Os grupos de ransomware estão desenvolvendo táticas de evasão para prolongar a permanência nas redes das vítimas. Segundo um recente relatório da Cisco Talos, essa tendência é um reflexo da transição para o modelo de ransomware de dupla extorsão. Neste modelo, os atacantes não apenas criptografam os sistemas das vítimas, mas também roubam dados sensíveis, ameaçando publicá-los online.

A evolução das táticas de ransomware

A dupla extorsão representa um agravamento significativo nas estratégias ofensivas, pois adiciona uma camada adicional de pressão sobre as vítimas, que enfrentam a ameaça de exposição pública de seus dados confidenciais. Para que essas táticas sejam eficazes, os cibercriminosos precisam garantir acesso contínuo às redes das vítimas. Isso lhes permite compreender a estrutura da rede, localizar recursos valiosos e identificar dados sensíveis que podem ser roubados.

O relatório da Cisco Talos examinou as táticas, técnicas e procedimentos (TTPs) dos 14 grupos de ransomware mais ativos entre 2023 e 2024. Ele destacou uma série de técnicas empregadas por esses agentes para evitar a detecção e se movimentar lateralmente na rede após o acesso inicial.

Principais técnicas de evasão de defesa

Os grupos de ransomware mais destacados priorizam rapidamente as técnicas de evasão de defesa, entre as quais se incluem:

1. Desativação e modificação de software de segurança:
   • Os cibercriminosos desativam ou modificam programas antivírus, soluções de detecção de endpoint e recursos de segurança do sistema operacional. Isso impede a detecção da carga útil do ransomware.
2. Ofuscamento do software malicioso:
   • Eles compactam o código do malware, descompactando-o na memória apenas durante a execução. Essa técnica dificulta a análise e detecção prévias do software malicioso.
3. Modificação do registro do sistema:
   • Os atacantes alteram o registro do sistema para desativar alertas de segurança, garantindo que as suas atividades passem despercebidas.
4. Execução na inicialização:
   • Configuram o software para ser executado automaticamente na inicialização do sistema, garantindo persistência mesmo após reinicializações.
5. Bloqueio de opções de recuperação:
   • Bloqueiam certas opções de recuperação para os usuários, complicando a capacidade das vítimas de restaurar o sistema a partir de backups ou pontos de restauração.

Técnicas de persistência para acesso prolongado

Para garantir que suas operações sejam bem-sucedidas, mesmo que a intrusão inicial seja detectada e corrigida, os invasores usam técnicas de persistência avançadas. Isso inclui o uso de mecanismos automatizados, como:

• Execução do AutoStart na inicialização:
  • Configuram o malware para ser executado automaticamente na inicialização do sistema, permitindo a reativação do malware mesmo após tentativas de remoção.
• Criação de ferramentas de acesso remoto:
  • Desenvolvem e instalam ferramentas de software que permitem acesso remoto contínuo, facilitando a reinfiltração caso sejam temporariamente expulsos da rede.

Movimento lateral e exfiltração de dados

Uma vez garantido o acesso persistente, os agentes de ameaça focam em mover-se lateralmente na rede. Isso envolve:

• Exploração de controles de acesso fracos:
  • Eles exploram fraquezas nos controles de acesso para elevar privilégios ao nível de administrador. Essa elevação de privilégios é crucial para obter controle total sobre a rede e acessar dados sensíveis.
• Utilização de utilitários locais e serviços legítimos:
  • Os invasores utilizam ferramentas e serviços legítimos presentes na rede para mascarar suas atividades, evitando a detecção por parte de sistemas de segurança tradicionais.

Após alcançar níveis de acesso elevados e mover-se lateralmente pela rede, os cibercriminosos se concentram na exfiltração de dados confidenciais. Somente após garantir a pose desses dados e preparar o cenário para a chantagem, é que eles implantam a carga útil do ransomware, bloqueando os sistemas das vítimas e exigindo resgate para a recuperação dos dados e a promessa de não divulgação das informações roubadas.

Proteção avançada com Endpoint Central

Para se proteger contra essas ameaças sofisticadas, é essencial contar com uma solução robusta e inovadora. O Endpoint Central oferece uma proteção abrangente contra ataques de ransomware, utilizando inteligência artificial e deep learning para detectar tanto padrões conhecidos, quanto novos ataques. Esta solução é capaz de bloquear máquinas afetadas e restaurar os acessos através do rollback do sistema, eliminando o processo causador da criptografia.