Threats

Grupos de ransomware ativam encriptação remota intencionalmente nos ataques

Sophos alerta que os atacantes têm aumentado a sua utilização de ransomware remoto em 62% a cada ano, com base nos ataques detetados e travados pela tecnologia da Sophos

10/01/2024

Grupos de ransomware ativam encriptação remota intencionalmente nos ataques

A Sophos divulgou o relatório “CryptoGuard: An Asymmetric Approach to the Ransomware Battle” que concluiu que alguns dos grupos de ransomware mais prolíficos e ativos, incluindo Akira, ALPHV/BlackCat, LockBit, Royal ou Black Basta, estão a utilizar deliberadamente a encriptação remota nos seus ataques. Nos ataques de encriptação remota, também conhecidos como ransomware remoto, utilizam um endpoint comprometido e muitas vezes mal protegido para encriptar dados noutros dispositivos ligados à mesma rede.

O Sophos CryptoGuard é a tecnologia anti ransomware que a Sophos adquiriu em 2015 e que está incluída em todas as licenças Sophos Endpoint. O CryptoGuard monitoriza a encriptação maliciosa de ficheiros e fornece proteção imediata e capacidades de rollback (restauro de ficheiros encriptados para a versão anterior ao momento do ataque), incluindo quando o próprio ransomware nunca aparece num host protegido.

As empresas podem ter milhares de computadores ligados à sua rede e, com o ransomware remoto, basta haver um dispositivo mal protegido para comprometer toda a rede. Os atacantes sabem disso, pelo que procuram esse ‘elo mais fraco’ – e a maioria das empresas tem pelo menos um. A encriptação remota vai continuar a ser um problema permanente para as equipas de defesa e, com base nos alertas que temos visto, a utilização deste método de ataque está a aumentar de forma constante”, afirmou, em comunicado, Mark Loman, Vice-President, Threat Research da Sophos e cocriador do CryptoGuard.

Uma vez que este tipo de ataque envolve a encriptação remota de ficheiros, os métodos tradicionais de proteção anti ransomware implementados em dispositivos remotos não ‘veem’ os ficheiros maliciosos ou a sua atividade, pelo que não os conseguem proteger da encriptação não autorizada e da potencial perda de dados. A tecnologia Sophos CryptoGuard, no entanto, analisa o conteúdo dos ficheiros para ver se algum dado foi encriptado e deteta atividade de ransomware em qualquer dispositivo numa rede, mesmo que não haja malware nele.

Em 2013, o CryptoLocker foi o primeiro grupo de ransomware prolífico na utilização da encriptação remota com encriptação assimétrica, também conhecida como encriptação de chave pública. Desde então, os atacantes têm sido capazes de escalar a utilização de ransomware, devido a falhas de segurança omnipresentes e contínuas nas organizações em todo o mundo e ao advento das criptomoedas.

Quando reparámos pela primeira vez que o CryptoLocker tirava partido da encriptação remota, há dez anos, previmos que esta tática se tornaria num desafio para os defensores. Outras soluções centram-se na deteção de binários maliciosos ou na sua execução; no caso da encriptação remota, o malware e a execução residem num computador diferente (desprotegido) daquele que tem os ficheiros encriptados. A única forma de o impedir é vigiar os ficheiros e protegê-los. Foi por isso que inovámos a solução CryptoGuard”, continou Mark Loman.

O ransomware remoto é um problema proeminente para as organizações e está a contribuir para a longevidade do ransomware em geral. Dado que a leitura de dados através de uma ligação de rede é mais lenta do que a partir de um disco local, temos visto atacantes, como os grupos LockBit e Akira, a encriptar estrategicamente apenas uma fração de cada ficheiro. Esta abordagem tem como objetivo maximizar o impacto num mínimo de tempo, reduzindo ainda mais a janela para os defensores repararem no ataque e darem uma resposta. A abordagem da Sophos à tecnologia anti ransomware impede tanto os ataques remotos como os que encriptam apenas 3% de um ficheiro. Esperamos continuar a informar as equipas de defesa sobre este método de ataque persistente, para que possam proteger adequadamente os dispositivos”, terminou Mark Loman.


NOTÍCIAS RELACIONADAS

RECOMENDADO PELOS LEITORES

REVISTA DIGITAL

IT SECURITY Nº16 Fevereiro 2024

IT SECURITY Nº16 Fevereiro 2024

NEWSLETTER

Receba todas as novidades na sua caixa de correio!

O nosso website usa cookies para garantir uma melhor experiência de utilização.