Os atacantes têm aumentado a sua utilização de ransomware remoto em 62% a cada ano, com base nos ataques detetados e travados pela tecnologia Sophos CryptoGuard.
A Sophos, líder global em inovação e oferta de soluções de cibersegurança como serviço, divulgou o relatório “CryptoGuard: An Asymmetric Approach to the Ransomware Battle”, que concluiu que alguns dos grupos de ransomware mais prolíficos e ativos, incluindo Akira, ALPHV/BlackCat, LockBit, Royal ou Black Basta, estão a utilizar deliberadamente a encriptação remota nos seus ataques. Nos ataques de encriptação remota, também conhecidos como ransomware remoto, utilizam um endpoint comprometido e muitas vezes mal protegido para encriptar dados noutros dispositivos ligados à mesma rede.
O Sophos CryptoGuard é a tecnologia anti ransomware que a Sophos adquiriu em 2015[1] e que está incluída em todas as licenças Sophos Endpoint. O CryptoGuard monitoriza a encriptação maliciosa de ficheiros e fornece proteção imediata e capacidades de rollback (restauro de ficheiros encriptados para a versão anterior ao momento do ataque), incluindo quando o próprio ransomware nunca aparece num host protegido. Esta tecnologia anti ransomware exclusiva é a última linha de defesa na proteção em camadas de endpoints da Sophos, sendo apenas utilizada se um adversário a ativar de forma mais tardia na cadeia de ataque. O CryptoGuard detetou um aumento anual de 62% nos ataques intencionais de encriptação remota desde 2022.
“As empresas podem ter milhares de computadores ligados à sua rede e, com o ransomware remoto, basta haver um dispositivo mal protegido para comprometer toda a rede. Os atacantes sabem disso, pelo que procuram esse ‘elo mais fraco” – e a maioria das empresas tem pelo menos um. A encriptação remota vai continuar a ser um problema permanente para as equipas de defesa e, com base nos alertas que temos visto, a utilização deste método de ataque está a aumentar de forma constante,” afirmou Mark Loman, Vice-President, Threat Research da Sophos e cocriador do CryptoGuard.
Uma vez que este tipo de ataque envolve a encriptação remota de ficheiros, os métodos tradicionais de proteção anti ransomware implementados em dispositivos remotos não “veem” os ficheiros maliciosos ou a sua atividade, pelo que não os conseguem proteger da encriptação não autorizada e da potencial perda de dados. A tecnologia Sophos CryptoGuard, no entanto, apresenta uma abordagem inovadora para parar o ransomware remoto: analisa o conteúdo dos ficheiros para ver se algum dado foi encriptado e deteta atividade de ransomware em qualquer dispositivo numa rede, mesmo que não haja malware nele.
Em 2013, o CryptoLocker foi o primeiro grupo de ransomware prolífico na utilização da encriptação remota com encriptação assimétrica, também conhecida como encriptação de chave pública. Desde então, os atacantes têm sido capazes de escalar a utilização de ransomware, devido a falhas de segurança omnipresentes e contínuas nas organizações em todo o mundo e ao advento das criptomoedas.
“Quando reparámos pela primeira vez que o CryptoLocker tirava partido da encriptação remota, há 10 anos, previmos que esta tática se tornaria num desafio para os defensores. Outras soluções centram-se na deteção de binários maliciosos ou na sua execução; no caso da encriptação remota, o malware e a execução residem num computador diferente (desprotegido) daquele que tem os ficheiros encriptados. A única forma de o impedir é vigiar os ficheiros e protegê-los. Foi por isso que inovámos a solução CryptoGuard,” disse Mark Loman.
O CryptoGuard não procura ransomware; em vez disso, foca-se nos alvos principais – os ficheiros. Aplica um exame matemático aos documentos, detetando sinais de manipulação e encriptação. Esta estratégia autónoma não depende deliberadamente de indicadores de violação, assinaturas de ameaças, Inteligência Artificial, pesquisas na Cloud ou conhecimento prévio para ser eficaz. Uma vez que se foca nos ficheiros, permite alterar o equilíbrio de poder entre os atacantes e os defensores. A Sophos está a aumentar o custo e a complexidade que os atacantes sentem quando tentam encriptar os dados, para que abandonem os seus objetivos – esta é uma parte da estratégia de abordagem de defesa assimétrica da empresa.
“O ransomware remoto é um problema proeminente para as organizações e está a contribuir para a longevidade do ransomware em geral. Dado que a leitura de dados através de uma ligação de rede é mais lenta do que a partir de um disco local, temos visto atacantes, como os grupos LockBit e Akira, a encriptar estrategicamente apenas uma fração de cada ficheiro. Esta abordagem tem como objetivo maximizar o impacto num mínimo de tempo, reduzindo ainda mais a janela para os defensores repararem no ataque e darem uma resposta. A abordagem da Sophos à tecnologia anti ransomware impede tanto os ataques remotos como os que encriptam apenas 3% de um ficheiro. Esperamos continuar a informar as equipas de defesa sobre este método de ataque persistente, para que possam proteger adequadamente os dispositivos,” continuou Mark Loman.
Descubra todas as novidades do mundo de cibersegurança aqui no nosso blog.
