Discorrer sobre ransomware 101 é falar sobre malware, o termo utilizado para definir de forma ampla os programas maliciosos desenvolvidos para roubar dados de usuários ou sistemas. Além de roubar os dados, os malwares possuem diversas formas, com estratégias diferentes.
- Programas maliciosos que se passam por softwares ou aplicativos legítimos, infiltrando-se em máquinas e dispositivos móveis para roubar informações, recrutar botnets e até espionar atividades dos usuários.
- Worms, tipos mais antigo de malware, utilizados para proliferação, ou seja, infectar o maior número de máquinas possíveis, podendo agregar outros programas maliciosos ou apenas sobrecarregar as redes com demandas de largura de banda.
- Responsáveis pelos anúncios constantes e irritantes em sites, esses malwares coletam dados pessoais dos usuários e personalizam os anúncios, com o objetivo de gerarem receita.
Os crimes cibernéticos ocorrem através de uma combinação de estratégias, inteligência e ferramentas (os malwares).
Sendo assim, a primeira etapa da execução do ransomware 101 consiste no reconhecimento do alvo, o que significa executar uma pesquisa sobre a empresa, sua receita, setor de atuação, site e quanto ela vale no mercado. Essas informações guiarão a definição do preço do resgate e da abordagem a ser utilizada pelo criminoso.
Após concluir o reconhecimento é hora de planejar como utilizar as informações coletadas para obter acesso ao alvo desejável. Essa etapa envolve desenvolver e-mails falsos bem elaborados, com elementos convincentes para enganar a vítima a executar a ação necessária para que o ataque aconteça.
Por ser um malware, é necessário que o ransomware esteja instalado na máquina para infiltrar e propagar no sistema alvo. O canal mais utilizado é o e-mail phishing, com um malware embutido que permite o acesso aos sistemas da vítima. Como o atacante possui informações sobre seu alvo, consegue elaborar e-mails convincentes e um artefato bem elaborado para obter o controle e escalar privilégios.
Uma vez instalado no sistema, o atacante começa a escalada de privilégios administrativos, ganhando mais terreno e poder.
É através dessa movimentação que ele conseguirá encontrar e acessar os arquivos para exfiltrar e criptografar. Ele executa um scan da rede, identificando os dispositivos e localizando os ativos mais valiosos.
Com acesso privilegiado ao sistema da vítima, o invasor pode instalar o backdoor que alimentará o acesso contínuo à rede. Esse backdoor criará contas de administrador, e em seguida, desabilitará as regras do firewall, garantindo o acesso remoto à área de trabalho de outros servidores e sistemas da rede.
Então, o controle do invasor está completo e ele pode ver e fazer qualquer coisa, desde se passar por qualquer usuário na rede e até enviar e-mails do CEO da empresa para todos os funcionários, além de impedir o acesso dos profissionais de TI aos sistemas.
O objetivo é inutilizar o máximo possível de dados da rede da empresa.
Isso feito, eles limpam as cópias arquivadas dos dados e garantem que todos os dados de destino sejam criptografados quando forem distribuídos por vários servidores, dispositivos ou locais. Finalizada essa etapa o sequestrador pode solicitar o pagamento do resgate.
Analisar as etapas de um ataque ransomware nos ensina que existe inteligência e lógica nas ações do cibercrime. É claro que nem sempre todas as etapas são seguidas com precisão e dedicação por parte do invasor. Mas entendê-las é fundamental para trabalhar ações de segurança mais proativas e efetivas. Alguns pontos fundamentais nesse processo:
- Acompanhar e monitorar vazamento e fraudes na internet: Se você não realiza o monitoramento de vazamento de dados e fraudes na internet. Saiba que os invasores estão sempre buscando informações nessas fontes.
- Monitoramento de credenciais corporativas e de executivos: As credenciais privilegiadas precisam ser acompanhadas, pois, muitos vazamentos ocorrem de forma proposital ou por ações de cibercriminosos. É preciso ter em mente que a gestão das credenciais é um grande desafio para a segurança das empresas. Já que em muitos cenários existe um controle inadequado dos acessos e privilégios administrativos.
- Realize o monitoramento da marca na deep e dark web: Sendo cenários onde o comércio ilegal dos dados das empresas ocorre. Nessas camadas mais profundas, é possível verificar os vazamentos, fraudes e usos criminosos que atingem as empresas e os consumidores.
Todas as menções fraudulentas da marca: Os usos indevidos de marca podem estar presentes em grupos criminosos de aplicativos de mensagens instantâneas de mensagens, como WhatsApp, Telegram e Discord.
