Varonis | Segurança de dentro para fora

O que é o CryptoLocker

Escrito por Emilia Bertolli | Oct 29, 2018 12:17:00 PM

O CryptoLocker é um malware e pode ser muito prejudicial para qualquer empresa orientada por dados. Depois que o código é executado, ele criptografa arquivos em desktops e compartilhados na rede e “os prende até o pagamento de um resgate”, alertando ao usuário que para abrir o arquivo é preciso pagar para descriptografá-los.

Malwares como o CryptoLocker podem invadir uma rede protegida por meio de vários vetores, incluindo e-mail, sites de compartilhamento de arquivos e downloads. Suas novas variantes escaparam das tecnologias de antivírus e firewalls. Exatamente por isso, para evitar o problema que um host infectado pode causar, uma segunda linha de defesa é recomendada por intermédio de controle de acesso e correções.

O que o CryptoLocker faz?
Na execução, o Cryptolocker verifica as unidades de rede mapeadas e em quais hosts está conectado para ter acesso às pastas e documentos. Ele renomeia e criptografa todos os que contam com as permissões de acesso determinadas pelas credenciais do usuário que executou o código.

O vírus usa uma chave RSA de 2048 bits para criptografar os arquivos e os renomeia anexando uma extensão – .encrypted ou . criptolocker ou outra com sete caracteres aleatórios, dependendo da variante. Por fim, o malware cria um arquivo em cada diretório afetado que leva a uma página da Web com instruções para descriptografá-los e que exige que o usuário efetue um pagamento.

Como impedir o CryptoLocker?
Quantos mais arquivos uma conta de usuário tiver acesso, mais danos o malware pode causar. Restringir o acesso é, portanto, um curso de ação prudente, pois limita o que pode ser criptografado.

Embora o uso de um modelo com menos privilégios não seja uma solução rápida, é possível reduzir a exposição removendo grupos de acesso globais desnecessários das listas de controle de acesso. Grupos como “Todos”, “Usuários autenticados” e “Usuários de domínios” podem expor hierarquias inteiras e todos os usuários de uma empresa.

Apesar de ser mais fácil usar soluções projetadas para encontrar e eliminar esses grupos, é possível identificar compartilhamentos abertos criando um usuário sem associação a grupos e usando as credenciais dessa conta para “verificar” o ambiente de compartilhamento de arquivos. Por exemplo, comandos básicos no CMD do Windows podem ser usados para enumerar e testar compartilhamentos para acessibilidade.

net view (enumera os hosts próximos)
net view \\ host (enumera compartilhamentos)
net use X: \\ host \ share (mapeia uma unidade para o compartilhamento)
dir / s (enumera todos os arquivos legíveis pelo usuário sob o compartilhamento)

Esses comandos podem ser facilmente combinados em um script em lote para identificar pastas e arquivos acessíveis. Entretanto,  soluções automatizadas ajudam a ir além da eliminação do acesso global, possibilitando a obtenção de um verdadeiro modelo com menos privilégios e a eliminação do gerenciamento manual e ineficaz do controle de acesso ao mesmo tempo.

Como detectar o CryptoLocker?
Se a atividade de acesso ao arquivos for monitorada  em servidores que contenham arquivos infectados, esse comportamento gera um número enorme  de eventos abertos, modificados e criados em um ritmo muito rápido, sendo fáceis de serem identificados com a automação. Por exemplo, se uma única conta de usuário modificar 100 arquivos em um minuto, é provável que algo errado está acontecendo. Portanto, é importante configurar a solução de monitoramento para acionar um alerta quando esse tipo de comportamento for identificado.

Se não houver uma solução de monitoramento, no lugar de tentar habilitar a auditoria nativa e coletar logs de auditoria nativa em cada sistema, se deve priorizar áreas sensíveis e configurar um honeypot de compartilhamento de arquivos.

Um honeypot de compartilhamento de arquivos é um compartilhamento de arquivos acessíveis que podem ser comuns ou valiosos, mas que, na realidade, são falsos. Como nenhuma atividade de usuário legitimo deve ser associada a um honeypot, qualquer atividade observada deve ser analisada cuidadosamente.

Se o mecanismo de controle puder acionar uma resposta automatizada, como desabilitar a conta do usuário, o ataque é efetivamente interrompido antes de causar danos, e a resposta pode incluir:

  • Notificação para os administradores
  • Verificação do registro para checagem de chaves/valores conhecidos que o CryptoLocker cria:
    Get-Item HKCU: \ Software \ CryptoLocker \ Arquivos) .GetValueNames ()
    Se o valor existir, é preciso desativar o usuário automaticamente.

Para evitar o CryptoLocker deve-se:

  • Atualizar o antivírus e software de proteção de endpoints
  • Evitar golpes de phishing
  • Manter arquivos de backup dos documentos
  • Comprometer-se com um modelo de confiança zero/mínimo privilégio
  • Monitorar a atividade de arquivos e o comportamento do usuário

Novas variantes de ransomware aparecem a todo momento, por sorte, a equipe forense de segurança da Varonis faz o trabalho pesado e atualiza diligentemente as assinaturas de ransomware detectadas. Faça uma demonstração gratuita e saiba como nossa arquitetura de defesa de ransomware é projetada para proteger dados corporativos contra ataques.