Basicamente um Ransomware nega à vítima o acesso ao seu conteúdo até que seja paga uma taxa resgate e promete restaurar o acesso posteriormente (o que nem sempre acontece).

São duas classes principais de Ransomware :

1. Cripto ransomware: criptografam arquivos e negam acesso aos dados
2. Locker ransomware: bloqueiam o acesso a interface

O processo:

A cadeia de cyber kill de um Ransomware possui a seguinte estrutura:

1) Infecção

Componentes maliciosos são implantados no computador da vítima (ou numa Virtual Machine).

O acesso acontece, de maneira geral da seguinte forma:

2) Drive-by-download:

Download automático que ocorre sem o conhecimento ou consentimento do usuário.

• E-mails de phishing: e-mails com instruções ou anexos que levam à infecção.
• Outras vulnerabilidades: a vítima pode estar infectada devido a uma vulnerabilidade de rede e não a uma ação auto-iniciada.

3) Execução e instalação de carga útil

O Ransomware se instala no sistema, explorando diferentes vulnerabilidades, sobrecarrega e divide seus componentes para que não sejam detectados pelos antivírus baseados em assinatura. Dependendo da variedade, o malware pode não iniciar sua fase de destruição e permanecer inativo, tentando se espalhar pela rede antes de se tornar conhecido.

4) C2 (comando e controle)

Depois que o ransomware estiver instalado, ele tentará se comunicar com o servidor remoto (C2) para receber mais instruções. A troca variará amplamente, dependendo da implementação específica, mas geralmente conterá algumas especificações do sistema (por exemplo, quando iniciar a execução) e, o mais importante, a troca de chaves.

5) Criptografia

Depois que a chave de criptografia estiver protegida e o Ransomware tiver as instruções de quais diretórios e arquivos serão direcionados, ele começará a criptografá-los.

6) Resgate

Após os dados serem criptografados, o malware se tornará conhecido. Ao contrário da maioria dos tipos de malware, o Ransomware não deseja permanecer oculto após a execução. Ele pode apresentar telas, disparar e-mails e outras formas de exposição.

• Sobre
• Últimos Posts

Abian Laginestra

Abian Laginestra é especialista em segurança da informação, MBA em Gestão de segurança da informação. Com passagem nos mercados siderúrgico, jurídico, farmacêutico, financeiro e de TI nas áreas de Segurança da informação, aderência regulatória e melhores práticas. Top 100 CIO leaders em 2015 e 2017, 3 Lugar Security Leaders categoria banco digital em 2018, Indicado a executivo de TI em 2019, defensor da bandeira de uma sociedade digital mais segura e que a privacidade é direito inalienável de todos.

Para conhecer mais sobre Abian, acesse seu perfil profissional: https://www.linkedin.com/in/abian-laginestra/

Últimos posts por Abian Laginestra (exibir todos)

• Cibersegurança exige mudança cultural das empresas - 14/12/2020
• Método de proteção contra links falsos - 06/04/2020
• O que a escalada tem a ver com a segurança cibernética? - 04/03/2020