Como detectar ransomware: 12 Monitoramento & Oportunidades de alerta para automatizar

É incrível pensar que em maio deste ano completaram-se cinco anos desde que o surto do WannaCry ajudou a tornar o ransomware um nome conhecido. Em alguns aspectos, parece que foi há uma vida inteira (ou mais). Ex: Em comparação com os números de cair o queixo citados nos relatórios de hoje, algumas das estatísticas relacionadas a ransomware de 2017 parecem pitorescas.

• No segundo trimestre de 2017, o pedido de resgate médio estimado estava entre US$ 501 e US$ 2.000. De acordo com a Coveware, no primeiro trimestre de 2024 e em  , o pagamento médio de resgate foi de US$ 381.980.
• Em 2017, a Cybersecurity Ventures estimou que o custo total dos danos causados por ransomware chegaria a US$ 5 bilhões no ano. Seu último relatório estima que os custos anuais totais em 2025 podem chegar a US$ 57 bilhões.

Obviamente, muita coisa mudou e, com bilhões de dólares em jogo, dizer que as operações de ransomware de hoje amadureceram e evoluíram é um grande eufemismo.

Como diz o pesquisador de segurança Kevin Beaumont em uma publicação de blog que todos deveriam ler:

 

“Um grupo de ransomware que recebeu um pagamento de US$ 40 milhões por atacar uma empresa de seguros de segurança cibernética dá aos atacantes mais orçamento para lançar um ataque cibernético do que a maioria das organizações de médio a grande porte tem para se defender contra ataques no total. E esse é apenas um ataque, de um grupo, que mal apareceu no radar de notícias da maioria das pessoas.”

– Kevin Beaumont, “A dura verdade sobre o ransomware”

 

É uma avaliação preocupante, mas antes de ficarmos ansiosos pelos dias “mais simples” de 2017, também vale a pena considerar que, por mais que tenhamos visto as coisas mudarem nos últimos oito anos, também há muita coisa que não mudou.

Sim, o ecossistema do crime cibernético explodiu em torno do ransomware e, com certeza, os grupos de ataque acumularam enormes fundos de guerra para comprar zero-days e lançar programas de recompensa por bugs. Mas a verdade é que, apesar de tudo isso, a maioria ainda está operando no modo de frutas mais fáceis de colher. Por que ficar sofisticado e chique quando você ainda pode pegar muita gente dormindo com o básico?

• Colonial Pipeline? Hackeado por meio de uma conta inativa sem MFA.   
• Serviços de saúde irlandeses? Documento malicioso do Excel. 
• O acesso de cinco meses da gangue do ransomware LockBit a uma agência do governo dos EUA? RDP exposto.
• O ataque de ransomware de US$ 50 milhões contra a Acer, gigante dos PCs? Vulnerabilidade não corrigida do Microsoft Exchange.

Sim, a prevenção é difícil para as organizações de hoje, mas, por outro lado, sempre foi, e não estou totalmente convencido de que seja exponencialmente mais difícil hoje do que há oito anos. A verdade é que os fundamentos sólidos e a proteção básica dos endpoints podem ajudar muito as PMEs.

Mas esta postagem é sobre detecção, certo? Bem, o mesmo ponto se aplica. A maioria das organizações ainda precisará de recursos dedicados (internos ou terceirizados) para implantar e monitorar ativamente as oportunidades de detecção que abordaremos aqui, mas a barreira de entrada não é necessariamente tão alta quanto alguns fornecedores de segurança podem fazer você acreditar.

Caso em questão: A seguir, apresentamos 12 ideias boas e básicas de detecção de ransomware que podem lhe trazer resultados sem custar uma fortuna.

Vamos nos aprofundar neles.

Se você preferir uma visão geral visual, há também uma versão em vídeo: Como detectar ransomware: Monitoramento e alertas.

Como detectar ransomware

Para começar, vamos concordar que tentar detectar a atividade de ransomware pós-execução (executáveis de ransomware ativamente em execução e criptografando dados) é uma corrida perdida. Algumas das variantes mais prolíficas de ransomware podem criptografar 100.000 arquivos em menos de cinco minutos.

As tentativas de identificar e reagir a mudanças repentinas e em massa nos nomes dos arquivos etc. geralmente são muito pequenas e muito tardias.

O AV/EDR foi obviamente projetado para bloquear os executáveis de ransomware, mas as taxas de detecção/bloqueio não são perfeitas. Mesmo que eles consigam bloquear um executável, isso não resolve o problema de que os invasores obtiveram acesso. Se eles falharem uma vez, tentarão novamente.

Os invasores também utilizam rotineiramente ferramentas e manuais projetados para obter privilégios elevados para desativar ferramentas de segurança (e backups).

Por esse motivo, o melhor momento para detectar e interromper os ataques é logo no início, de preferência quando você estiver lidando com tentativas frequentemente automatizadas de aterrissar e estabelecer cabeças de ponte em seus sistemas. Cortar os ataques pela raiz é muito mais fácil do que enfrentar o próximo estágio, quando você está lidando com um hacker humano real que está operando com um manual testado e comprovado e várias ferramentas projetadas para ajudá-lo a mapear rapidamente sua rede e dominá-la completamente.

 

Portanto, quando falamos em detectar ransomware, a melhor pergunta talvez seja: “Como detectamos os primeiros sinais de alerta de um comprometimento que pode levar rapidamente ao ransomware?”

 

E a ênfase é muito grande em “rapidamente” Os relatórios mostram que, a partir do acesso inicial, o ransomware pode ser implantado em qualquer lugar, desde dias até mesmo horas depois.

Por exemplo, grupos como Black Basta e Clop são conhecidos por distribuir cargas úteis em menos de 4 horas.

Veja os detalhamentos do relatório DFIR de “IcedID para XingLocker ransomware em 24 horas” e “Netwalker Ransomware em 1 hora”

Com tão pouco tempo para identificar a ameaça e reagir, é fundamental ter ferramentas e profissionais experientes monitorando ativamente os sistemas e prontos para responder (de preferência, aproveitando a automação).

Quais são os sinais de ransomware e as boas oportunidades de detecção?

A boa notícia é que, embora existam muitos grupos e variantes de ataque, a maioria ainda depende de manuais e ferramentas comuns. Graças ao trabalho de pesquisadores como os do The DFIR Report e de outros lugares, os defensores podem aprender as TTPs mais comuns e criar mecanismos de detecção de acordo com elas.

A seguir, há uma lista de oportunidades de detecção mapeadas para padrões comuns de ataque de ransomware (uma grande dica do The DFIR Report’s 2021 Year in Review). Não se trata, de forma alguma, de uma lista abrangente, mas ela deve lhe fornecer uma ótima orientação para começar.

Se você estiver usando uma solução de gerenciamento de endpoints ou RMM como o NinjaOne, poderá criar condições de monitoramento e alerta para muitas dessas detecções que podem ser facilmente implementadas nos endpoints, poupando o seu trabalho manual e o da sua equipe. Você também pode criar ações automatizadas que deseja que os alertas acionem, como reinstalar/reiniciar automaticamente os processos AV/EDR se eles forem identificados como ausentes/desabilitados.

Se quiser levar tudo isso um pouco mais longe, o pessoal do The DFIR Report também compartilhou uma grande quantidade de regras Sigma extremamente úteis que podem ser utilizadas com o Chainsaw, uma ferramenta gratuita de código aberto do F-Secure Labs que oferece uma maneira rápida de examinar os logs de eventos e detectar sinais suspeitos de um ataque.

Tipos de táticas de ransomware e como detectá-las – oportunidades de detecção por estágio de ataque

Acesso inicial

1) Relatórios de e-mails suspeitos de usuários finais: Elas não ganham as manchetes que as vulnerabilidades de dia zero ganham, mas os e-mails mal-intencionados comuns criados para induzir os usuários a baixar e executar malware continuam a ser um dos vetores de ataque inicial mais comuns. Por quê? Porque eles ainda funcionam.

• Como detectar e-mails suspeitos: As organizações devem oferecer aos funcionários treinamento de conscientização sobre segurança e criar uma cultura em que eles sejam ativamente incentivados e recompensados por relatar e-mails suspeitos e possíveis erros sem medo de punição.

2) Conexões RDP suspeitas: O RDP exposto é outro vetor de ataque para o qual algumas pessoas de TI e de segurança podem revirar os olhos, mas continua a ser um dos principais pontos de comprometimento inicial para incidentes de ransomware.

• Como detectar conexões RDP suspeitas: Esta postagem do NCCGroup explica como capturar eventos de registro de baixo ruído relacionados a sessões RDP tentadas e bem-sucedidas. Além disso, esse script do especialista em PowerShell Kelvin Tegelaar vai além, documentando se várias ferramentas de acesso remoto estão instaladas (Remote Desktop, Teamviewer, Connectwise ScreenConnect e outras) e registrando quando há uma conexão bem-sucedida.

 

Persistência

1) Criação de tarefa agendada suspeita: Uma das formas mais comuns de os invasores obterem persistência em um sistema.

• Como detectar a criação de tarefas agendadas suspeitas: Monitore e alerte sobre isso rastreando os IDs de evento 4698 e 4700 do Windows ou aproveitando o script do PowerShell de Kelvin Tegelaar aqui.

2) Software de acesso remoto inesperado: Outra tática que vem ganhando força é a instalação, pelos invasores, de software de terceiros, como AnyDesk (o mais popular, de longe), Atera, TeamViewer e Splashtop.

• Como detectar software de acesso remoto inesperado: Essas são ferramentas populares entre os MSPs, mas se você não estiver aproveitando nenhuma delas, é uma boa ideia monitorar regularmente e sinalizar sua presença. Novamente, o script de Kelvin pode ser usado para isso (consulte o comentário de Luke Whitlock em para obter uma modificação que monitora o AnyDesk).

Além disso, você também pode monitorar o Windows Event ID 7045 

 

Escalonamento de privilégios/acesso a credenciais

1) Extração de credenciais do subsistema de autoridade de segurança local do Windows (LSASS): Embora os invasores possam extrair credenciais de outras maneiras, essa é, de longe, uma das mais comuns.

• Como detectar abuso de LSASS: Uma boa maneira de monitorar ou bloquear tentativas de roubo de credenciais do LSASS é aproveitar as regras de Redução da Superfície de Ataque (ASR) da Microsoft (é necessário o Windows 10 build 1709 / Windows Server build 1809 ou superior): Outras regras de ASR também são ótimas para bloquear várias tentativas comuns de execução de códigos maliciosos e obter acesso inicial (por exemplo: bloquear programas do Office para que não criem processos filhos, bloquear JavaScript ou VBScript para que não iniciem conteúdo executável baixado etc.). Veja esta publicação da equipe de segurança da Palantir compartilhando sua avaliação do impacto da regra ASR e as configurações recomendadas. Muitas ferramentas de EDR também oferecem recursos semelhantes de bloqueio e detecção para proteger o LSASS.

 

Evasão de defesa

1) Desativar/desinstalar o antivírus e outras ferramentas de segurança: Por que se preocupar em passar despercebido pelas ferramentas de segurança quando você pode simplesmente desativá-las?

• Como detectar adulteração de antivírus: Dê uma olhada neste script de Kelvin Tegelaar ou, se você tiver um, aproveite seu RMM para alertar regularmente se as ferramentas de segurança estão instaladas e/ou em execução.

 

Descoberta

1) Uso inesperado de ferramentas de varredura de portas e descoberta de rede: Uma vez estabelecida a cabeça de ponte, os atacantes precisam olhar ao redor para ver onde chegaram e identificar as melhores oportunidades de movimentação lateral. Muitos aproveitarão os utilitários integrados do Windows, como nltest.exe, ipconfig, whoami etc., bem como o ADFind. Outros usarão ferramentas de varredura de portas, como o Advanced IP Scanner.

• Como detectar scanners de porta suspeitos e ferramentas de reconhecimento: Assim como acontece com as ferramentas de acesso remoto, você pode testar o monitoramento dessas ferramentas e criar alertas e regras de automação para bloqueá-las proativamente.

 

Movimento lateral

1) Suspeita de uso de Cobalt Strike: O Cobalt Strike é um “software de simulação de adversário” que, infelizmente, se tornou tão popular entre os invasores quanto era para seu público-alvo de testadores de penetração. Ele torna incrivelmente fácil a execução de uma ampla gama de táticas pós-exploração e, rotineiramente, aparece como uma ferramenta abusada em incidentes de ransomware.

• Como detectar o Cobalt Strike: Muitas ferramentas EDR e pesquisadores de segurança estão de olho na detecção do uso do Cobalt Strike. Veja uma excelente coleção de recursos para ajudá-lo a fazer o mesmo aqui.

2) Software de acesso remoto inesperado: Consulte a seção de acesso remoto em “Persistência” acima.

3) Conexões suspeitas de acesso remoto: Pode incluir o uso de RDP, SMB, VNC e outros.

• Como detectar conexões de acesso remoto suspeitas: Consulte esta lista de ideias de monitoramento do MITRE (ex.: criação de conexão de rede, acesso a compartilhamento de rede, etc.) e aprofunde-se nas subtécnicas para obter informações específicas sobre o abuso de RDP, SMB, VNC, SSH, etc.

4) Uso suspeito do PsExec: O PsExec é outra ferramenta incorporada da Microsoft que os atacantes começaram a usar de forma abusiva. Ele permite que você execute remotamente comandos ou scripts como SYSTEM.

• Como detectar abuso do PsExec: Nosso amigo Kelvin também tem um roteiro para isso (porque é claro que ele tem). Você também pode encontrar IDs de eventos do Windows e alterações de registro adicionais para monitorar aqui.

 

Exfiltração de dados

1) Conexões de saída suspeitas e picos de tráfego: Para obter mais vantagem sobre as vítimas, está se tornando cada vez mais comum que os invasores não apenas criptografem os dados, mas também os exfiltrem primeiro. Isso lhes dá a ameaça adicional de vender os dados ou publicá-los ao vivo.

• Como detectar a exfiltração de dados: Os indicadores de possível exfiltração de dados podem incluir grandes picos de tráfego de saída, conexões inesperadas com endereços IP públicos, portas usadas de forma incomum, grandes volumes de consultas de DNS, extensões de arquivos de origem suspeita (.rar, .7z, .zip, etc.) e muito mais. O monitoramento da rede e as regras de firewall podem fazer o trabalho pesado aqui. Para obter mais ideias, consulte a seção “Exfiltration” do MITRE ATT& CK.

2) Abuso de ferramentas de transferência de arquivos incorporadas e de código aberto: Os invasores adoram usar ferramentas legítimas que podem ajudá-los a se disfarçar. Para a exfiltração de dados, isso inclui Microsoft BITS, curl.exe, Rclone, Mega (MegaSync e MegaCmd) e muito mais.

• Como detectar o uso suspeito de transferência de arquivos: Embora os invasores possam se dar ao trabalho de renomear esses programas, alguns simplesmente não o fazem, portanto, bloquear e/ou monitorar e alertar sobre seu uso é um bom ponto de partida. Para obter ideias de detecção mais avançadas/granulares, consulte o seguinte: detecção de Rclone, detecção de Mega e Rclone e MITRE ATT& CK ID T1197.

 

Adicione uma camada de detecção de ransomware que seja gerenciável e dimensionável

Monitorar e alertar ativamente sobre esses tipos de atividades pode ser um desafio para as organizações que não dispõem de um recurso dedicado especializado e treinado. Em muitos casos, a parceria com os especialistas terceirizados certos pode ser o caminho a seguir.

Para obter mais exemplos de automações que as equipes de TI podem aproveitar com a Ninja, consulte “What Should You Be Monitoring with Your RMM? 28 Recomendações”

A NinjaOne também tem parceria com a Bitdefender para fornecer uma solução integrada anti-ransomware como parte de sua plataforma de gerenciamento unificado de TI (UITO). Ao incluir o Ninja + Bitdefender GravityZone + Ninja Data Protection, o pacote NinjaOne Protect ajuda a prevenir, detectar e responder a ataques de ransomware, mitigando potencialmente o impacto do ransomware em sua empresa .

Inscreva-se para um teste gratuito do NinjaOne Protect hoje mesmo.