Detectando e Mitigando um Ataque CryptoLocker com EnCase

O mais recente Relatório de Investigações de Violações de Dados (DBIR) da Verizon revelou que o crimeware é um problema sério para as indústrias de construção, informação e serviços básicos, representando mais de 30% dos incidentes apresentados. Entre os mais malignos da categoria de troianos de ramsonware temos o CryptoLocker.

Como funciona o Cryptolocker

O CryptoLocker chega mediante um arquivo ZIP anexado em um e-mail aparentemente inocente. Uma vez descomprimido, o malware se instala na pasta do perfil de usuário, adiciona uma chave ao registro para ser executado automaticamente durante a inicialização do computador e posteriormente inicia uma conexão a um servidor de comando e controle. Após a conexão, o servidor gera um par de chaves RSA de 2048 bits e retorna a chave pública ao computador, cifra arquivos dos discos rígidos locais e das unidades de rede mapeadas com esta chave pública, e inscreve cada arquivo cifrado em uma chave do registro.  A partir este momento, o usuário recebe uma mensagem que informa que seus arquivos têm sido cifrados e que para decifrá-los se requere pagar uma recompensa mediante Bitcoin.

Terrível, não é certo? Porém, não é invencível. Nós agora sabemos que o CryptoLocker deixa bastantes entradas no registro e que copia arquivos na pasta Application Data para assegurar sua persistência. Isto significa que deixa um rastro de artefatos nos dispositivos infectados, incluindo:

   •   Chaves de registro para início automático
       (por exemplo HKCU\Software\Microsoft\Windows\Current\Version\Run\CryptoLocker)
   •   Executáveis e outros arquivos na pasta Application Data

A coisa mais interessante sobre este malware é a maneira em que contata o servidor de comando e controle. O malware tem um algoritmo que gera dinamicamente nomes de domínio de potenciais servidores C2 (servidores de comando e controle), que fazem parte da botnet GameOver Zeus, e muitos dos quais já estão na lista negra da VirusTotal (Nota: A pesar que a botnet GameOver Zeus foi derrubada, atualmente parece estar em um estado de ressurreição). Ele tenta se comunicar com ao redor de 1000 nomes de domínios diferentes até que consegue se conectar com um. O ponto que estamos tentando mostrar é que os arquivos não são cifrados para pedir uma recompensa até que o malware chega a um servidor C2.

Como EnCase Cybersecurity e EnCase Analytics podem deter o CryptoLocker

EnCase Cybersecurity e EnCase Analytics podem ser usados atualmente para escanar os metadados dos arquivos em toda a empresa, buscando em todos os dispositivos evidência da existência do CryptoLocker na pasta Application Data. Por si próprio, EnCase Analytics pode ser usado para detectar processos em execução na pasta Application Data e conexões suspeitas. EnCase Cybersecurity pode ser usado para buscar as entradas de registro que o CryptoLocker deixa para tentar assegurar sua persistência. Se nós, os “caçadores de ameaças”, encontramos o malware antes que chegue a um servidor de comando e controle, podemos prevenir o cifrado dos dados sensíveis antes que se peça uma recompensa.

A questão principal é que malware como o CryptoLocker sempre deixa rastros nos dispositivos.  Isto significa que a visibilidade dos dispositivos e a monitorização usando uma ferramenta como EnCase Analytics é vital para a detecção destas ameaças antes que causem qualquer dano real. Você tem algum comentário? Historias de batalhas próprias? Sua opinião é benvinda na seção de comentários abaixo.