O CryptoLocker é um malware e pode ser muito prejudicial para qualquer empresa orientada por dados. Depois que o código é executado, ele criptografa arquivos em desktops e compartilhados na rede e “os prende até o pagamento de um resgate”, alertando ao usuário que para abrir o arquivo é preciso pagar para descriptografá-los.
Malwares como o CryptoLocker podem invadir uma rede protegida por meio de vários vetores, incluindo e-mail, sites de compartilhamento de arquivos e downloads. Suas novas variantes escaparam das tecnologias de antivírus e firewalls. Exatamente por isso, para evitar o problema que um host infectado pode causar, uma segunda linha de defesa é recomendada por intermédio de controle de acesso e correções.
O que o CryptoLocker faz?
Na execução, o Cryptolocker verifica as unidades de rede mapeadas e em quais hosts está conectado para ter acesso às pastas e documentos. Ele renomeia e criptografa todos os que contam com as permissões de acesso determinadas pelas credenciais do usuário que executou o código.
O vírus usa uma chave RSA de 2048 bits para criptografar os arquivos e os renomeia anexando uma extensão – .encrypted ou . criptolocker ou outra com sete caracteres aleatórios, dependendo da variante. Por fim, o malware cria um arquivo em cada diretório afetado que leva a uma página da Web com instruções para descriptografá-los e que exige que o usuário efetue um pagamento.
Como impedir o CryptoLocker?
Quantos mais arquivos uma conta de usuário tiver acesso, mais danos o malware pode causar. Restringir o acesso é, portanto, um curso de ação prudente, pois limita o que pode ser criptografado.
Embora o uso de um modelo com menos privilégios não seja uma solução rápida, é possível reduzir a exposição removendo grupos de acesso globais desnecessários das listas de controle de acesso. Grupos como “Todos”, “Usuários autenticados” e “Usuários de domínios” podem expor hierarquias inteiras e todos os usuários de uma empresa.
Apesar de ser mais fácil usar soluções projetadas para encontrar e eliminar esses grupos, é possível identificar compartilhamentos abertos criando um usuário sem associação a grupos e usando as credenciais dessa conta para “verificar” o ambiente de compartilhamento de arquivos. Por exemplo, comandos básicos no CMD do Windows podem ser usados para enumerar e testar compartilhamentos para acessibilidade.
net view (enumera os hosts próximos)
net view \\ host (enumera compartilhamentos)
net use X: \\ host \ share (mapeia uma unidade para o compartilhamento)
dir / s (enumera todos os arquivos legíveis pelo usuário sob o compartilhamento)
Esses comandos podem ser facilmente combinados em um script em lote para identificar pastas e arquivos acessíveis. Entretanto, soluções automatizadas ajudam a ir além da eliminação do acesso global, possibilitando a obtenção de um verdadeiro modelo com menos privilégios e a eliminação do gerenciamento manual e ineficaz do controle de acesso ao mesmo tempo.
Como detectar o CryptoLocker?
Se a atividade de acesso ao arquivos for monitorada em servidores que contenham arquivos infectados, esse comportamento gera um número enorme de eventos abertos, modificados e criados em um ritmo muito rápido, sendo fáceis de serem identificados com a automação. Por exemplo, se uma única conta de usuário modificar 100 arquivos em um minuto, é provável que algo errado está acontecendo. Portanto, é importante configurar a solução de monitoramento para acionar um alerta quando esse tipo de comportamento for identificado.
Se não houver uma solução de monitoramento, no lugar de tentar habilitar a auditoria nativa e coletar logs de auditoria nativa em cada sistema, se deve priorizar áreas sensíveis e configurar um honeypot de compartilhamento de arquivos.
Um honeypot de compartilhamento de arquivos é um compartilhamento de arquivos acessíveis que podem ser comuns ou valiosos, mas que, na realidade, são falsos. Como nenhuma atividade de usuário legitimo deve ser associada a um honeypot, qualquer atividade observada deve ser analisada cuidadosamente.
Se o mecanismo de controle puder acionar uma resposta automatizada, como desabilitar a conta do usuário, o ataque é efetivamente interrompido antes de causar danos, e a resposta pode incluir:
Para evitar o CryptoLocker deve-se:
Novas variantes de ransomware aparecem a todo momento, por sorte, a equipe forense de segurança da Varonis faz o trabalho pesado e atualiza diligentemente as assinaturas de ransomware detectadas. Faça uma demonstração gratuita e saiba como nossa arquitetura de defesa de ransomware é projetada para proteger dados corporativos contra ataques.