Conhecendo a anatomia de um ataque ransomware

Pretendo neste pequeno texto falar sobre uma ameaça que tem causado grandes preocupações para as empresas e os analistas de segurança da informação, estamos falando do Ransomware. Para saber, um ransomware pode ser escrito em diversas linguagens de programação inclusive utilizando uma macro de uma planilha eletrônica, basta o desenvolvedor ter conhecimento em criptografia, sistemas operacionais e suas bibliotecas, porém, o que é um ransomware e como ele age nos computadores de suas vítimas?

O ransomware é uma classe de malware que serve para extorquir digitalmente suas vítimas após criptografar seus dados, fazendo-as a pagar um preço pelo resgate de suas informações. Ou seja, sua ação consiste simplesmente em criptografar ou também conhecido como sequestrar os arquivos do computador de suas vítimas para em seguida solicitar um resgate.

A maioria dos extorsionários digitais exige a criptomoeda como forma de pagamento feito, normalmente o Bitcoin mas este não é o único método de pagamento.

Para que um ransomware entre em ação, primeiro é necessário executar algumas tarefas que incluem:

1. Ser baixado automaticamente no computador do usuário sem o seu conhecimento, esta ação também é conhecida como Download drive-by onde, o usuário não tem conhecimento que um malware foi baixado em seu computador tornando-o vítima de um golpe virtual. A outra opção de ação seria ser baixado no computador do usuário por seu consentimento clicando em um link ou arquivo malicioso de um e-mail phishing. Isto poderia ocorrer facilmente acessando sites ou clicando em links não confiáveis.

2. Se instalar através de uma vulnerabilidade no sistema operacional ou usar técnicas de engenharia social para fazer com o que o usuário clique e execute no arquivo baixado. Então, assim que um payload iniciar a sua execução, alguns tipos de ransomware utilizam um método de chamado download dropper, que consiste em baixar somente alguns arquivos básicos para se comunicar com a central de comando e controle. Isto se faz necessário para não ser detectado através dos sistemas de segurança como antivírus, Intrusion Prevention System (IPS) ou Intrusion Detection System (IDS) e em seguida depois do sistema comprometido o executável recebe o comando para realizar o download do ransomware propriamente dito para infectar o sistema operacional.

3. Após a infecção, o ransomware irá se injetar em um processo do sistema operacional que tenha acesso de administrador do sistema e no caso do Windows, a alteração chaves de registros que garantirá que o código malicioso sempre inicie com o sistema operacional mantendo a persistência entre as reinicializações. Em outros sistemas operacionais baseados em linux, android ou iOS o código malicioso poderá se aproveitar de dados não seguros de aplicações ou de certificados de desenvolvimento de aplicações roubados.

5. Listar os arquivos do sistema e possivelmente de drives compartilhados. Aqui começa a varredura por arquivos que possam ser importantes e a buscar pelos compartilhamentos da rede, isso fará que o ransomware se espalhe silenciosamente por toda a rede. Alguns tipos de ransomware, verificam se o computador infectado não seja um sandbox, um ambiente de teste isolado para a execução de programas a fim de descobri se o executável pode ser ou não um arquivo malicioso. Caso seja uma sandbox, logo este é descartado passando para a próxima máquina infectada.

6. Acessar as bibliotecas nativas de criptografia do sistema operacional no computador das vítimas. Por que reinventar a roda? Neste ponto o ransomware, utiliza as próprias bibliotecas nativas do sistema operacional para encriptar os arquivos.

7. Ler e escrever arquivos inteiros ou porções deles em rápida sucessão. Assim que o ransomware inicia a leitura e escrita dos arquivos identificados no computador alvo, o processo de encriptação será absurdamente rápido iniciando assim um caos pois quando for detectado, será tarde demais para reverter sua sua ação pois não se saberá neste ponto quantas máquinas foram infectadas.

8. Conectar-se com a infraestrutura de comando e controle. Após a encriptação dos arquivos o ransomware se conectar a algum tipo de sistema de comando e controle para determinar as próximas ações e também garantindo algum canal de comunicação para garantir as negociações.

9. Apagar as cópias de sombra de volumes (Volume Shadow Copies) onde, a maioria dos ransomware utilizam este recurso. Esta ação torna um ransomware mais eficaz no seu objetivo. Em muitos casos, a restauração das cópias de sombra de volumes resolveria o problema, evitaria a negociação com os criminosos porém, deve-se avaliar o quanto tempo levaria para restaurar as cópias de sombre de volumes de um parque inteiro. Uma recomendação seria avaliar quanto tempo demoraria para realizar esta restauração e se valeria a pena. Claro que digo isto, antes que um ransomware ataque o seu ambiente.

Por fim, o intuito deste texto como escrito no início, seria o esclarecimento de como um ransomware age em um ambiente e os passos utilizados para infectar um computador ou um parque tecnológico. Existem vários outros assuntos a serem tratados a respeito de um ransomware que não foram abordados neste artigo como algum desses:

- Meu parque tecnológico foi infectado, devo pagar o resgate?

- As vantagens e desvantagens de se pagar um resgate

- Protegendo os endpoints de um ataque ransomware?

- Conhecer os riscos e os alvos de um ransomware no meu ambiente.

- Uso de indicadores para detectar comportamentos suspeitos de um ataque ransomware.

- Outros

Espero que tenham gostado da leitura e fico aberto para as críticas e sugestões. Brevemente escreverei novos artigos sobre assuntos relacionados a segurança da informação.