zephyr_p - stock.adobe.com
3 técnicas de detecção de ransomware para identificar um ataque
Embora a prevenção seja fundamental, não é suficiente para proteger o sistema de uma empresa contra ransomware. Reduza os danos dos ataques com estes três métodos de detecção de ransomware.
Não importa o quanto tentem, as organizações não podem evitar o ransomware para sempre. Com o tempo, os invasores invadirão seus sistemas. O objetivo então é detectar o ransomware antes que ele criptografe e extraia dados críticos para os negócios.
“O mundo reconheceu claramente que não podemos impedir que todos os ataques aconteçam”, disse Dave Gruber, analista do Enterprise Strategy Group da TechTarget. "O adversário vai comprometer nossos sistemas; eles vão entrar. A corrida é detectar e deter os atacantes antes que algo aconteça."
Quando o ransomware entra em uma rede, ele pode causar sérios danos que afetam os resultados e a imagem de uma empresa. Quando as equipes de segurança veem os pedidos de resgate, o dano já está feito.
A prevenção é essencial na batalha contra o ransomware. Mas, como observou Allie Mellen, analista da Forrester, as atividades de detecção e resposta adicionam uma camada de proteção, especialmente quando se trata de impedir que o ransomware se mova lateralmente em um sistema.
A detecção de ransomware envolve o uso de uma combinação de automação e análise de malware para descobrir arquivos maliciosos no início da cadeia de remoção. Mas o malware nem sempre é fácil de encontrar. Os adversários muitas vezes escondem ransomware em software legítimo, como scripts PowerShell, VBScript, Mimikatz e PsExec, para escapar da detecção.
“O objetivo final é detectar atividades maliciosas, não necessariamente detectar malware. O processo de detecção e análise geralmente envolve reunir uma série de atividades que podem ser suspeitas para determinar se algo malicioso está realmente acontecendo”, disse Gruber.
Para começar, vejamos as técnicas de detecção de ransomware, que se enquadram em três tipos principais: detecção baseada em assinatura, baseada em comportamento ou baseada em fraude.
1. Detecção baseada em assinatura
A detecção de ransomware baseada em assinatura compara um hash de amostra de ransomware com assinaturas conhecidas. Fornece análise estática rápida de arquivos em um ambiente. Plataformas de segurança e software antivírus capturam dados de um executável para determinar a probabilidade de ser um ransomware versus um executável licenciado. A maioria dos softwares antivírus segue esta etapa ao procurar malware.
As equipes de segurança também podem usar o cmdlet Get-FileHash do Windows PowerShell ou ferramentas de inteligência de código aberto, como o VirusTotal, para obter o hash de um arquivo. Com os algoritmos de hash atuais, os profissionais de segurança podem comparar o hash de um arquivo com amostras de malware conhecidas. As equipes de segurança podem então usar ferramentas antivírus e antimalware para bloquear tipos de arquivos específicos. Isso evita que os usuários baixem inadvertidamente malware por e-mail ou pela web.
As técnicas de detecção de ransomware baseadas em assinaturas são o primeiro nível de defesa. Embora sejam úteis para encontrar ameaças conhecidas, os métodos baseados em assinaturas nem sempre conseguem identificar malwares mais recentes .
Os invasores atualizam seus arquivos de malware com frequência para evitar a detecção. Adicionar um único byte a um arquivo cria um novo hash, o que diminui a detectabilidade do malware. Em 2022, a empresa de segurança de rede SonicWall descobriu 465.501 variantes de malware nunca antes vistas, de acordo com seu “Relatório de ameaças cibernéticas de 2023”.
Apesar disso, a detecção baseada em assinaturas é útil para identificar amostras de ransomware mais antigas e arquivos conhecidos, disse Mario de Boer, vice-presidente executivo do Gartner. Ele também fornece proteção contra campanhas de ransomware que são gerais, em vez de direcionadas, disse ele.
2. Detecção baseada em comportamento
Os métodos de detecção de ransomware baseados em comportamento comparam novos comportamentos com dados históricos para ajudar os profissionais e ferramentas de segurança a procurar indicadores de comprometimento. Por exemplo, esses métodos podem detectar se alguém está acessando remotamente o desktop de uma empresa de outro estado quando o funcionário faz login no escritório no mesmo dia.
A detecção baseada em comportamento inclui as seguintes etapas:
- Medindo mudanças no sistema de arquivos. As equipes de segurança devem procurar execuções anormais de arquivos, como renomeação excessiva de arquivos. Alguns ocorrem em um dia normal de trabalho, mas centenas, em um curto período de tempo, levantam sinais de alerta. O ransomware pode permanecer oculto nos sistemas por algum tempo antes de ser executado, portanto, as equipes de segurança também devem criar um arquivo com entropia mais alta do que um arquivo original, bem como enumeração e criptografia de arquivos.
- Procure por tráfego anormal. As equipes de segurança devem examinar o tráfego em busca de anomalias, como se algum software está se conectando a sites suspeitos de compartilhamento de arquivos e o horário dessas ações. As equipes também devem verificar se o volume de tráfego aumentou recentemente e para onde está indo. O ransomware requer conectividade de rede com servidores externos para receber instruções de comando e controle e trocar chaves de descriptografia. Observe que, embora útil, este método de detecção pode gerar falsos positivos e requer tempo de análise. Os invasores também podem usar sites legítimos de compartilhamento de arquivos incluídos na lista de permissões da empresa infectada, permitindo que eles passem despercebidos.
- Examine as chamadas de API. As equipes de segurança devem examinar as chamadas de API para entender quais scripts são executados e se algum deles é suspeito. Por exemplo, spyware e keyloggers usam GetWindowDC para capturar informações de uma janela inteira ou IsDebuggerPresent para detectar se um depurador está ativo em um sistema. Outra tática de ransomware é usar GetTickCount para determinar há quanto tempo um sistema está ligado, em milissegundos. Um curto período de tempo pode indicar que o ransomware está numa máquina virtual e, portanto, não executará nenhuma ação maliciosa.
3. Detecção baseada em engano
As técnicas de detecção de ransomware baseadas em fraude envolvem enganar os adversários enquanto eles procuram dados para criptografar ou exfiltrar dentro do sistema da organização. As equipes de segurança usam técnicas de engano para induzir invasores mal-intencionados a interagir com ativos falsos na rede. Os usuários legítimos não tocarão nesses ativos falsos, dando às equipes de segurança um indicador confiável de atividades suspeitas. As equipes de segurança podem implantar honeynets, incluindo honeynets, honeypots e honey tokens, e ignorá-los, a menos que um alerta seja registrado. A seguir estão algumas características deste tipo de iscas:
- Honeynets são redes de honeypots e honey tokens.
- Honeypots são qualquer sistema conectado à rede intencionalmente vulnerável, como um computador, máquina virtual, aplicativo, repositório de arquivos ou servidor.
- Honey tokens são arquivos individuais, endereços de e-mail ou contas de usuário usados para atrair invasores.
Adote uma abordagem anti-ransomware em camadas
O uso conjunto de várias técnicas de detecção de ransomware oferece às equipes de segurança uma chance melhor de detectar e monitorar um ataque de ransomware – e isolá-lo antes que ele chegue muito longe no sistema.
“À medida que os ataques modernos se tornam complexos e contornam facilmente as técnicas básicas, fica claro que nenhuma técnica pode abordar todos os casos de uso”, disse de Boer.
As organizações precisam fazer mais do que simplesmente instalar e executar software antivírus. Além de uma combinação de técnicas de detecção de ransomware, as equipes de segurança também devem procurar ataques que entram pela porta da frente. Ameaças internas, como reutilização de credenciais e engenharia social, podem permitir que adversários acessem um sistema.
As organizações devem levar o ransomware a sério. Os pagamentos de ransomware quase dobraram em 2023 em relação a 2022, para mais de US$ 1,5 milhão, de US$ 812.380, de acordo com o relatório “State of Ransomware 2023” da Sophos.
Use as melhores práticas para treinar funcionários sobre riscos de ransomware e ensinar aos profissionais de segurança da informação a estrutura Mitre ATT&CK, que inclui informações sobre táticas, técnicas e procedimentos adversários. Com esse conhecimento, as equipes de segurança podem determinar os pontos fortes e fracos da organização e melhorar a segurança do sistema de acordo.