Ransomware é um software malicioso de criptografia de dados que exige pagamento para liberar os dados infectados. Os arquivos cruciais de uma organização inteira ou de um usuário individual são direcionados e criptografados, negando aos usuários o acesso a seus dados vitais. Esses arquivos criptografados ainda estão presentes no sistema da vítima, mas como foram criptografados por ransomware, não podem ser acessados.
Depois que os dados são criptografados, o agente malicioso exige um resgate de sua vítima em troca da liberação dos dados infectados. A vítima também recebe instruções sobre como pagar para obter uma chave de descriptografia em troca. Os invasores geralmente exigem pagamento em Bitcoin.
Aqui estão os cinco estágios de um ataque ransomware:
Etapa 1: Exploração inicial
O primeiro estágio de um ataque de ransomware é a exploração inicial, em que um invasor configura o ransomware para invadir o sistema da vítima e, se tiver como alvo uma organização, obter uma posição na rede da empresa. Existem muitos métodos que os invasores podem utilizar para esta etapa inicial, como enviar e-mails de phishing, força bruta em servidores vulneráveis, redirecionar vítimas para sites maliciosos ou comprometer uma conexão de área de trabalho remota.
O phishing é de longe o método mais popular entre os cibercriminosos para realizar essa etapa inicial.
Etapa 2: Instalação
Uma vez que o ransomware invade o sistema da vítima, ocorre o segundo estágio de instalação. Cada vez que o sistema da vítima for inicializado, o código malicioso será executado para ganhar persistência na rede. Nesta fase, o ransomware também pode verificar e decidir se vale a pena infectar o sistema da vítima alvo ou não e se deve prosseguir com o ataque. Por exemplo, se ele detectar que a máquina de destino é um sandbox ou uma máquina virtual, ele poderá sair silenciosamente.
Etapa 3: Destruição do Backup
No terceiro estágio do ataque, o ransomware verifica se há arquivos de backup no sistema da vítima e os destrói. Isso cria uma sensação de medo e, assim, aumenta a chance de o resgate ser pago.
Etapa 4: Criptografia
Nesta quarta fase do ataque, o ransomware executa seu código malicioso e começa a criptografar os dados críticos da vítima. Para conseguir isso, ele estabelece uma conexão com um servidor de comando e controle, que detém a chave de criptografia e fornece instruções para a criptografia. Também pode fornecer instruções sobre quais formatos de arquivo específicos devem ser direcionados para criptografia.
Etapa 5: Extorsão e chantagem
Na fase final do ataque, o invasor exige o pagamento em troca da chave de descriptografia usada para recuperar os arquivos infectados. Uma mensagem de resgate aparece na tela da vítima, informando que ela foi alvo e comprometida. Esta mensagem de resgate também contém instruções sobre como o pagamento deve ser feito. Geralmente, as vítimas recebem um prazo específico para fazer esse pagamento para recuperar seus dados importantes.
É bastante evidente que um ataque de ransomware não é um ataque de uma etapa; pelo contrário, é uma cadeia de eventos capaz de causar destruição em massa, especialmente se realizada em grande escala.
A chave para combater esses ataques é conscientizar as organizações e equipes de segurança sobre como esse tipo de ataque funciona. Com uma compreensão do ciclo de vida do ransomware, usuários e equipes de segurança podem ser mais proativos em suas estratégias de prevenção e recuperação. As organizações também devem adotar uma solução SIEM como o ManageEngine Log360, que ajuda a detectar os sinais indicadores de ransomware por meio de correlação de eventos em tempo real, alertas, análise de causa raiz e detecção de anomalias. Esses recursos fornecem vários caminhos para combater ataques de ransomware em todas as etapas.
Experimente uma avaliação gratuita de 30 dias do Log360 hoje para testar a solução por si mesmo.
Esse post foi traduzido da nossa página em inglês SIEM Expert Talks, e sua autoria original é de Kritika Sharma.