Skip links

OSIC 14/2023 Incidentes de ransomware

Ransomware

*A análise de diversos incidentes de ransomware causados pelos principais grupos envolvidos nesse tipo de operação revelou que as técnicas básicas permanecem as mesmas em praticamente toda a cadeia de morte cibernética. Os padrões de ataque assim revelados não são acidentais, porque esta classe de ataque exige que os atores de ameaça passem por certas etapas, como penetrar na rede corporativa ou no host alvo, realizar a entrega do malware, realizar o mapeamento do ambiente e expandir suas atividades nesse ambiente e, finalmente, roubando dados e causando o maior impacto possível na vítima.

*Este trabalho foi escrito tanto para os usuários comuns, de forma que tenham um entendimento básico sobre o ransomware e seu ciclo de vida, como para as equipes de tecnologia da informação, analistas de segurança da informação, especialistas em forense digital e todos aqueles que estejam envolvidos no processo de resposta a incidentes de ransomware e que precisam proteger seu ambiente de incidentes de ransomware.

*Por esse motivo, foram selecionadas as técnicas mais comumente utilizadas pelos 8 (oito) grupos mais populares e ativos (Conti/Ryuk, Pysa, Clop, Hive, Lockbit, RagnarLocker, BlackByte, BlackCat), analisando de forma mais detalhada essas técnicas e apresentando algumas possibilidades de mitigação e detecção dessas técnicas.

Este trabalho se divide em:

.Uma breve introdução sobre o cenário atual do ransomware no mundo;

.Um breve histórico sobre a evolução do ransomware;

.O surgimento do Ransomware as a Service (RaaS) e do modelo Big Game Hunting (BGH);

.A relação entre o ransonware e as criptomoedas;

.O ciclo de vida de um incidente de ransomware e os atores envolvidos nas fases do incidente;

.As etapas de um ataque de ransomware, detalhando as técnicas mais comumente utilizadas relativas: 

Introdução

*O ransomware tem sido uma ameaça proeminente desde meados dos anos 2000. Em 2017, o Internet Crime Complaint Center (IC3) do FBI recebeu 1.783 reclamações de ransomware que custaram às vítimas mais de US$ 2,3 milhões (https://www.ic3.gov/Home/AnnualReports?redirect=true ). Essas denúncias, no entanto, representam apenas os ataques relatados ao IC3. O número real de incidentes e custos de ransomware é muito maior. Na verdade, houve cerca de 493 milhões de ataques de ransomware somente no ano passado (https://www.statista.com/statistics/494947/ransomware-attacks-per-year-worldwide/ ).

  *Os ataques de ransomware geralmente visam organizações que coletam grandes quantidades de dados e são extremamente importantes. No caso de um ataque, muitas dessas organizações preferem pagar o resgate para restaurar os dados roubados em vez de relatar o ataque imediatamente. Os incidentes de perda de dados também prejudicam a reputação das empresas, sendo este um dos motivos pelos quais os ataques de ransomware não são reportados.

Um breve histórico do ransomware

A criação do termo ransomware se baseou na ideia da utilização de um software de sequestro (ransom software).

*Embora o ransomware tenha estado nas manchetes consistentemente nos últimos cinco anos, a ideia de tornar arquivos ou computadores de usuários reféns de um ator de ameaça através da criptografia dos arquivos, dificultando o acesso ao sistema ou outros métodos – e exigindo um resgate para devolvê-los – é bastante antiga.

*No final da década de 1980, criminosos já mantinham arquivos criptografados como reféns em troca de dinheiro enviado pelos correios. Um dos primeiros incidentes de ransomware já documentados foi o AIDS Trojan, lançado em 1989 por Joseph Popp, PhD e pesquisador da AIDS. Ele realizou o ataque distribuindo pelo correio 20.000 disquetes aos participantes da conferência sobre AIDS da Organização Mundial da Saúde em Estocolmo. Os pesquisadores recebiam o disquete com a informação de que eles continham um programa que analisava o risco de um indivíduo adquirir AIDS através do uso de um questionário.

 Foto de um dos 20.000 discos distribuídos com o AIDS Trojan.   Fonte: Eddy Willem

*Ao instalar o programa, os computadores das vítimas eram contaminados com o PC Cyborg (um vírus simples que aplica uma criptografia simétrica nos arquivos da vítima) e que inicialmente ficava dormente, sendo ativado apenas após o computador vítima ser reiniciado 90 vezes. Quando esse limite era atingido, o malware era ativado e apresentava uma mensagem exigindo o pagamento de US$ 189 para uma caixa postal no Panamá para restaurar o acesso aos seus sistemas e mais US$ 387 pelo licenciamento do software de questionário.

O esquema ganhou as manchetes e apareceu no Virus Bulletin, uma revista de segurança para profissionais, um mês depois dos primeiros casos.

 Aviso sobre o PC Cyborg no Virus Bulletim, em 1989.   Fonte: Security Focus

*Embora fosse um malware bastante básico, foi a primeira vez que muitas pessoas ouviram falar do conceito – ou de extorsão digital. Não está claro se alguma pessoa ou organização pagou o resgate, mas é certo que o incidente causou enormes danos à época, com diversos pesquisadores perdendo todo o trabalho armazenado nos computadores afetados.

*Inicialmente, os ataques de ransomware continuaram explorando o conceito de um ator de ameaça utilizando um programa para criptografar os arquivos de uma vítima e exigindo um resgate em troca da chave de descriptografia associada a esses arquivos.

*Um exemplo de ataque de ransomware concentrado na criptografia de dados é o Jigsaw. O ransomware Jigsaw original foi criado em 2016 em associação com um esquema de phishing por e-mail. Tornou-se famoso graças a uma imagem do assassino Jigsaw do filme ‘Saw’ exibida na nota de resgate (daí seu nome) e sua maneira única de persuadir as vítimas a pagar o resgate – se os pagamentos não fossem feitos no período de 60 minutos, o Jigsaw começaria a excluir arquivos da máquina infectada.

    

Imagem da tela de resgate do Jigsaw Fonte: Check Point Software Technologies

*A tela de resgate também incluía um botão que a vítima deveria pressionar (“I made a payment, now give me back my files!”) assim que o pagamento fosse feito. O ransomware então verificava a conta para o depósito e se o pagamento realmente fosse realizado, ele atualizava o malware para descriptografar todos os arquivos e, em seguida, excluir todos os componentes do ransomware, colocando o computador de volta em seu estado original.

*Ainda em 2016, uma equipe de pesquisadores do Check Point Software Technologies realizou vários testes com o Jigsaw, sem efetuar o pagamento solicitado, e verificou que ao clicar no botão “I made a payment, now give me back my files!” o programa realizava uma chamada HTTP GET para:

btc.blockr[.]io/api/v1/address/balance/<bitcoin-account>

e recebia como resposta um json

{“status”:”success”,”data”:{“address”:”<bitcoin- account>”,”balance”:0,”balance_multisig”:0},”code”: 200,”message”:””}

o que ainda mantinha o malware ativo.

*Os pesquisadores então utilizaram uma solução man-in-the-middle para alterar a resposta recebida de forma a burlar o malware, alterando a variável “balance” na resposta de 0 para 10 (que seria o valor em bitcoins para pagar o resgate no teste). A solução funcionou e o malware, acreditando que o pagamento havia sido realizado, iniciou o processo de descriptografação dos arquivos e de sua auto remoção do computador infectado.

*Essa solução simples ainda funciona contra várias das variantes do Jigsaw, e a Check Point disponibiliza uma ferramenta de decriptação (CheckPoint Jigsaw Puzzle Solver) baseada nessa solução (http://blog.checkpoint.com/wp-content/uploads/2016/07/JPS_release.zip ).

*Uma das novas variantes do Jigsaw atua de maneira mais destrutiva. Uma vez instalada, ela procura por arquivos da vítima no armazenamento do OneDrive. Depois de criptografar esses arquivos, ela se vale da sincronização automática do OneDrive com as unidades locais e de rede, o que acaba por possibilitar a infecção de organizações inteiras de uma só vez.

*Como uma forma de combater organizações que tinham backups seguros ou os recursos necessários para quebrar os métodos de criptografia utilizados, os atores de ameaça passaram a utilizar um método que é conhecido como campanha de extorsão dupla na qual o ator de ameaça não apenas criptografa os dados, mas também os extrai antes da criptografia. Isso fornece aos atores de ameaça uma vantagem extra nas negociações de resgate, pois mesmo que a vítima consiga recuperar os arquivos, o ator de ameaça ainda pode ameaçar a vítima de liberar dados privados para o público caso o pagamento não ocorra.

*O ransomware PLAY (também conhecido como PlayCrypt) é um exemplo de campanha que utiliza a extorsão dupla. Lançado em junho de 2022, concentrou seus esforços iniciais em organizações na América Latina – sendo o Brasil seu principal alvo – e atualmente tem ampliado seu escopo de ataque, sendo utilizado em organizações na Índia, Hungria, Espanha e Holanda.

    

Fonte: Bleeping Computer

* Play criptografa os arquivos da vítima – incluindo a extensão. play nos arquivos criptografados (daí o seu nome) – e também exfiltra dados do sistema infectado, incluindo no diretório raiz das máquinas infectadas uma nota de ransomware com um endereço de e-mail para as vítimas entrarem em contato. A vítima, além de perder acesso aos seus arquivos também sofre a ameaça do vazamento público dos dados exfiltrados caso o pagamento não seja realizado.

*Além do impacto imediato do vazamento de dados ou de sua criptografia, o ransomware pode gerar inúmeros efeitos em cascata para seus usuários. O ataque de ransomware ao Kronos Private Cloud, uma suíte de software de recursos humanos do Ultimate Kronos Group – UKG, ocorrido em 2022, interrompeu as operações na nuvem de diversas empresas por todo o mundo, em especial os relativos ao sistema de folha de pagamento. Nos Estados Unidos da América, o incidente obrigou cidades e estados inteiros a elaborarem planos de emergência para pagar os salários de seus trabalhadores, além de afetar as operações de recursos humanos de grandes empresas como o Metrô de Nova Iorque, Honda Motors, GameStop, Tesla e outras (https://www.theverge.com/2021/12/15/22838737/kronos-ukg-ransomware-attack-payroll-tesla-whole-foods-cybercrime ).

Curiosamente, agora em 2023, foi observada uma nova evolução nas técnicas de ataque de ransomware, com o grupo de ransomware BianLian abandonando seus esforços de criptografia e se concentrando apenas na extorsão em função da exfiltração de dados.

Originalmente, as campanhas do BianLian usavam a extorsão dupla, como pode ser visto na nota de resgate da figura abaixo.

    

 Fonte: https://blogs.blakcberry.com/en/2022/10/bianlian-ransomware-encrypts-files-in-the-blink-of-an-eye

*Uma das razões para essa mudança tem sido o surgimento de ferramentas de decriptação específicas contra campanhas de ransomware. No caso específico do grupo BianLian, a mudança na maneira de conduzir suas operações ocorreu após o lançamento pela Avast de uma ferramenta de decriptação que permitiria que uma vítima do BianLian recuperasse seus arquivos (https://decoded.avast.io/threatresearch/decrypted-bianlian-ransomware/ ). Em vez de continuar seguindo o típico modelo de extorsão dupla, com a criptografia de arquivos e ameaça de vazamento dos dados exfiltrados, o grupo BianLian tem optado por renunciar à criptografia dos dados das vítimas e se concentrar em convencê-las a pagar apenas usando uma demanda de extorsão em troca do silêncio, prometendo não vazar os dados roubados ou divulgar o fato de que a organização vítima sofreu uma violação após o pagamento. O grupo BianLian oferece essas garantias com base no fato de que seu “negócio” depende de sua reputação, utilizando o texto a seguir (https://www.cybersecurityconnect.com.au/strategy/8838-ransomware-group-bianlian-refines-tactics-in-the-face-of-free-decrypter ).

Our business depends on the reputation even more than many others. If we will take money and spread your information – we will have issues with payments in future. So, we will stick to our promises and reputation. That works in both ways: if we said that we will email all your staff and publicly spread all your data – we will.

Ransomware como Serviço (Ransomware as a Service) – RaaS e o Big Game Hunting – BGH

*O modelo de negócios de Ransomware como Serviço– RaaS existe há mais de uma década e é um modelo que envolve grupos de ransomware e grupos afiliados. Os grupos de ransomware desenvolvem modelos de ataque e os distribuem num formato de RaaS para seus grupos afiliados. Os grupos afiliados utilizam esses modelos de forma independente para atacarem os seus alvos de interesse. De acordo com esse modelo de negócios, o grupo de ransomware que criou o RaaS recebe uma taxa de serviço por resgate coletado.

*Os grupos de ransonware Petya e Cerber foram pioneiros em esquemas de RaaS. Os autores do Cerber foram especialmente oportunistas, oferecendo suas operações de ransomware como um serviço em troca de um retorno de 40% nos lucros obtidos com resgates pagos. De acordo com os pesquisadores da Check Point, o Cerber infectou 150.000 vítimas apenas em julho de 2016, recebendo cerca de US$ 195.000 – dos quais US$ 78.000 foram para os autores do ransomware. (https://www.zdnet.com/article/ransomware-as-a-service-for-allows-wannabe-hackers-to-cash-in-on-cyber-extortion/ ).  Atualmente, os afiliados do grupo de ransomware Qilin – também conhecido como Agenda – podem ficar com até 80% do resgate pago – se o resgate for de até US$ 3 milhões. Acima dos 3 milhões de dólares, os afiliados podem ficar com até 85% do resgate. (https://www.theregister.com/2023/05/17/ransomware_affiliates_money/#:~:text).

+Os altos lucros obtidos têm alavancado o modelo RaaS. No primeiro trimestre de 2022, foram identificados 31 grupos de extorsão de RaaS em todo o mundo, em comparação com os 19 grupos existentes no mesmo trimestre de 2021 (https://www.statista.com/statistics/1374743/number-of-raas-and-extortion-groups-worldwide/ ).

*As operações dos desenvolvedores de RaaS se assemelham a modelos legítimos de SaaS. As organizações vendem ou alugam seus kits RaaS para afiliados que os utilizam para realizar seus próprios ataques. Os grupos RaaS também oferecem outros serviços, como suporte, ofertas agrupadas, análises e fóruns. Já os grupos afiliados que realizam o ataque de ransomware geralmente são grandes organizações com mais de 100 funcionários, entre eles desenvolvedores, gerentes, negociadores e outros funcionários. Alguns afiliados estão entre os grupos de ameaças mais notórios do mundo, como LockBit, BlackCat, Hive e BlackBasta  (https://www.theregister.com/2023/05/17/ransomware_affiliates_money/#:~:text=Ransomware-flinging ).

*Para otimizar seus esforços, os agentes de ataque, em especial os que utilizam o RaaS, decidiram abandonar o estilo de ataques “pulverizar e rezar” que dominava o espaço do ransomware e se concentrar no modelo Big Game Hunting – BGH, que utiliza o ransomware com táticas, técnicas e procedimentos (TTPs) comuns em ataques direcionados a organizações de alto valor.

De um modo geral, as vítimas são escolhidas com base em sua capacidade de pagar um resgate, bem como na probabilidade de fazê-lo para retomar as operações comerciais ou evitar o escrutínio público. Alvos comuns podem incluir:

  • Grandes corporações
  • Bancos e outras instituições financeiras
  • Serviços de utilidade pública
  • Hospitais e outras instituições de saúde
  • Agências governamentais
  • Indivíduos com alto patrimônio líquido, como celebridades e líderes empresariais proeminentes
  • Qualquer organização que possua dados confidenciais, incluindo propriedade intelectual, segredos comerciais,
  • dados pessoais ou registros médicos.

*Os grupos que atuam em BGH são extremamente sofisticados, muitas vezes trabalhando como parte de um grupo organizado para derrubar alvos importantes. Em muitos casos, esses grupos operam como redes altamente estruturadas e organizadas, não muito diferentes das empresas corporativas, e utilizando o RaaS. Alguns desses grupos, inclusive, são patrocinados por um Estado, com vínculos diretos com agências governamentais ou com figuras públicas proeminentes.

A tabela abaixo apresenta alguns RaaS e operadores BGH afiliados.

RaaS Técnica Operador BGH afiliado
DarkSide Os operadores DarkSide tradicionalmente se concentram em máquinas Windows e recentemente expandiram para o Linux, visando ambientes corporativos executando hipervisores VMware ESXi sem patch ou roubando credenciais do vCenter. CARBON SPIDER
REvil REvil é um RaaS que se baseia mais em extorsão, com as vítimas recebendo um aviso de vazamento de dados iminente se o resgate não for pago. PINCHY SPIDER
Dharma Os ataques de ransomware Dharma estão associados principalmente a ataques de protocolo de área de trabalho remota (RDP). As variantes do Dharma vêm de muitas fontes e são de natureza quase idêntica, tornando difícil determinar quem está por trás de um ataque. Ligado a um grupo de ameaças iranianas com motivação financeira.

Não controlado centralmente.

LockBit Em desenvolvimento desde 2019, os ataques LockBit exigem um resgate para evitar a publicação de um conjunto de dados roubados. Está confirmado que o RaaS esteve envolvido em pelo menos nove ataques Afiliado a usuários russos, ou usuários que falem russo, ou usuários de língua inglesa com um garantidor que fale russo.

Fonte: Crowdstrike (https://www.crowdstrike.com/cybersecurity-101/cyber-big-game-hunting/ )

A relação entre o Ransomware e as Criptomoedas

*É importante observar que apesar de sua longa história, os incidentes de ransomware ainda não eram tão difundidos nos anos 2000 – provavelmente devido a dificuldades com a cobrança de pagamentos. O surgimento e popularização das criptomoedas, como o Bitcoin em 2010, mudou tudo isso. À medida que as criptomoedas começaram a ganhar mais popularidade, os desenvolvedores de ransomware perceberam que esse era o método de transação monetária que procuravam.

*+As trocas em criptomoedas forneciam aos atores de ameaça os meios de receber pagamentos instantâneos de suas vítimas de forma anônima e não rastreável, sendo todas as transações realizadas fora das restrições das instituições financeiras tradicionais. Apesar dessa facilidade, esse modelo de negócios de ransomware ainda é imperfeito porque embora os pagamentos em criptomoedas sejam transações úteis para os criminosos cibernéticos, eles nem sempre são fáceis de utilizar por vítimas que não são experientes nesse tipo de tecnologia.

Em 2015, alguns grupos, como o Cryptowall 4 criaram páginas personalizadas para suas vítimas com orientações de como realizar a aquisição de criptomoedas para o pagamento de resgates.

*Página do grupo CryptoWall 4 fornece instruções a uma vítima dos procedimentos para a aquisição de bitcoins para o pagamento de resgates e do tempo restante para a realização do pagamento (fonte da imagem https://www.bleepingcomputer.com/news/security/cryptowall-4-0-released-with-new-features-such-as-encrypted-file-names/ )

*A evolução da gravidade dos ataques de ransomware e dos valores solicitados pelos atores de ameaça, implicando na aquisição de volumes significativos de criptomoedas, tornou o pagamento dos resgates mais problemático. Isso levou os principais grupos de ransomware a implementar ou contratar call centers tanto para pressionar as vítimas como fornecer o suporte técnico relativo ao processo de inscrição e operação com os corretores de criptomoedas a fim de realizar o pagamento dos resgates (https://www.bankinfosecurity.com/interviews/ransomware-gangs-practice-customer-relationship-management-i-4441 e https://www.bankinfosecurity.com/ransomware-call-centers-cold-call-victims-to-demand-ransom-a-15535 ). 

*Esse tipo de dificuldade também levou ao aparecimento de empresas que funcionam como corretores de criptomoedas que auxiliam as vítimas de ransomware no processo de pagamento do resgate (https://www.cnbc.com/2021/06/10/digitalmint-helps-ransomware-victims-make-bitcoin-payments.html ).  A Digitalmint, por exemplo, é uma empresa especialista que é contratada depois que os consultores forenses, a empresa e as partes interessadas, determinaram que esgotaram todas as opções técnicas e que pagar o resgate do ponto de vista econômico é a melhor maneira de seguir em frente.

*No espaço de 30 a 60 minutos a partir do contato inicial, a DigitalMint consegue efetuar o pagamento do resgate pela vítima. Isso inclui investigar o ator de ameaça para garantir que ele não esteja vinculado a um país sancionado pelos Estados Unidos da América, contatar os corretores de criptomoedas e realizar as transações necessárias para adquirir o volume de criptomoedas necessário para pagar o resgate.

Ciclo de vida do incidente de Ransomware

*Os incidentes de ransomware são generalizados e devastadores, visando organizações e causando estragos em operações, finanças e reputação. Para se defender dessas ameaças, as equipes de segurança devem entender o ciclo de vida do ransomware.

*À medida que a dependência de sistemas e redes digitais aumenta, o risco da ocorrência de um incidente de ransomware cresce exponencialmente. Ataques de ransomware podem paralisar empresas, interromper serviços, comprometer dados e levar a perdas financeiras significativas.

*Os atores de ameaças evoluem continuamente suas táticas, exigindo constante adaptação das equipes de segurança. Como parte de sua operação, eles trabalham de modo a compreender o negócio que foi comprometido. Isso é para que eles possam exigir o maior resgate que acreditam que uma organização estaria disposta a pagar e distribuir seus esforços comprometendo redes com base no retorno esperado.

*Apesar de existirem vários atores de ameaça conhecidos no cenário do ransomware, cada um com suas respectivas ferramentas, abordagens e táticas, a análise dos incidentes revela que há pontos em comum entre eles e várias oportunidades para as organizações detectarem, prevenirem e responderem a esse tipo de ameaça.

Conteúdo completo no link abaixo

Fonte: https://www.gov.br/gsi/pt-br/dsic/osic/osic-14-2023

OSIC Orientação de segurança da informação e cibernética [PDF]    

Para mais Insights de Cibersegurança e conteúdos sobre serviços {soluções} siga nossas redes sociais:

                                                                                                                                                                                                       

This website uses cookies to improve your web experience.
pt_BRPortuguese