Se qualquer um deles for encontrado durante uma investigação, é quase certo que os invasores vasculharam o sistema
Sempre que trabalhamos com vítimas de ransomware, passamos algum tempo revisando nossos registros de telemetria de uma ou duas semanas anteriores do ocorrido.
Esses registros, às vezes, incluem anomalias comportamentais que, sozinhas podem não ser consideradas maliciosas mas, no contexto de um ataque que já aconteceu, podem ser consideradas um indicador inicial de ameaça já conduzindo operações na rede da vítima.
Abaixo, listamos os cinco principais sinais que antecedem o crime.
Se virmos qualquer um desses indicadores em particular, devemos nos atentar imediatamente.
Se qualquer um deles for encontrado durante uma investigação, é quase certo que os invasores vasculharam o sistema: para estudar e entender como é a rede e como eles podem obter as contas e o acesso que precisam para preparar o terreno e lançar um ataque de ransomware.
Os invasores geralmente começam obtendo acesso a uma máquina onde procuram informações: é Mac ou Windows? Qual é o domínio e o nome da empresa? Que tipo de direitos de administrador o computador possui? Em seguida, os invasores vão querer saber o que mais está na rede e o que eles podem acessar.
A maneira mais fácil de determinar isso é fazendo uma varredura. Se um scanner de rede, como AngryIP ou Advanced Port Scanner, for detectado e não fizer parte de algo autorizado intencionalmente pelo usuário da máquina, pode ser hora de investigar.
Uma vez que os invasores tenham direitos de administrador, eles
geralmente tentarão desabilitar o software de segurança usando aplicativos criados para auxiliar na remoção forçada desse software, como Process Hacker, IOBit Uninstaller, GMER ou PC Hunter.
Esses tipos de ferramentas comerciais são legítimas, mas nas mãos erradas, equipes de segurança e administradores precisam questionar por qual razão eles apareceram ali repentinamente.
A detecção de MimiKatz em qualquer lugar deve ser investigada.
Se ninguém na equipe de administração pode garantir o uso do MimiKatz, isso é um sinal de alerta, pois essa é uma das ferramentas de hacking mais usadas para roubo de credenciais.
Os invasores também usam o Microsoft Process Explorer, incluído no Windows Sysinternals, uma ferramenta legítima que pode despejar o LSASS.exe da memória, criando um arquivo .dmp.
Eles podem então levar isso para seu próprio ambiente e usar o MimiKatz para extrair nomes de usuário e senhas com segurança em sua própria máquina de teste.
Qualquer detecção que aconteça no mesmo horário todos os dias,
ou em um outro tipo de padrão repetido, geralmente é uma indicação de que algo está acontecendo, mesmo que arquivos maliciosos tenham sido previamente detectados e removidos.
As equipes de segurança devem perguntar “por que isso está voltando?”. Os responsáveis pela resposta ao incidente sabem que isso normalmente significa que algo malicioso está ocorrendo e que (ainda) não foi identificado.
Ocasionalmente, os invasores implantam pequenos ataques de teste em alguns computadores para ver se o método de implantação e o ransomware são executados com êxito ou se o software de segurança os impede.
Se as ferramentas de segurança pararem o ataque, elas mudam de tática e tentam novamente. Isso vai chamar a atenção e os invasores saberão que o tempo agora é limitado. Muitas vezes, é uma questão de horas até que um ataque muito maior seja lançado.
*Peter Mackenzie é Gerente da equipe de Managed Threat Response da Sophos
