Análise Detalhada de um Ataque de Ransomware: Etapas, Técnicas, Recursos e Linha do Tempo (Baseado no MITRE ATT&CK)

 

Análise Detalhada de um Ataque de Ransomware: Etapas, Técnicas, Recursos e Linha do Tempo (Baseado no MITRE ATT&CK)

Um ataque de ransomware é uma operação multifacetada que pode causar sérios danos a organizações de todos os tamanhos. A seguir, detalho cada etapa do ataque, as técnicas comuns utilizadas, os recursos técnicos envolvidos e como essas etapas se alinham com o framework MITRE ATT&CK.

Visão Geral do Ransomware

Definição: Ransomware é um tipo de malware que criptografa os arquivos de um sistema ou dispositivo, tornando-os inacessíveis. Os atacantes exigem um resgate (ransom) em troca da chave de descriptografia.

Objetivo: Extorsão financeira. Os criminosos buscam lucro ao forçar as vítimas a pagar para recuperar seus dados.

Impacto:

    Interrupção de operações
    Perda de dados
    Custos financeiros (resgate, recuperação, multas)
    Danos à reputação

Linha do Tempo Detalhada do Ataque de Ransomware (Com Referências ao MITRE ATT&CK)

1. Reconhecimento (TA0043)

    Objetivo: Coletar informações sobre a vítima para planejar o ataque.
    Técnicas:
        Varredura de rede (Network Scanning): Identificar sistemas vulneráveis e serviços expostos.
            MITRE ATT&CK: T1046 - Indicator Removal on Host
        Engenharia social (Social Engineering): Obter informações sobre funcionários, processos internos e infraestrutura.
            MITRE ATT&CK: T1598 - Phishing for Information
        Busca em fontes abertas (OSINT - Open Source Intelligence): Coletar dados de redes sociais, websites da empresa, LinkedIn, etc.
            MITRE ATT&CK: T1593 - Search Open Technical Databases
    Recursos: Ferramentas de varredura de rede (Nmap, Shodan), frameworks de OSINT, perfis falsos em redes sociais.

2. Acesso Inicial (TA0001)

    Objetivo: Infiltrar-se na rede da vítima.
    Técnicas:
        Phishing (T1566): Enviar e-mails maliciosos com anexos ou links que instalam o ransomware.
            MITRE ATT&CK: T1566.001 - Spearphishing Attachment
            MITRE ATT&CK: T1566.002 - Spearphishing Link
        Exploração de vulnerabilidades (T1190): Aproveitar falhas de segurança em softwares desatualizados ou mal configurados.
            MITRE ATT&CK: T1190 - Exploit Public-Facing Application
        Ataques de drive-by download (T1189): Infectar sistemas quando usuários visitam websites comprometidos.
            MITRE ATT&CK: T1189 - Drive-by Compromise
        Uso de credenciais roubadas (T1078): Acessar sistemas utilizando nomes de usuário e senhas comprometidas.
            MITRE ATT&CK: T1078 - Valid Accounts
    Recursos: Kits de exploração (exploit kits), ferramentas de phishing, listas de credenciais roubadas, softwares vulneráveis.

3. Execução (TA0002)

    Objetivo: Executar o código do ransomware no sistema da vítima.
    Técnicas:
        Execução de scripts (T1059): Utilizar PowerShell, Python, ou outros scripts para executar o ransomware.
            MITRE ATT&CK: T1059.001 - PowerShell
            MITRE ATT&CK: T1059.005 - Visual Basic Script
        Execução via software legítimo (T1218): Usar ferramentas legítimas para executar o ransomware (ex: mshta.exe).
            MITRE ATT&CK: T1218.005 - Mshta
        Exploração de vulnerabilidades (T1203): Executar código através de vulnerabilidades exploradas.
            MITRE ATT&CK: T1203 - Exploitation for Client Execution
    Recursos: Executáveis maliciosos, scripts ofuscados, ferramentas de execução remota (ex: PsExec).

4. Persistência (TA0003)

    Objetivo: Garantir que o ransomware continue em execução mesmo após reinicializações do sistema.
    Técnicas:
        Chaves de registro (T1060): Adicionar entradas no registro do Windows para executar o ransomware na inicialização.
            MITRE ATT&CK: T1060 - Registry Run Keys / Startup Folder
        Tarefas agendadas (T1053): Criar tarefas agendadas para executar o ransomware periodicamente.
            MITRE ATT&CK: T1053.005 - Scheduled Task
        Serviços (T1569): Instalar o ransomware como um serviço do sistema.
            MITRE ATT&CK: T1569.002 - Systemd Service
    Recursos: Ferramentas de manipulação do registro, gerenciadores de tarefas agendadas, instaladores de serviços.

5. Elevação de Privilégios (TA0004)

    Objetivo: Obter privilégios administrativos para aumentar o impacto do ataque.
    Técnicas:
        Exploração de vulnerabilidades (T1068): Utilizar falhas de segurança para obter privilégios de administrador.
            MITRE ATT&CK: T1068 - Exploitation for Privilege Escalation
        Abuso de UAC (User Account Control) (T1088): Contornar o UAC para executar o ransomware com privilégios elevados.
            MITRE ATT&CK: T1088 - Bypass User Account Control
        Roubo de tokens de acesso (T1134): Obter tokens de acesso de contas privilegiadas.
            MITRE ATT&CK: T1134 - Access Token Manipulation
    Recursos: Exploits de elevação de privilégios, ferramentas de bypass UAC, sniffers de tokens de acesso.

6. Evasão de Defesa (TA0005)

    Objetivo: Evitar a detecção por softwares de segurança (antivírus, firewalls, etc.).
    Técnicas:
        Ofuscação de código (T1140): Tornar o código do ransomware difícil de ser analisado.
            MITRE ATT&CK: T1140 - Obfuscated Files or Information
        Desativação de ferramentas de segurança (T1562): Desabilitar antivírus, firewalls e outras ferramentas de segurança.
            MITRE ATT&CK: T1562.001 - Disable or Modify Tools
        Utilização de ferramentas legítimas (T1218): Usar ferramentas legítimas para executar ações maliciosas.
            MITRE ATT&CK: T1218 - System Binary Proxy Execution
        Modificação de arquivos (T1578): Modificar permissões de arquivos para evitar detecção.
            MITRE ATT&CK: T1578 - Modify Registry
    Recursos: Ofuscadores de código, ferramentas de desativação de segurança, utilitários legítimos do sistema.

7. Descoberta (TA0007)

    Objetivo: Identificar dados valiosos para criptografar e sistemas críticos para maximizar o impacto do ataque.
    Técnicas:
        Descoberta de arquivos e diretórios (T1083): Procurar por documentos, bancos de dados e outros arquivos importantes.
            MITRE ATT&CK: T1083 - File and Directory Discovery
        Descoberta de compartilhamentos de rede (T1135): Identificar compartilhamentos de rede para criptografar arquivos em outros sistemas.
            MITRE ATT&CK: T1135 - Network Share Discovery
        Descoberta de informações do sistema (T1082): Coletar informações sobre o sistema operacional, hardware e software instalados.
            MITRE ATT&CK: T1082 - System Information Discovery
    Recursos: Ferramentas de busca de arquivos, utilitários de enumeração de rede, scripts de coleta de informações do sistema.

8. Movimentação Lateral (TA0008)

    Objetivo: Espalhar o ransomware para outros sistemas na rede.
    Técnicas:
        Utilização de ferramentas administrativas (T1077): Usar ferramentas como PsExec ou WMI para executar o ransomware em outros sistemas.
            MITRE ATT&CK: T1077 - Windows Admin Shares
        Exploração de vulnerabilidades (T1210): Aproveitar falhas de segurança em outros sistemas para instalar o ransomware.
            MITRE ATT&CK: T1210 - Exploitation of Remote Services
        Roubo de credenciais (T1555): Usar credenciais roubadas para acessar outros sistemas.
            MITRE ATT&CK: T1555 - Credentials from Password Stores
    Recursos: Ferramentas de administração remota, exploits de vulnerabilidades, sniffers de credenciais.

9. Comando e Controle (TA0011)

    Objetivo: Manter comunicação com os sistemas infectados para coordenar o ataque e exfiltrar dados, se aplicável.
    Técnicas:
        Utilização de canais criptografados (T1573): Usar HTTPS ou outros protocolos criptografados para se comunicar com os servidores de comando e controle.
            MITRE ATT&CK: T1573 - Encrypted Channel
        Túnel de DNS (T1071): Utilizar o protocolo DNS para comunicação.
            MITRE ATT&CK: T1071 - Application Layer Protocol
        Proxy (T1090): Redirecionar o tráfego através de proxies para ocultar a localização do servidor de comando e controle.
            MITRE ATT&CK: T1090 - Proxy
    Recursos: Servidores de comando e controle (C2), ferramentas de tunelamento, proxies anônimos.

10. Exfiltração (TA0010) (Opcional)

    Objetivo: Extrair dados sensíveis antes da criptografia para aumentar a pressão sobre a vítima.
    Técnicas:
        Exfiltração via FTP (T1048): Transferir dados para servidores FTP controlados pelos atacantes.
            MITRE ATT&CK: T1048 - Exfiltration Over Alternative Protocol
        Exfiltração via HTTP (T1041): Enviar dados para servidores web controlados pelos atacantes.
            MITRE ATT&CK: T1041 - Exfiltration Over C2 Channel
        Exfiltração para a nuvem (T1567): Enviar dados para serviços de armazenamento em nuvem controlados pelos atacantes.
            MITRE ATT&CK: T1567 - Exfiltration Over Web Service
    Recursos: Servidores FTP, servidores web, contas de armazenamento em nuvem.

11. Impacto (TA0040)

    Objetivo: Criptografar os dados da vítima e exigir o resgate.
    Técnicas:
        Criptografia de dados (T1486): Utilizar algoritmos de criptografia fortes para tornar os dados inacessíveis.
            MITRE ATT&CK: T1486 - Data Encrypted for Impact
        Exibição de mensagem de resgate (T1489): Mostrar uma mensagem informando a vítima sobre a criptografia e exigindo o pagamento do resgate.
            MITRE ATT&CK: T1489 - Service Stop
        Apagamento de cópias de segurança (T1490): Excluir backups para dificultar a recuperação dos dados sem pagar o resgate.
            MITRE ATT&CK: T1490 - Inhibit System Recovery
    Recursos: Algoritmos de criptografia (AES, RSA), mensagens de resgate, ferramentas de exclusão de backups.

Recursos Técnicos Utilizados

    Malware:
        Ransomware (ex: Ryuk, LockBit, WannaCry)
        Loaders
        Droppers
        Exploits
    Ferramentas de Rede:
        Nmap
        Wireshark
        PsExec
        Mimikatz
    Infraestrutura:
        Servidores de Comando e Controle (C2)
        Servidores de Exfiltração
        Redes de Bots (Botnets)
    Plataformas:
        Windows
        Linux
        VMware ESXi (para ransomware direcionado a ambientes virtuais)

Medidas de Prevenção e Mitigação

    Backup:
        Implementar backups regulares e testar a restauração.
        Manter backups offline e em locais separados.
    Segurança de Rede:
        Segmentar a rede para limitar a propagação do ransomware.
        Implementar firewalls e sistemas de detecção de intrusão.
    Conscientização:
        Treinar funcionários para identificar e-mails de phishing e outras ameaças.
        Simular ataques de phishing para testar a conscientização.
    Atualizações:
        Manter softwares e sistemas operacionais atualizados com os patches de segurança mais recentes.
        Automatizar o processo de patching.
    Controle de Acesso:
        Implementar o princípio do menor privilégio.
        Utilizar autenticação multifator (MFA).
    Detecção e Resposta:
        Implementar sistemas de detecção de intrusão (IDS) e sistemas de prevenção de intrusão (IPS).
        Monitorar logs de segurança e alertas.
        Desenvolver um plano de resposta a incidentes.
    Segurança de Endpoint:
        Utilizar softwares antivírus e anti-malware atualizados.
        Implementar controle de aplicações para permitir apenas a execução de softwares autorizados.

Conclusão

Um ataque de ransomware é um processo complexo que envolve várias etapas e técnicas. Compreender cada fase do ataque, os recursos utilizados e como eles se alinham com o framework MITRE ATT&CK é crucial para implementar medidas de prevenção e mitigação eficazes. A adoção de uma abordagem de segurança em camadas, combinada com a conscientização dos usuários e a implementação de controles técnicos, pode ajudar a proteger sua organização contra essa ameaça crescente.

 

PROTEJA SUA EMPRESA AGORA COM NOSSO GUIA PARA ANÁLISE DE AMEAÇAS.

REVISÃO DAS POLÍTICAS DE SEGURANÇA DA INFORMAÇÃO

 

 

Dando continuidade ao nosso vídeo sobre Políticas de Segurança da Informação, hoje vamos falar sobre a revisão delas, conforme o item 5.1.2 da ISO 27001, e sua relação com a técnica T1485 do Mitre ATT&CK - Data Destruction.

O item 5.1.2 destaca a importância de revisar regularmente as políticas de segurança para garantir sua adequação e eficácia diante das constantes mudanças no ambiente de negócios e nas ameaças cibernéticas. Neste artigo, vamos explorar como essa prática assegura a continuidade dos negócios e protege contra riscos como a destruição de dados.

Item 5.1.2 - Revisão das Políticas de Segurança da Informação

O que é?

 
O item 5.1.2 da ISO 27001 trata da necessidade de revisar periodicamente as políticas de segurança da informação ou sempre que houver mudanças significativas. Essa revisão é essencial para garantir que as políticas continuem adequadas, eficazes e alinhadas com o ambiente de negócios e o cenário de ameaças em constante evolução.

Para que serve?

•     Continuidade e Adequação: Assegura que as políticas reflitam as melhores práticas atuais e respondam às novas ameaças.

•     Efetividade: Garante que as políticas estejam sendo implementadas de forma eficaz e que os colaboradores as compreendam e sigam.

•     Alinhamento com Objetivos de Negócio: Mantém as políticas sincronizadas com as metas e estratégias organizacionais.

Como utilizá-lo?

•     Planejamento Regular: Estabeleça um cronograma para revisões periódicas das políticas.

•     Análise de Mudanças: Revise as políticas sempre que houver mudanças significativas no ambiente de negócios ou no cenário de ameaças.

•     Envolvimento de Stakeholders: Inclua feedback de diferentes partes da organização para assegurar que as políticas sejam práticas e compreendidas por todos.

Mitre ATT&CK - T1485: Data Destruction

O que é?

A técnica T1485 - Data Destruction refere-se à eliminação intencional ou destruição de dados por adversários para causar dano ou interromper operações.

Relação com o Item 5.1.2:

•     Prevenção e Resposta: Políticas de segurança revisadas e atualizadas podem incluir procedimentos para prevenir a destruição de dados, como backups regulares, controle de acesso rigoroso e planos de resposta a incidentes.

•     Mitigação de Riscos: Ao garantir que as políticas estejam atualizadas, a organização pode implementar controles que minimizem o impacto de possíveis ataques focados em destruir dados.

Implementação Prática:

•     Backup e Recuperação: Inclua diretrizes claras sobre a realização de backups regulares e procedimentos de recuperação em caso de destruição de dados.

•     Treinamento e Conscientização: Eduque os colaboradores sobre as técnicas de destruição de dados e como identificar sinais de um ataque iminente.

Resumo

Revisar regularmente as políticas de segurança da informação é crucial para manter a organização protegida contra ameaças como a destruição de dados. A técnica T1485 do Mitre ATT&CK destaca a importância de estar preparado para responder a tais ameaças, ressaltando a necessidade de políticas robustas e atualizadas. Essa prática não apenas protege os ativos de informação, mas também assegura a continuidade e resiliência dos negócios.

Adquira já o nosso material para implementar segurança da informação e executar a análise de ameaças de forma eficaz!