Grupos de ransomware aperfeiçoam técnicas de evasão para aumentar tempo de permanência nas redes

Por /

Os grupos de ransomware estão desenvolvendo táticas de evasão para prolongar a permanência nas redes das vítimas. Segundo um recente relatório da Cisco Talos, essa tendência é um reflexo da transição para o modelo de ransomware de dupla extorsão. Neste modelo, os atacantes não apenas criptografam os sistemas das vítimas, mas também roubam dados sensíveis, ameaçando publicá-los online.

A evolução das táticas de ransomware

A dupla extorsão representa um agravamento significativo nas estratégias ofensivas, pois adiciona uma camada adicional de pressão sobre as vítimas, que enfrentam a ameaça de exposição pública de seus dados confidenciais. Para que essas táticas sejam eficazes, os cibercriminosos precisam garantir acesso contínuo às redes das vítimas. Isso lhes permite compreender a estrutura da rede, localizar recursos valiosos e identificar dados sensíveis que podem ser roubados.

O relatório da Cisco Talos examinou as táticas, técnicas e procedimentos (TTPs) dos 14 grupos de ransomware mais ativos entre 2023 e 2024. Ele destacou uma série de técnicas empregadas por esses agentes para evitar a detecção e se movimentar lateralmente na rede após o acesso inicial.

Principais técnicas de evasão de defesa

Os grupos de ransomware mais destacados priorizam rapidamente as técnicas de evasão de defesa, entre as quais se incluem:

  1. Desativação e modificação de software de segurança:
    • Os cibercriminosos desativam ou modificam programas antivírus, soluções de detecção de endpoint e recursos de segurança do sistema operacional. Isso impede a detecção da carga útil do ransomware.
  2. Ofuscamento do software malicioso:
    • Eles compactam o código do malware, descompactando-o na memória apenas durante a execução. Essa técnica dificulta a análise e detecção prévias do software malicioso.
  3. Modificação do registro do sistema:
    • Os atacantes alteram o registro do sistema para desativar alertas de segurança, garantindo que as suas atividades passem despercebidas.
  4. Execução na inicialização:
    • Configuram o software para ser executado automaticamente na inicialização do sistema, garantindo persistência mesmo após reinicializações.
  5. Bloqueio de opções de recuperação:
    • Bloqueiam certas opções de recuperação para os usuários, complicando a capacidade das vítimas de restaurar o sistema a partir de backups ou pontos de restauração.

Técnicas de persistência para acesso prolongado

Para garantir que suas operações sejam bem-sucedidas, mesmo que a intrusão inicial seja detectada e corrigida, os invasores usam técnicas de persistência avançadas. Isso inclui o uso de mecanismos automatizados, como:

  • Execução do AutoStart na inicialização:
    • Configuram o malware para ser executado automaticamente na inicialização do sistema, permitindo a reativação do malware mesmo após tentativas de remoção.
  • Criação de ferramentas de acesso remoto:
    • Desenvolvem e instalam ferramentas de software que permitem acesso remoto contínuo, facilitando a reinfiltração caso sejam temporariamente expulsos da rede.

Movimento lateral e exfiltração de dados

Uma vez garantido o acesso persistente, os agentes de ameaça focam em mover-se lateralmente na rede. Isso envolve:

  • Exploração de controles de acesso fracos:
    • Eles exploram fraquezas nos controles de acesso para elevar privilégios ao nível de administrador. Essa elevação de privilégios é crucial para obter controle total sobre a rede e acessar dados sensíveis.
  • Utilização de utilitários locais e serviços legítimos:
    • Os invasores utilizam ferramentas e serviços legítimos presentes na rede para mascarar suas atividades, evitando a detecção por parte de sistemas de segurança tradicionais.

Após alcançar níveis de acesso elevados e mover-se lateralmente pela rede, os cibercriminosos se concentram na exfiltração de dados confidenciais. Somente após garantir a pose desses dados e preparar o cenário para a chantagem, é que eles implantam a carga útil do ransomware, bloqueando os sistemas das vítimas e exigindo resgate para a recuperação dos dados e a promessa de não divulgação das informações roubadas.

Proteção avançada com Endpoint Central

Para se proteger contra essas ameaças sofisticadas, é essencial contar com uma solução robusta e inovadora. O Endpoint Central oferece uma proteção abrangente contra ataques de ransomware, utilizando inteligência artificial e deep learning para detectar tanto padrões conhecidos, quanto novos ataques. Esta solução é capaz de bloquear máquinas afetadas e restaurar os acessos através do rollback do sistema, eliminando o processo causador da criptografia.

ACS Pro Parceira ManageEngine no Brasil. – Fone / WhatsApp (11) 2626-4653

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Parceiro Zoho ManageEngine para o brasil

Institucional:

Home
Serviços
soluções
Sobre
Política de Privacidade

Entre em Contato:

  • Av. das Nações Unidas, 12495 - 15º andar - Alto dos Pinheiros, São Paulo - SP

CNPJ: 10.551.161/0001-27 – Todos os direitos reservados.

Rolar para cima