Grupos de ransomware ativam encriptação remota intencionalmente nos ataques

A Sophos divulgou o relatório “CryptoGuard: An Asymmetric Approach to the Ransomware Battle” que concluiu que alguns dos grupos de ransomware mais prolíficos e ativos, incluindo Akira, ALPHV/BlackCat, LockBit, Royal ou Black Basta, estão a utilizar deliberadamente a encriptação remota nos seus ataques. Nos ataques de encriptação remota, também conhecidos como ransomware remoto, utilizam um endpoint comprometido e muitas vezes mal protegido para encriptar dados noutros dispositivos ligados à mesma rede.

O Sophos CryptoGuard é a tecnologia anti ransomware que a Sophos adquiriu em 2015 e que está incluída em todas as licenças Sophos Endpoint. O CryptoGuard monitoriza a encriptação maliciosa de ficheiros e fornece proteção imediata e capacidades de rollback (restauro de ficheiros encriptados para a versão anterior ao momento do ataque), incluindo quando o próprio ransomware nunca aparece num host protegido.

“As empresas podem ter milhares de computadores ligados à sua rede e, com o ransomware remoto, basta haver um dispositivo mal protegido para comprometer toda a rede. Os atacantes sabem disso, pelo que procuram esse ‘elo mais fraco’ – e a maioria das empresas tem pelo menos um. A encriptação remota vai continuar a ser um problema permanente para as equipas de defesa e, com base nos alertas que temos visto, a utilização deste método de ataque está a aumentar de forma constante”, afirmou, em comunicado, Mark Loman, Vice-President, Threat Research da Sophos e cocriador do CryptoGuard.

Uma vez que este tipo de ataque envolve a encriptação remota de ficheiros, os métodos tradicionais de proteção anti ransomware implementados em dispositivos remotos não ‘veem’ os ficheiros maliciosos ou a sua atividade, pelo que não os conseguem proteger da encriptação não autorizada e da potencial perda de dados. A tecnologia Sophos CryptoGuard, no entanto, analisa o conteúdo dos ficheiros para ver se algum dado foi encriptado e deteta atividade de ransomware em qualquer dispositivo numa rede, mesmo que não haja malware nele.

Em 2013, o CryptoLocker foi o primeiro grupo de ransomware prolífico na utilização da encriptação remota com encriptação assimétrica, também conhecida como encriptação de chave pública. Desde então, os atacantes têm sido capazes de escalar a utilização de ransomware, devido a falhas de segurança omnipresentes e contínuas nas organizações em todo o mundo e ao advento das criptomoedas.

“Quando reparámos pela primeira vez que o CryptoLocker tirava partido da encriptação remota, há dez anos, previmos que esta tática se tornaria num desafio para os defensores. Outras soluções centram-se na deteção de binários maliciosos ou na sua execução; no caso da encriptação remota, o malware e a execução residem num computador diferente (desprotegido) daquele que tem os ficheiros encriptados. A única forma de o impedir é vigiar os ficheiros e protegê-los. Foi por isso que inovámos a solução CryptoGuard”, continou Mark Loman.

“O ransomware remoto é um problema proeminente para as organizações e está a contribuir para a longevidade do ransomware em geral. Dado que a leitura de dados através de uma ligação de rede é mais lenta do que a partir de um disco local, temos visto atacantes, como os grupos LockBit e Akira, a encriptar estrategicamente apenas uma fração de cada ficheiro. Esta abordagem tem como objetivo maximizar o impacto num mínimo de tempo, reduzindo ainda mais a janela para os defensores repararem no ataque e darem uma resposta. A abordagem da Sophos à tecnologia anti ransomware impede tanto os ataques remotos como os que encriptam apenas 3% de um ficheiro. Esperamos continuar a informar as equipas de defesa sobre este método de ataque persistente, para que possam proteger adequadamente os dispositivos”, terminou Mark Loman.