Uma visão interna de como grupos de ransomware se tornam furtivos

A maioria das organizações conhece o bloqueio básico e o enfrentamento necessários para se protegerem de ransomware: regularmente backup de dados fora do local, ter um plano de resposta a incidentes dedicado em vigor e manter-se atualizado sobre as assinaturas de malware mais recentes e indicadores de comprometimento.

Mas as agências de aplicação da lei e especialistas em segurança cibernética alertam que os grupos de ransomware estão trabalhando mais do que nunca para aproveitar ferramentas e técnicas que escondem sua presença de mecanismos de detecção de ameaças, encobrem seus rastros de investigadores e geralmente tornam mais difícil para as empresas detectar ou responder a intrusões até é tarde demais.

O Agente Especial de Supervisão Jonathan Holmes, que trabalha na Divisão de Cibercrimes e Unidade de Crimes Graves do FBI, disse que “as investigações de ransomware costumam ser muito difíceis de investigar”, apontando para uma série de ferramentas e técnicas que tornam mais difícil rastrear a infraestrutura de TI de um invasor.

“Eles contam com provedores de e-mail que não mantêm registros, que não podem fornecer à polícia informações básicas sobre as contas que os indivíduos estão usando. Portanto, isso torna nossa capacidade de investigar esses casos muito, muito difícil ”, disse ele esta semana em um evento organizado pela Agência de Segurança de Infraestrutura e Segurança Cibernética.

Sem deixar migalhas de pão

Outra maneira de os agentes de ransomware trabalharem para encobrir seus rastros: excluindo novas amostras de malware e outros rastros digitais ao sair pela porta.

A ofuscação de malware não é exclusiva dos atores de ransomware. Mas Keegan Keplinger, líder de pesquisa e reportagem da eSentire, disse à SC Media na semana passada que esta é uma tática comum entre grupos de ransomware que é projetada para tornar mais difícil para uma organização detectar um ataque em andamento ou vasculhar os destroços digitais em busca de evidências e leads. Cada nova amostra de malware coletada por empresas de inteligência de ameaças ou investigadores fornece novas informações sobre como e quando é implantado, que podem ser usadas para prevenir ataques futuros.

“Com [grandes ataques], há algumas coisas que não detectamos automaticamente e algumas coisas que fazemos. Então, quando você tem uma amostra, você pode pegá-la e olhar para ela e tentar implementar mais detecção e ter certeza de ter uma cobertura melhor, apenas no caso de haver visibilidade diferente em ambientes diferentes, escopo diferente de produtos de segurança diferentes ”, Keplinger disse. “Só porque você está pegando uma parte de um ataque de ransomware em um caso, não significa que você vai pegá-lo em todos os casos. Portanto, ser capaz de ampliar esse tipo de conjunto de regras que você tem para detecção [é útil]. ”

Ao examinar uma cepa mais recente de ransomware chamada “Egregor”, os pesquisadores do AppGate encontraram evidências de várias maneiras pelas quais os atores por trás do ataque dificultaram a análise do código malicioso ou a criação de novas regras de detecção para os responsáveis ​​pela resposta a incidentes ou agentes da lei.

“A amostra que analisamos possui muitas técnicas de anti-análise em vigor, como ofuscação de código e cargas úteis compactadas”, observou a empresa. “Além disso, em uma das etapas de execução, a carga útil do Egregor só pode ser descriptografada se a chave correta for fornecida na linha de comando do processo, o que significa que o arquivo não pode ser analisado, seja manualmente ou usando um sandbox, se for o mesmo linha de comando que os invasores usaram para executar o ransomware não é fornecida. ”

Holmes apontou outras ferramentas, como tecnologias de anonimato de terceiros, que podem turvar ainda mais as águas.

“Freqüentemente, esses atores de ransomware estão utilizando a rede Tor para se comunicarem uns com os outros e, muitas vezes, para se comunicarem com as vítimas … isso cria problemas para a polícia identificar a infraestrutura que os bandidos estão usando”, disse ele. “Esses indivíduos também dependem de moedas virtuais como o Bitcoin para receber pagamentos de suas vítimas , e o Bitcoin pode ser muito difícil de investigar”. Isso é especialmente verdadeiro quando esses indivíduos estão vendendo Bitcoin ou contando com câmbios de moeda virtual, que não são amigáveis ​​para a aplicação da lei e que funcionam fora do sistema bancário normal. ”

Estratégias de ataque

Holmes pode estar subestimando as capacidades de aplicação da lei nesta frente. Embora o Tor e as moedas virtuais tenham fornecido problemas reais para a aplicação da lei no passado, há evidências crescentes de que isso pode não ser mais o caso. Em 2017, o Departamento de Justiça decidiu encerrar um caso de pornografia infantil, em parte para evitar ter que divulgar publicamente no tribunal uma exploração que eles usaram para rastrear o endereço IP do suspeito que estava supostamente acessando pornografia infantil por meio de um navegador Tor.

Enquanto isso, as acusações criminais do DOJ e as investigações fiscais globais pelo IRS têm cada vez mais elogiado o uso de software de empresas como a Chainalysis e outras empresas forenses digitais que demonstraram a capacidade de romper o véu do anonimato prometido por muitas moedas virtuais.

“Não quero necessariamente citar nenhum deles especificamente, mas temos as ferramentas disponíveis hoje que não tínhamos em vigor há seis meses ou um ano atrás para tomar o que era uma forma anônima de pagamento e movimentar fundos e realmente fazer com que não seja mais anônimo ”, disse Ryan Korner, um agente especial do escritório do IRS em Los Angeles no ano passado.

Marcus Folwer, diretor de ameaças estratégicas da empresa de segurança cibernética Darktrace, disse à SC Media que tais táticas e ferramentas geralmente indicam que o grupo de ransomware é “uma loja bastante profissional que faz isso em todos os lugares em outros lugares e não quer receber impressões digitais e, portanto, identificável logo no início ”em um ataque.

Por design, a maioria dos ataques de ransomware bem-sucedidos termina com o ato altamente perceptível de travar sistemas e exigir pagamento. Por causa disso, o acesso de longo prazo e a discrição máxima nem sempre são as principais prioridades, da mesma forma que para grupos com objetivos mais voltados para a espionagem. Dito isso, Fowler disse que os grupos cibercriminosos também podem usar as mesmas técnicas para executar uma operação de bandeira falsa, mascarando-se como um ataque de ransomware direto, enquanto escondem evidências de outros motivos.

“Quanto devo me preocupar em esconder minha mão quando vou criptografar tudo e vai estar piscando luzes vermelhas e pessoas correndo por aí puxando coisas?” disse Fowler, que também passou 15 anos na CIA, incluindo uma passagem como chefe do departamento operacional trabalhando em contraterrorismo e questões cibernéticas.

“Mas se estou me escondendo, isso significa que tenho uma especialidade muito preciosa”, disse ele. “Provavelmente sou um dos predadores do Apex quando se trata de ransomware, ou fiz outra coisa naquele ambiente que não quero que eles saibam.”

Fonte: https://www.scmagazine.com/home/security-news/ransomware/an-inside-look-at-how-ransomware-groups-go-stealth/