Não é nenhum exagero dizer que o cibercrime possui um dos negócios ilícitos mais promissores para os próximos anos. No Reino Unido, o ransomware já superou outros tipos de crime. Esta indústria criminosa emergente possui todas as motivações necessárias para a continuidade e crescimento das atividades: anonimato, oportunidade, impunidade e ganhos financeiros.
Ransomware são malwares criados para impedir de alguma forma que o usuário interaja diretamente com o equipamento e o acesso só é liberado após o pagamento de um “resgate” (ransom). Desde os mais antigos – lockers que bloqueavam o sistema do usuário – até os mais modernos crypto-ransomware, a proposição para o negócio criminoso é a mesma: quanto valem suas informações?
Os ransomwares do tipo Crypto evoluíram utilizando vetores de infecção como phishing, APT (ataques avançados persistentes), técnicas de watering hole e exploit kits para aumentar a escala de propagação, técnicas de polimorfismo do código para dificultar a detecção por assinaturas, a exploração de vulnerabilidades 0 Day encontradas nos browsers, a automatização das invasões de websites legítimos para criar sites de distribuição e o uso de redes Tor (deep web) para esconder servidores de pagamentos. São peças de malware sofisticadas que criptografam arquivos específicos (principalmente de autoria, como a suíte do Office ou do Adobe) com criptografia de ponta (o CryptoFortres utiliza AES 256 e RSA de 1024 bits) ou algoritmos complexos modificados (o Rokku utiliza Curve25519 e Salsa20) e, após o processo de criptografia, o criminoso pede o resgate para que a chave seja enviada e os arquivos sejam decriptografados. Entretanto, após o pagamento vários ransomwares deliberadamente não entregam o que que prometeram – os arquivos decriptografados.
Hoje o Arcon Labs monitora cerca de 167 variantes de ransomwares, dentre elas o “Brazilian Ransomware” de autoria nacional que utiliza sites brasileiros de Bitcoin para receber pagamentos. Só para exemplificar o quão promissora é a indústria de sequestro e extorsão digital, vamos dissecar seu produto mais conhecido e próspero, também monitorado pelo laboratório: o ransomware Locky.
O Locky
O Locky foi descoberto no início do ano e veio com um plano de negócio ambicioso e infraestrutura inovadora. Assim como os kits de Botnet vendidos para criar variantes do Zeus, um kit de Locky (com uma variante do código que não a oficial) pode ser adquirido no mercado negro de malwares, fazendo com que variantes do Locky se espalhem rapidamente (Zyklon, Bart e RockLoader). Um percentual do lucro do Ransomware Kit vai para os criadores do Locky, tornando a indústria de ransomwares bem parecida com o que conhecemos de franquias.
Infraestrutura do Locky
A infraestrutura do Locky é realmente impressionante, com seu framework operacional baseado em 3 fases: sites de distribuição, centros de controle e servidores de pagamento.
Fase 1: Sites de distribuição
São sites legítimos invadidos de forma automatizada (usando Bots ou Worms) na Internet de superfície, que servem para hospedar software malicioso que são utilizados em campanhas de phishings ou técnicas de watering hole. Scripts maliciosos são inseridos para que os usuários do site sejam infectados. Isto cria a propagação ideal: links legítimos (porém infectados) podem ser compartilhados em redes sociais. Sites de interesse do grupo de usuários que se quer atingir são os alvos. Por exemplo: invadem sites de economia para atingir instituições financeiras. Sites invadidos ficam em média por 7 dias distribuindo o ransomware. Após este período, os componentes são retirados do servidor invadido e este processo de remanejamento do “estoque de servidores” acontece a cada 5 horas. A “equipe” do Locky aprendeu muito com Botnets e aplicou todo este conhecimento em sua operação.
Arcon Labs Threat Intelligence:
Existem no momento 1008 sites comprometidos (30 no Brasil) que fazem parte da rede Locky, sendo que 94 deles estão online (10 no Brasil) e distribuindo o ransomware. De acordo com nossas medições, a rede Locky cresce em média 5% por semana. Servidores são retirados do ar por mecanismos automatizados de gerenciamento de DNS, visando não serem descobertos.
Fase 2: Centros de comando (c2)
Também são sites legítimos invadidos de forma automatizada (usando Bots ou Worms) e ataques diretos na Internet de superfície ou em redes Tor. Na deep web, são hospedados os componentes de geração de chaves criptográficas, bem como os controladores da rede de ransomware. Estes controlam o tempo necessário para que todos os arquivos sejam criptografados de forma silenciosa nos computadores infectados. Só após este processo ser realizado, o usuário é avisado. Este é um elemento totalmente herdados das botnets: controle. Das inúmeras versões de Locky que estão aparecendo, cada uma delas pode trazer um componente novo, alguma forma nova de evadir antivírus, atualizar as chaves de forma assimétrica (online) e atualizar os algoritmos de criptografia e ou o tamanho da chave, dependendo do hardware encontrado.
Arcon Labs Threat Intelligence:
Existem atualmente 221 servidores ativos (523 novos servidores comprometidos somente nos últimos 7 dias) que fazem parte da rede Locky. Estes servidores seguem o mesmo modo de atuação dos servidores de distribuição. A diferença clara é que a randomização é feita com muito mais frequência (entre 2 e 3 horas) e alguns destes servidores também operam dentro da rede Tor (deep web).
Fase 3: Servidores de pagamento
Tipicamente, os servidores de pagamento funcionam na deep web e indícios levam a crer que não são criados de forma automatizada. É difícil afirmar com precisão em quais países estão hospedados. A maioria dos nodes de entrada da rede Tor utilizados estão na Europa ou nos EUA. Todos os endereços de DNS que apontam para os nodes de entrada são randomizados aleatoriamente e dinamicamente. O Arcon Labs detectou que a maioria dos nodes vão para a Europa, para países como Alemanha e Suíça. Isto de fato é uma escolha consciente, já que estes países possuem leis extremante rigorosas com relação a privacidade e leis que impedem análises financeiras de agentes externos, do que podemos inferir que são como paraísos fiscais da indústria de ransomware. Ou seja, caso uma investigação identificasse o servidor real na rede Tor, ainda haveria um processo extremamente burocrático e que poderia levar meses.
Arcon Labs Threat Intelligence:
Existem no momento 15 servidores de pagamento ativos (258 novos servidores nos últimos 7 dias) que fazem parte da rede Locky. Esta é a natureza da rede Locky, extremamente dinâmica e totalmente programável.
Alguns exemplos
Em maio deste ano, milhões de usuários da Amazon ficaram sob o risco de uma campanha de phishing que podia levar ao download do ransomware Locky. A isca veio na forma de e-mails falsos disfarçados como mensagens legítimas da gigante de e-commerce, enviada com um endereço de email amazon.com e um assunto dizendo, “Seu pedido da Amazon.com foi enviado (#código)” que poderia facilmente enganar um usuário desavisado, levando-o a baixar um anexo contendo um arquivo com malware.
No mesmo mês, uma campanha chamada Torrentlocker usou o nome de um gigante da telecomunicação nórdica, a Telia, para propagar malware. Semelhante à tática usada com os usuários da Amazon, os cibercriminosos elaboraram uma atração de engenharia social que enganava os usuários com uma fatura que parecia ser da empresa de telecomunicações. Assim que se clicava nela, o link malicioso redirecionava as vítimas para uma página falsa da web que exibia um código Captcha. O código digitado acionava o download do ransomware.
A oportunidade
A motivação está clara: por um custo muito baixo e anonimato praticamente garantido, é possível gerar milhões de dólares em extorsões. Mas qual o tamanho da oportunidade?
Para lidar com tamanha ameaça, as empresas precisam avaliar seus controles de cibersegurança:
- Monitoração das redes – principalmente em relação ao seu tráfego de saída e o seu tráfego interno.
- Tecnologias que detectem atividades baseadas em comportamento – adoção e configuração correta do Intrusion Prevent System e Web Gateways, principalmente.
- Políticas de Correio Eletrônico – que não possibilitem o recebimento de materiais maliciosos (macros, scripts e executáveis), com filtros de reputação e contra malwares.
- Utilização de inteligência acionável (threat intelligence) – diretamente em seus ativos de segurança (Firewall, IPS, gateways etc.) e como apoio para seu time de resposta a incidentes.
- Campanhas de conscientização dos funcionários – relacionadas a phishing, ransomware e engenharia social.
- Políticas de backup bem definidas, configuradas e operacionais – analisando o valor das informações que serão protegidas para manter a resiliência e continuidade do negócio.
Ao considerar o cenário listado acima, existe um mundo de oportunidades, o que torna esta indústria extremamente atrativa para os cibercriminosos. Mais ainda, é necessário entender que o que vemos hoje é só a ponta do iceberg.
Quando ransomwares forem utilizados de forma mais direcionada, atrás de um maior ganho, buscando o sequestro de sistemas de companhias aéreas, o sistema bancário, sistemas de infraestrutura básica que utilizam Sistemas Scada (grade elétrica, sistemas industriais etc.) ou os sistemas de defesa, neste momento estaremos fazendo outras perguntas: Quanto tenho que pagar para trazer a operação da minha empresa de volta? Quanto custa a economia de um país? Quanto vale a vida humana?
Hoje, mais do que nunca, existe um grande desafio e as empresas, de fato, devem entender o potencial do seu novo inimigo – a indústria do ransomware.
Inteligência acionável
Nas organizações, as equipes de cibersegurança têm à disposição diversas fontes de inteligência para identificar ameaças cibernéticas. No entanto, esses analistas de segurança acabam soterrados pela quantidade de informações e pela complexidade de operacionalizar e transformar tal inteligência em algo acionável (threat intelligence). É preciso muito esforço para separar o “joio do trigo”, pois é preciso verificar e cruzar as fontes de inteligência a fim de transformar compreensão em ação.
A utilização de Threat Intelligence pode reduzir significativamente a quantidade de incidentes de segurança, bem como aumentar a velocidade de resposta aos incidentes detectados. Isto acontece graças à redução de falso-positivos pela validação baseada em vários critérios, o que ajuda a oferecer visão, contexto e credibilidade no que diz respeito à informação que está sendo observada.
Tratar tamanho volume de dados, com uma variedade virtualmente ilimitada de fontes de inteligência sobre ameaças, gerada tanto externa quanto internamente, tanto em formato estruturado quanto desestruturado, requer a utilização de uma plataforma específica para isto. As Threat Intelligence Platforms (TIP), dotadas de capacidade de lidar com big-data e analytics, devem ser capazes de enriquecer e correlacionar essa inteligência sobre ameaças para alimentar tecnologias como SIEM, sistemas de prevenção de intrusão (IPS), firewalls de próxima geração (NGFW) e gateways de web.
