Por que o UBA detecta ataques de zero-day e ransomware

Os ataques de ransomware se tornaram uma grande ameaça para as empresas. No Brasil, dados da Kaspersky mostram que o País já é o mais afetado por esse tipo de ataque na América Latina, concentrando 92% dos casos envolvendo malwares sequestradores. Além disso, informações do FBI divulgadas no primeiro semestre deste ano mostram que o custo total dos ataques para as vítimas foi de US$ 209 milhões apenas nos três primeiros meses do ano – um aumento de US$ 24 milhões em relação a todo o ano de 2015.

A situação parece ficar cada vez mais complexa, com uma nova variante diferente sendo anunciada toda semana – Ransom32, 7ev3n. O malware provavelmente estará envolvido na próxima grande violação de dados. Novas variantes como Chimera ameaçam, inclusive, não apenas sequestrar os dados, mas também divulgá-los online, caso o resgate não seja pago.

Esses estelionatários virtuais não têm exatamente o que chamamos de “escrúpulos” e, portanto, que garantia temos de que os dados não serão publicados online mesmo que paguemos o resgate? Afinal, não aceitamos nenhum “termo de serviço” quando somos infectados.

Temos de reconhecer: eles têm um ótimo modelo de negócio.

Qual é a assinatura?

Algumas empresas estão recorrendo a soluções de segurança do endpoint na esperança de poder detectar e parar o ransomware. No entanto, a indústria está se apegando ao fato de que, como um observador colocou: “os softwares de antivírus baseados em assinatura dos quais a maioria das empresas depende para se defender não podem ajudar nesses ataques modernos”.

Um artigo divulgado recentemente pelo portal de notícias de tecnologia CIO descreveu bem essa situação:

“Uma abordagem baseada em assinaturas reduz o desempenho dos ataques aos sistemas que guardam, mas também significa que alguém terá de ser sacrificado. Alguém tem que ser infectado por um malware para que ele seja identificado e analisado para proteger os outros computadores. E, nesse período de tempo, os hackers podem criar um novo malware do qual as defesas baseadas em assinatura não podem se defender”

Ou seja: soluções de proteção do endpoint não podem bloquear variantes desconhecidas de ransomware por meio de métodos como, por exemplo, listas negras de conexões com uma atual (porém ultrapassada) lista de servidores C&C. Esses produtos também estão vinculados a um dispositivo/usuário/processo, e, por isso, não podem oferecer técnicas anti-heurísticas ou de depuração.

Prevenção eficiente contra ransomware

Se as soluções de proteção do endpoint não podem ajudar a prevenir o ransomware, o que pode fazer isso?

Uma pesquisa da Universidade de Northeastern, chamada de Cutting the Gordian Knot: A Look Under the Hood of Ransomware Attacks, analisou 1.359 amostras de ransomware e descobriu que as atividades do ransomware nos sistemas sugerem que, ao proteger o Master File TAble (MFT) no arquivo NTFS, é possível detectar e prevenir um número significativo de ataques de ransomware do tipo zero-day.

A tecnologia de User Behaviour Analytics (UBA) protege arquivos do sistema com base nessa ideia e, por isso, é uma medida essencial de prevenção contra ransomwres.

O UBA compara o que os usuários de um sistema normalmente fazem – suas atividades e padrões de acesso – com atividades anômalas de um hacker usando credenciais roubadas. Primeiro, o UBA monitora o comportamento normal do usuário – acesso aos arquivos, logins e atividades na rede. Depois disso, ao longo do tempo, o UBA vai criando um perfil que descreve o que significa ser aquele usuário.

Sem qualquer configuração, os modelos de UBA identificam sinais de atividades de ransomwre – quando os arquivos estão sendo criptografados – assim, a tecnologia pode parar os ataques sem depender de listas estáticas de assinaturas.

Depois de detectar a ameaça, o softwares dispara uma combinação de passos automatizados para impedir que a infecção de espalhe, desabilitando o usuário e o computador infectado, por exemplo.