às ameaças antes que elas possam causar qualquer dano real ao sistema.

Janus Agcaoili e Earle Earnshaw são Threat Research Engineer da Trend Micro.