Sempre que trabalhamos com vítimas de ransomware, passamos algum tempo revisando nossos registros de telemetria da semana anterior ou duas. Esses registros às vezes incluem anomalias comportamentais que (por conta própria) podem não ser intrinsecamente maliciosas, mas no contexto de um ataque que já ocorreu, podem ser considerados como um indicador inicial de um ator de ameaça conduzindo operações na rede da vítima.
Se virmos qualquer um desses cinco indicadores, em particular, vamos pulá-los imediatamente. Qualquer um deles encontrado durante uma investigação é quase certamente uma indicação de que os invasores vasculharam: para ter uma ideia de como é a rede e saber como eles podem obter as contas e o acesso de que precisam para lançar um ataque de ransomware.
Os invasores usam ferramentas de administração legítimas para preparar o terreno para ataques de ransomware. Sem saber quais ferramentas os administradores normalmente usam em suas máquinas, pode-se facilmente ignorar esses dados. Em retrospecto, esses cinco indicadores representam bandeiras vermelhas investigativas.
Um scanner de rede, especialmente em um servidor.
Os invasores geralmente começam obtendo acesso a uma máquina onde procuram informações: se é um Mac ou Windows, qual é o domínio e o nome da empresa, que tipo de direitos de administrador o computador possui e muito mais. Em seguida, os invasores vão querer saber o que mais está na rede e o que eles podem acessar. A maneira mais fácil de determinar isso é verificar a rede. Se um scanner de rede, como AngryIP ou Advanced Port Scanner, for detectado, questione a equipe de administração. Se ninguém quiser usar o scanner, é hora de investigar.
Ferramentas para desativar o software antivírus.
Uma vez que os invasores tenham direitos de administrador, eles freqüentemente tentarão desabilitar o software de segurança usando aplicativos criados para ajudar na remoção forçada de software, como Process Hacker, IOBit Uninstaller, GMER e PC Hunter. Esses tipos de ferramentas comerciais são legítimos, mas nas mãos erradas, as equipes de segurança e os administradores precisam questionar por que eles apareceram repentinamente.
A presença de MimiKatz
Qualquer detecção de MimiKatz em qualquer lugar deve ser investigada. Se ninguém na equipe de administração pode atestar o uso do MimiKatz, isso é um sinal de alerta porque é uma das ferramentas de hacking mais comumente usadas para roubo de credencial. Os invasores também usam o Microsoft Process Explorer, incluído no Windows Sysinternals, uma ferramenta legítima que pode despejar o LSASS.exe da memória, criando um arquivo .dmp. Eles podem então levar isso para seu próprio ambiente e usar o MimiKatz para extrair com segurança nomes de usuário e senhas em sua própria máquina de teste.
Padrões de comportamento suspeito
Qualquer detecção ocorrendo no mesmo horário todos os dias, ou em um padrão repetido, geralmente é uma indicação de que algo mais está acontecendo, mesmo que arquivos maliciosos tenham sido detectados e removidos. As equipes de segurança devem perguntar “por que está voltando?” Os responsáveis pela resposta ao incidente sabem que normalmente significa que algo malicioso está ocorrendo e que (ainda) não foi identificado.
Ataques de teste
Ocasionalmente, os invasores implantam pequenos ataques de teste em alguns computadores para ver se o método de implantação e o ransomware são executados com êxito ou se o software de segurança os impede. Se as ferramentas de segurança interrompem o ataque, elas mudam de tática e tentam novamente. Isso mostrará sua mão e os invasores saberão que seu tempo agora é limitado. Muitas vezes, é uma questão de horas antes que um ataque muito maior seja lançado.
Recursos adicionais
Para obter mais dicas sobre como minimizar o risco de ser vítima de ransomware, fale com os nossos especialistas:
Telefone: (62) 3932-1212
E-Mail: contato@inntecnologia.com
