Cibercrime investe nas táticas de evasão

Os atores da ameaça de ransomware precisam obter acesso persistente para compreender a estrutura da rede, localizar recursos que possam apoiar o ataque e identificar dados de valor que podem ser roubados, disseram os pesquisadores.

O relatório Cisco Talos analisou as táticas, técnicas e procedimentos (TTPs) dos 14 grupos de ransomware mais ativos entre 2023 e 2024, destacando uma série de técnicas implantadas por agentes de ransomware para evitar a detecção e mover-se lateralmente em uma rede após o acesso inicial.

Os grupos mais proeminentes concentram-se rapidamente em técnicas de evasão de defesa, entre as quais:

• A desativação e modificação de software de segurança, como programas antivírus, soluções de detecção de endpoint ou recursos de segurança no sistema operacional para impedir a detecção da carga útil do ransomware
• Ofuscamento do software malicioso compactando o código, e eventualmente descompactando-o na memória quando executado
• Modificação do registro do sistema para desativar alertas de segurança
• Configuração do software para ser executado na inicialização
• Bloqueio de certas opções de recuperação para usuários

Os invasores tentarão estabelecer acesso de longo prazo, garantindo que suas operações sejam bem-sucedidas, mesmo que a intrusão inicial seja descoberta e corrigida.

Essas técnicas de persistência incluem o uso de mecanismos automatizados de persistência de malware, como execução do AutoStart na inicialização do sistema e criação de ferramentas de software de acesso remoto.

Após obter acesso persistente, os agentes de ameaças tentarão se mover lateralmente na rede e localizar e exfiltrar dados confidenciais antes de implantar a carga de ransomware.

Eles geralmente tentam explorar controles de acesso fracos e elevar privilégios ao nível de administrador para progredir na cadeia de ataque usando vários utilitários locais e serviços legítimos.

Créditos: CISO Advisor