Definição de Malware
Malware, no contexto de ransomware, é um software malicioso projetado para infiltrar, danificar ou controlar sistemas computacionais sem consentimento. Usado por grupos de ransomware, ele criptografa dados da vítima, bloqueando o acesso, e exige pagamento (geralmente em criptomoedas) para liberação, explorando vulnerabilidades em sistemas ou engenharia social para infecção.
1. Análise da Assinatura do Malware
Cada grupo de ransomware usa uma variante de malware com características próprias, como:
- Extensões de arquivos criptografados (ex.: .lockbit, .akira, .babuk).
- Notas de resgate (ransom notes) com mensagens específicas.
- Cadeias de criptografia e algoritmos usados para bloqueio de arquivos.
2. Técnicas e Vetores de Ataque
Os grupos costumam ter preferências por determinados métodos de invasão, como:
- Phishing (e-mails maliciosos, links fraudulentos).
- Exploração de vulnerabilidades (RDP aberto, falhas de software).
- Credenciais comprometidas (compra de acessos na dark web).
3. Endereço de Pagamento e Comunicação
- Carteiras de criptomoedas usadas para pagamento podem ser rastreadas e associadas a grupos.
- Algumas gangues usam sites na dark web para negociar resgates, com padrões de domínio específicos.
4. Publicação de Dados Roubados
- Muitos grupos operam sites de leak sites, onde publicam dados roubados caso a vítima não pague.
- Monitoramento desses sites pode ajudar a identificar o responsável pelo ataque.
5. Inteligência de Ameaças e Relatórios Públicos
- Empresas de cibersegurança (como Mandiant, CrowdStrike e Sophos) monitoram e divulgam indicadores de comprometimento (IoCs) associados a grupos de ransomware.
- Compartilhamento de informações entre empresas e órgãos governamentais auxilia na identificação.
6. Ferramentas de Análise
- VirusTotal – Pode identificar amostras de ransomware conhecidas.
- Shodan – Útil para descobrir servidores vulneráveis que podem ter sido explorados.
- Threat Intelligence Feeds – Bancos de dados que monitoram ataques e infraestrutura dos grupos.
- Cisco Talos – Rede de reputação em tempo real de ameaças
- PulseDive – Banco de dados de reputação de URLs, IPs, etc.
O nosso time de inteligência em cibersegurança pode auxiliar a sua empresa a se defender de ataques digitais com implementação de controles, processos bem definidos e com gestão de vulnerabilidades. CONHEÇA NOSSOS SERVIÇOS.
No nosso próximo post falaremos sobre os Top 10 grupos de Ransomware
