Dicas para virar o jogo contra o ransomware

Os métodos usados nos ataques de ransomware já são bem conhecidos dos profissionais de segurança. No entanto, as empresas esbarram em um problema chave na prevenção dessa ameaça: a confiança excessiva em técnicas de detecção baseadas em assinaturas.

As técnicas usadas pelos hackers são efetivas e difíceis de eliminar independente do quanto os usuários finais sejam bem educados e do quanto as empresas cuidem da atualização de seus softwares. Isso inclui e-mails de spear phishing e downloads que usam kits de exploração para tirar vantagem de vulnerabilidades nos sistemas.

Os ransomwares também passaram a adotar uma abordagem baseada na rede, que tem como alvo os servidores vulneráveis, usando ferramentas de testes de penetração acessíveis. Quando estão dentro da rede, os cibercriminosos coletam credenciais e começam a criptografar os arquivos.

Comportamento ainda é importante

Técnicas baseadas em assinatura não são capazes de detectar ransomware. Há um número enorme de variantes e assinaturas associadas ao ransomware crescendo rapidamente. Poucas são as características comuns entre eles que permitem identificá-los dessa maneira. Por isso, ao buscar comportamentos específicos em vez de assinaturas, as empresas têm mais chances de deter o ransomware antes que ele se instale.

Persistência

Quase todas as tentativas de ransomware persistem em um sistema. Ou seja, a ameaça permanece ativa. Na maioria dos casos, os autores de ransomware usam localizações muito similares àquelas que usam malwares tradicionais que efetivamente permitem novas tentativas. O ransomware Petya, que é capaz de criptografar HDs inteiros, é capaz de sobrescrever o master boot record (MBR) sozinho. Isso torna a persistência um ótimo foco na detecção de comportamentos típicos de malware.

Ferramentas do Windows

Os criadores de ransomwares amam ferramentas do Windows, especialmente frameworks baseados em scripts. Esses frameworks são usados em uma grande variedade de maneiras, incluindo persistência, deleção de cópias de sombra, comunicação e até a própria criptografia.

O ransomware é considerado uma das maiores ameaças em 2016. Baixe o whitepaper da PROOF Ransomware: Conheça a praga que vai dominar 2016 e saiba quais são as principais características desse tipo de ataque e como a PROOF pode ajudar a proteger seu ambiente.

Com Security Week