Ransomware como serviço:

a nova face dos crimes

cibernéticos industrializados
O mais novo modelo de negócios dos crimes cibernéticos, ataques
operados por humanos, incentiva os criminosos de diferentes habilidades.

O ransomware, uma das ameaças cibernéticas mais persistentes e generalizadas, continua evoluindo, e sua forma mais recente
apresenta uma nova ameaça para as organizações em todo o mundo. A evolução do ransomware não envolve novos avanços
na tecnologia. Em vez disso, envolve um novo modelo de negócios: ransomware como serviço (RaaS).

O ransomware como serviço (RaaS) é um arranjo entre um operador, que desenvolve e mantém as ferramentas para capacitar
operações de extorsão, e um afiliado, que implanta a carga de ransomware. Quando o afiliado realiza um ataque bem-sucedido
de ransomware e extorsão, ambas as partes lucram.

O modelo de RaaS reduz a barreira de entrada para os invasores que podem não ter a habilidade ou os recursos técnicos para
desenvolver suas próprias ferramentas, mas podem gerenciar testes de penetração prontos e ferramentas do sysadmin para
executar ataques. Esses criminosos de nível inferior também podem simplesmente comprar o acesso à rede de um grupo
criminoso mais sofisticado que já violou um perímetro.

Embora os afiliados de RaaS usem cargas de ransomware fornecidas por operadores mais sofisticados, eles não fazem parte
da mesma "gangue" de ransomware. Na verdade, eles têm suas próprias operações distintas atuando na economia global de
crimes cibernéticos.

Avanços dos recursos de criminosos cibernéticos e expansão da

economia global de criminosos cibernéticos
O modelo de ransomware como serviço facilitou um rápido refinamento e industrialização do que os criminosos menos
habilidosos podem realizar. No passado, esses criminosos menos sofisticados podem ter usado o malware de commodity que
criaram ou compraram para executar ataques que são limitados em escopo, mas agora podem obter tudo o que precisam,
desde o acesso às redes até as cargas de ransomware, de seus operadores de RaaS (por um preço, claro). Muitos programas
de RaaS incorporam ainda um conjunto de ofertas de suporte a extorsão, incluindo a hospedagem de sites de vazamento
e a integração em mensagens de resgate, bem como a negociação para descriptografia, pressão para pagamento e serviços
de transação de criptomoedas.

Isso significa que o impacto de um ataque bem-sucedido de ransomware e extorsão permanece

o mesmo, independentemente das habilidades do invasor.

Descoberta e exploração de vulnerabilidades de rede... por um preço

Uma forma como os operadores de RaaS agregam valor aos seus afiliados é com o fornecimento de acesso a redes
comprometidas. Os corretores de acesso verificam a Internet à procura de sistemas vulneráveis, que podem comprometer
e reservar para lucros posteriores.

Para serem bem-sucedidos, os invasores precisam de credenciais. As credenciais comprometidas são tão importantes para
esses ataques que, quando os criminosos cibernéticos vendem o acesso à rede, em muitos casos, o preço inclui uma conta
de administrador garantida.

O que os criminosos fazem com o acesso depois de obtê-lo pode variar muito, dependendo dos grupos e seus workloads ou
motivações. Portanto, o tempo entre o acesso inicial e uma implantação de acesso ao teclado pode variar de minutos a dias ou
mais, mas quando as circunstâncias assim permitem, os danos podem ser causados a uma velocidade vertiginosa. Na verdade,
foi observado que o tempo entre o acesso inicial e o resgate completo (incluindo a entrega de um corretor de acesso a um
afiliado de RaaS) leva menos de uma hora.

Manutenção da movimentação da economia: métodos de acesso

persistentes e discretos
Depois que os invasores obtêm acesso a uma rede, eles não gostam da ideia de sair, mesmo depois de coletar seu resgate. Na
verdade, pagar o resgate pode não reduzir o risco para uma rede afetada e, possivelmente, só serve para financiar criminosos
cibernéticos, que continuarão tentando monetizar ataques com diferentes cargas de malware ou ransomware até que sejam expulsos.

A entrega que transcorre entre diferentes invasores à medida que ocorrem transições na economia de criminosos cibernéticos
significa que vários grupos de atividade podem persistir em um ambiente usando vários métodos diferentes das ferramentas
usadas em um ataque de ransomware. Por exemplo, o acesso inicial adquirido por um trojan bancário leva a uma implantação
do Cobalt Strike, mas o afiliado de RaaS que adquiriu o acesso pode optar por usar uma ferramenta de acesso remoto, como o
TeamViewer, para operar sua campanha.

O uso de ferramentas e configurações legítimas para persistir versus implantes de malware, como o Cobalt Strike, é uma técnica
popular entre os invasores de ransomware para evitar a detecção e permanecer residentes em uma rede por mais tempo.

Outra técnica popular de invasores é criar novas contas de usuário do backdoor, sejam elas locais ou no Active Directory, que
podem ser adicionadas a ferramentas de acesso remoto, como uma VPN (rede privada virtual) ou área de trabalho remota. Os
invasores de ransomware também foram observados editando as configurações em sistemas para habilitar a área de trabalho
remota, reduzir a segurança do protocolo e adicionar novos usuários ao grupo de usuários da área de trabalho remota.

Afiliado 1 Corretor de acesso Emails maliciosos

Ransomware

Afiliado 2 Corretor de acesso Força bruta

como serviço
organização

Afiliado 3 Corretor de acesso Vulnerabilidades

Enfrentamento dos adversários mais evasivos e astutos do mundo

Uma das qualidades de RaaS que torna a ameaça tão preocupante é como ela depende de invasores humanos que podem
tomar decisões informadas e calculadas e variar os padrões de ataque com base no que encontram nas redes invadidas,
garantindo que alcancem seus objetivos.

A Microsoft cunhou o termo ransomware operado por humanos para definir essa categoria de ataques como uma cadeia de
atividades que culmina em uma carga de ransomware, não como um conjunto de cargas de malware a serem bloqueadas.

Embora a maioria das campanhas de acesso inicial dependa do reconhecimento automatizado, depois que o ataque passar para
a fase de acesso ao teclado, os invasores usarão seu conhecimento e habilidades para tentar derrotar os produtos de segurança
no ambiente.

Os invasores de ransomware são motivados por lucros fáceis, portanto, aumentar seus custos por meio do fortalecimento da
segurança é fundamental para interromper a economia de criminosos cibernéticos. Essa tomada de decisão humana significa
que, mesmo que os produtos de segurança detectem estágios de ataque específicos, os próprios invasores não são totalmente
expulsos. Eles tentarão continuar se não forem bloqueados por um controle de segurança. Em muitos casos, se uma ferramenta
ou carga for detectada e bloqueada por um produto antivírus, os invasores simplesmente vão recorrer a uma ferramenta
diferente ou modificar sua carga.

Os invasores também estão cientes dos tempos de resposta do centro de operações de segurança (SOC) e dos recursos e
limitações das ferramentas de detecção. No momento em que o ataque chegar ao estágio de exclusão de backups ou cópias de
sombra, ele estará a minutos da implantação do ransomware. O adversário provavelmente já terá realizado ações prejudiciais,
como a exfiltração de dados. Esse conhecimento é fundamental para os SOCs responderem ao ransomware: investigar
detecções como o Cobalt Strike antes do estágio de implantação de ransomware e executar ações rápidas de remediação
e procedimentos de resposta a incidentes (IR) são essenciais para conter um adversário humano.

Fortalecimento da segurança contra ameaças, evitando a fadiga de alertas

Uma estratégia de segurança durável contra adversários humanos determinados deve incluir metas de detecção e mitigação.
Não é suficiente depender apenas da detecção porque 1) alguns eventos de infiltração são praticamente indetectáveis
(parecidos com várias ações inocentes) e 2) não é incomum que os ataques de ransomware sejam negligenciados devido
à fadiga de alertas causada por vários alertas de produtos de segurança diferentes.

Como os invasores têm várias maneiras de enganar e desabilitar os produtos de segurança e são capazes de imitar
o comportamento de administrador legítimo para se misturarem o máximo possível, as equipes de segurança
de TI e os SOCs devem apoiar seus esforços de detecção com medidas de proteção de segurança.

Os invasores de ransomware são motivados por lucros fáceis, portanto, aumentar seus custos por meio do fortalecimento
da segurança é fundamental para interromper a economia de criminosos cibernéticos.

Veja a seguir algumas etapas que as organizações podem realizar para se protegerem:

Criar uma prática a proteção de credenciais:

Desenvolva uma segmentação de rede lógica baseada em privilégios que possa ser implementada juntamente com
a segmentação de rede para limitar o movimento lateral.

Auditar a exposição de credenciais:

Auditar a exposição de credenciais é fundamental na prevenção de ataques de ransomware e crimes cibernéticos em geral.
As equipes de segurança de TI e os SOCs podem trabalhar em conjunto para reduzir os privilégios administrativos e entender
o nível em que suas credenciais são expostas.

Fortalecer a nuvem:
À medida que os invasores avançam para os recursos de nuvem, é importante proteger os recursos e as identidades na nuvem,
bem como as contas na infraestrutura local. As equipes de segurança devem se concentrar no fortalecimento da infraestrutura
de identidades de segurança, na aplicação da autenticação multifatorial (MFA) em todas as contas e no tratamento de
administradores de nuvem/administradores locatários com o mesmo nível de segurança e proteção de credenciais que os
administradores de domínio.

Fechar pontos cegos de segurança:

As organizações devem verificar se suas ferramentas de segurança estão em execução na configuração ideal e executam
verificações de rede regulares para garantir que um produto de segurança proteja todos os sistemas.

Reduzir a superfície de ataque:

Estabeleça regras de redução da superfície de ataque para evitar técnicas comuns de ataque que são usadas em ataques de
ransomware. Em ataques observados de vários grupos de atividade associados a ransomware, as organizações com regras
claramente definidas foram capazes de mitigar ataques em seus estágios iniciais, impedindo a atividade de acesso ao teclado.

Avaliar o perímetro:
As organizações devem identificar e proteger os sistemas do perímetro que os invasores podem usar para acessar a rede.
Interfaces de verificação públicas, como RiskIQ, podem ser usadas para aumentar os dados.

Fortalecer os ativos voltados para a Internet:

Os invasores de ransomware e os corretores de acesso usam vulnerabilidades não corrigidas, sejam elas já divulgadas ou de dia
zero, principalmente no estágio de acesso inicial. Eles também adotam novas vulnerabilidades rapidamente. Para reduzir ainda
mais a exposição, as organizações podem usar os recursos de gerenciamento de ameaças e vulnerabilidades em produtos de
detecção e resposta de ponto de extremidade para descobrir, priorizar e remediar vulnerabilidades e erros de configuração.

Prepare-se para a recuperação:

A melhor defesa de ransomware deve incluir planos para se recuperar rapidamente em caso de ataque. Recuperar-se de um
ataque custará menos do que pagar um resgate, portanto, realize backups regulares de seus sistemas críticos e proteja esses
backups contra criptografia e apagamento deliberados. Se possível, guarde backups em um armazenamento imutável online
ou totalmente offline ou fora do local.

Mais defesa contra ataques de ransomware

A ameaça multifacetada da nova economia de ransomware e a natureza evasiva dos ataques de ransomware operado por
humanos exigem que as organizações adotem uma abordagem abrangente de segurança.

As etapas descritas acima ajudam a defender contra padrões comuns de ataque e são muito eficientes na prevenção de
ataques de ransomware. Para fortalecer ainda mais as defesas contra ransomware tradicional e operado por humanos e outras
ameaças, use ferramentas de segurança que possam fornecer visibilidade aprofundada entre domínios e recursos unificados de
investigação.

Para obter uma visão geral adicional do ransomware completo com dicas e práticas recomendadas para prevenção, detecção
e correção, consulte Proteja sua organização contra ransomware e para obter informações ainda mais aprofundadas sobre
ransomware operado por humanos, leia Ransomware como serviço: como entender a economia Gig de crimes cibernéticos
e proteger-se da pesquisadora sênior de segurança Jessica Payne.

Compartilhe este infográfico:

Fique por dentro dos problemas
de segurança em evolução
visitando o Security Insider.

©2022 Microsoft Corporation. Todos os direitos reservados. Este documento é fornecido "no estado em que se encontra". As informações e as opiniões expressas nele,
incluindo URLs e outras referências a sites da Internet, podem ser alteradas sem aviso prévio. Você assume o risco de utilização.