Entendendo a dinâmica dos incidentes de segurança com ransomware

Martiniano Mallavibarrena    3 agosto, 2021
blog-incidente-ransomware

O Fenômeno ransomware

Se há um termo que ganhou os primeiros lugares nas manchetes da mídia nos últimos dois anos, o ransomware é certamente o vencedor claro. É rara a semana quando a mídia não nos fala sobre um incidente usando esse tipo de abordagem, e é raro o setor que se livrou desse tipo de maldição bíblica de última geração.

Se você realmente entende a fundo ou não, o público sempre traduz este termo como sinônimo de ataques graves de computador e um nível de danos significativos às empresas. Normalmente, a narrativa da mídia é um pouco confusa porque fala sobre o impacto (o site que não está operacionalizando ou a fábrica que não pode abrir) e não tanto sobre o incidente em si, que geralmente aconteceu há algum tempo e geralmente tem outras histórias para contar.

Esta publicação inicia uma série de quatro artigos onde tentaremos compartilhar nossa visão próxima ao fenômeno, narrando como a dinâmica desse tipo de incidentes de cibersegurança são vividas quando eles são uma realidade em nossa organização.

Resposta a incidentes do Ransomware em um relance

Em um incidente desse tipo, um ator terá tido acesso à infraestrutura do cliente e terá iniciado uma sequência de etapas facilmente previsíveis onde ferramentas serão baixadas (para analisar seu ambiente, detectar máquinas e endereços IP, listar sistemas e usuários etc.) e, em seguida, tentar fazer diferentes movimentos laterais para uma escalada progressiva de privilégios que otimizam sua atividade eliminando a resistência do ambiente. As conexões com o seu C2 (centro de operações do atacante, conhecido como Comando & Controle) serão frequentes nesses movimentos.

Os prazos necessários para realizar as múltiplas fases utilizadas para ocorrer várias semanas, embora nas últimas experiências durante 2021, conseguimos confirmar prazos mais curtos (em torno de uma semana no total, em muitos casos) o que torna, se possível, mais necessária e urgente as plataformas de detecção e resposta (EDR, XDR etc.).

Uma vez que o ator tenha o nível desejado de conhecimento e acesso, o ataque realmente ocorrerá, seja porque uma grande quantidade de dados é exfiltred e criptografado, ou porque ele é apenas filtrado (não todos os atores que seguem esse padrão exfiltrando os dados). Seja como for, em muito pouco tempo, um número significativo de pastas e arquivos de nosso cliente terão sido comprometidos e criptografados, aparecendo agora as famosas «notas de resgate» (análogas às tradicionais quando se trata de sequestros de pessoas) onde geralmente somos informados do ataque, sobre seus autores (que serão identificados por algum nome de guerra, organização etc.) e sobre as condições do «resgate».

A recuperação dos arquivos criptografados no ataque geralmente é muito complexa (os mecanismos de criptografia são muito robustos) e, portanto, o ator nos convidará a visitar uma página no TOR (Dark Web) onde podemos verificar quanto tempo temos que fazer o pagamento (contagem regressiva) e a maneira esperada de fazê-lo (geralmente, com criptomoedas, para dificultar o rastreamento).

É importante destacar o fato de que, nos últimos meses, a abordagem RaaS (Ransomware as a Service) tem sido usada de forma muito intensa. Nesses casos, um primeiro ator desenvolve um software para realizar ataques com ransomware e é compartilhado com um ator diferente que baseado em diferentes modelos (compartilhamento de benefícios, pagamento mensal etc.) finalmente realizará os ataques. Neste modelo, o primeiro ator dará suporte técnico ao segundo para que o ator realmente atacando não deve ter grande conhecimento de tecnologia ofensiva.

Uma vez que a organização seja vítima de um ataque com o Ransomware, um número significativo de computadores (geralmente sempre servidores e colateralmente, estações de trabalho) serão criptografados e sua operação começará a se degradar (os atacantes não criptografam completamente os sistemas para permitir que a nota de resgate seja exibida) ou paradas completamente.

Em muitos casos, os próprios serviços de TI/Segurança do cliente detectarão o ataque ou pelo menos alguns aspectos. Talvez eles possam conter um pouco do ataque. De qualquer forma, a situação será óbvia em questão de minutos o impacto sobre os serviços será absoluto.

Quando uma organização sofre um incidente de segurança baseado em ransomware, ela iniciará um processo de resposta a incidentes (IR) que normalmente segue várias práticas recomendadas de entidades internacionais como NIST (EUA) ou ENISA (Europa). Durante este processo, tentaremos essencialmente cobrir três etapas:

  1. Contenção (impedindo que os danos se espalhem e a ameaça cresça)
  2. Erradicação (remover a presença do ator/malware para que ele não seja reativado no futuro)
  3. Recuperação (de sistemas e serviços, com segurança).

É raro que a empresa/organização tenha recursos suficientes ou ativados (empresas de serviços já ativas) para enfrentar esse processo de IR apenas com recursos próprios e é por isso que a oferta de serviços DFIR (Perícia Digital, Resposta a Incidentes) da Telefónica Tech geralmente é necessária.

Como realizamos um processo de IR-Ransomware

A equipe de resposta a incidentes da Telefónica Tech possui recursos em vários países e oferece vários serviços de IR globalmente, tendo realizado trabalhos para clientes na Europa, EUA e LATAM. O serviço de RI é entregue em espanhol e inglês.

O principal elemento no qual todo o trabalho orbita é uma plataforma do tipo EDR (Endpoint Detection & Response). Caso o cliente não tenha um sistema desse tipo já implantado, a equipe ativa na nuvem e implanta em questão de minutos algumas das soluções de nossos parceiros tecnológicos.

A primeira reunião com o cliente é essencial para poder dar algumas primeiras diretrizes de orientação e apoiar a tomada de decisão do cliente: cortar ou minimizar as comunicações externas, implantar ou reutilizar alguma plataforma EDR, desligamento preventivo de outros sistemas e comunicações, comunicação com mídia, usuários, clientes etc. Bem como a comunicação correspondente com o órgão de proteção de dados que se aplica no caso específico.

Uma vez que o cliente toma as primeiras decisões, uma equipe de trabalho mista é formada na qual diferentes funções técnicas tanto da Telefónica Tech quanto do cliente (ou terceiros relacionados, como fabricantes ou prestadores de serviços) participam e que iniciarão uma rotina de trabalho e pontos de controle regulares no modo 24×7 (o tempo de reação é essencial).

Após um período que normalmente não cai abaixo de 15 dias, a situação é relativamente estável, a ameaça terá sido contida e erradicada e o nível de recuperação geralmente é alto ou total (talvez com alguma perda de dados devido ao impacto do ataque). É comum a realização de sessões paralelas para fornecer suporte ao cliente em paralegal, regulatório, reclamações às forças policiais ou ao processo de comunicação.

Nos seguintes artigos desta série veremos com mais detalhes a operação específica dos três principais grupos que da Telefónica Tech trabalham nesses processos de ir-ransomware:

  • O DFIR (coordenação geral, trabalho forense diversificado, análise de malware etc.)
  • A chamada Caça da Ameaça (que investigará e apoiará o processo de várias maneiras usando o console EDR como ponto focal)
  • O grupo de inteligência cujos relatórios e sugestões específicas permitirão concentrar-se de forma ideal todo o trabalho de contenção e investigação forense.

Assim que o processo de IR terminar, a equipe da Telefónica Tech concluirá a entrega da documentação relacionada, sempre incluindo um relatório final de investigação e vários relatórios de inteligência colateral. Na reunião final, o relatório será revisto, as preocupações da equipe de clientes serão resolvidas e as recomendações de segurança mais importantes serão revistas.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *