Nova tendência do ransomware - exfiltração e extorsão

Em 2018/2019 vários grupos responsáveis por este tipo de ataques deixaram de ter como estratégia comprometer o maior número de pessoas/organizações possíveis para passarem a focar-se em alvos específicos. Isto quer dizer que antes de efetuar um ataque de Ransomware, estes grupos investigam as empresas, os seus trabalhadores e os seus sistemas de forma a selecionar criteriosamente quais as entidades que podem trazer maior lucro (afinal de contas, estamos a falar de um negócio).

A partir do final de 2019 começamos a ver uma nova tendência no mundo do Ransomware. Estes grupos deixaram de se focar apenas na encriptação dos dados e no pedido de resgate. Muitos deles, antes de encriptar os dados, passaram a proceder à sua exfiltração e a ameaçar as vítimas com a divulgação pública desses mesmos dados.

Durante os primeiros 6 meses de 2020, 22% dos ataques de ransomware extraíram com sucesso os dados dos sistemas que infectaram. Isto significa que nos dias de hoje qualquer vítima deste tipo de ataques não se pode preocupar exclusivamente com a recuperação dos dados encriptados e a restauração dos sistemas críticos para o negócio. Há agora 3 preocupações principais para estas vítimas:

1. Como recuperar acesso aos dados e sistemas críticos para o negócio?
2. Que dados foram roubados?
3. Como reportar o incidente às autoridades competentes?

Durante as investigações feitas pela nossa equipa de Threat Researchers (Unit 42) a Ransomwares que utilizem técnicas de exfiltração de informação, foi identificada uma metodologia comum a grande parte destes ataques.

Os métodos tipicamente usados para os despoletar são os emails de phishing e o abuso do protocolo RDP. Após um atacante ter acesso ao sistema que pretende comprometer, vai normalmente estabelecer uma forma de persistência no ambiente da vítima e efetuar o reconhecimento da infraestrutura para identificar sistemas críticos e prioritários que possam conter informação confidencial. Depois de identificados esses sistemas e de conseguir acesso aos mesmos, o atacante vai coletar os dados relevantes. Durante esta fase o atacante vai procurar por ficheiros que pareçam ter informação sensível ou confidencial e prepará- -los para a sua exfiltração.

O método predileto para a exfiltração de informação tem sido o uso de aplicações de partilha de ficheiros. A grande maioria delas, utilizam web browsers e uma ligação normal de internet, o que faz com que a exfiltração destes dados passe despercebida à vítima.

Assim que os dados tenham sido roubados da organização, o atacante vai proceder à execução do ransomware no ambiente da vítima antes de avançar para a fase de extorsão.

Com o aumento da tentativa de exfiltração de dados em ataques de ransomware tem crescido o número e a relevância dos chamados “shaming” websites. Isto são páginas web usadas pelos atacantes para revelar o nome das organizações que infectaram e para colocar partes da informação roubada dessa mesma organização de forma a persuadi-las a pagar o resgate. Esta informação é normalmente colocada nestes websites para pressionar as vítimas a pagar e para comprovar que os dados dessa vítima foram de facto roubados.

Assim que a vítima pagar o resgate, o atacante normalmente remove os dados dela do website e envia-lhe as chaves de desencriptação para esta poder proceder à recuperação dos seus dados.

É fundamental as empresas estarem preparadas para esta realidade. Algumas das medidas que estas devem implementar são:

• MFA
• Acabar com o acesso externo via RDP
• Criar estratégia regular de backups e patching
• NGFWs para impedir a exploração de vulnerabilidades existentes
• Tecnologia de endpoint de nova geração (ex: Palo Alto Networks Cortex XDR)
• Tecnologia para proteger utilizadores remotos (ex: Palo Alto Networks Prisma Access).

Conteúdo co-produzido pela MediaNext e pela Palo Alto Networks