Perfil institucional / Institucional Global

Como especialistas em segurança podem desvendar o ransomware

Como especialistas em segurança podem desvendar o ransomware é rastreado como uma instituição de infraestrutura de internet dentro do ecossistema de infraestrutura de internet.

Como especialistas em segurança podem desvendar o ransomware
CategoriaInstituição

Como especialistas em segurança podem desvendar o ransomware é rastreado como uma instituição de infraestrutura de internet dentro do ecossistema de infraestrutura de internet.

Foco no SinalMercado
Tipo de conteúdoPerfil
Domínio PrimárioSegurança
TópicoMercado
ImpactoMédio

Sinais de fontes públicas suportam monitoramento de médio impacto para visibilidade de infraestrutura e análise de dependências.

ConfiançaConfiança limitada (72%)

Várias fontes públicas

Como especialistas em segurança podem desvendar o ransomware é perfilado pela BTW Media porque evidências publicadas o vinculam à infraestrutura de internet, governança, dependências operacionais ou visibilidade de mercado.

  • Com base nas práticas ilegais de hackers, um número crescente de especialistas em segurança está trabalhando com a aplicação da lei para fornecer ferramentas gratuitas de descriptografia.
  • Os descriptografistas de ransomware desenvolvem ferramentas de várias maneiras principais: engenharia reversa do erro, trabalho com a aplicação da lei e coleta de chaves de criptografia disponíveis publicamente.

A era dos ataques desenfreados

Os hackers usamransomwarepara rastrear todos os setores, cobrando o máximo de dinheiro possível para acessar os arquivos das vítimas. É um negócio lucrativo. Nos primeiros seis meses de 2023, gangues de ransomware fraudaram seus alvos emUS$ 449 milhões.
Cada vez mais, no entanto, especialistas em segurança estão se aliando à aplicação da lei para fornecer ferramentas gratuitas de descriptografia

Leia também:Hackers nunca parecem satisfeitos com o roubo de criptomoedas!

Várias soluções comuns

Existem várias maneiras principais pelas quais os descriptografistas de ransomware desenvolvem ferramentas: engenharia reversa de erros, trabalho com a aplicação da lei e coleta de chaves de criptografia disponíveis publicamente. A duração desse processo depende da complexidade do código, mas geralmente requer informações sobre o arquivo criptografado, a versão não criptografada do arquivo e as informações do servidor fornecidas pelo grupo de hackers.

“Apenas ter o arquivo criptografado de saída geralmente é inútil. Você precisa da amostra em si, do arquivo executável”, disse Jakub Kroustek, chefe de pesquisa de malware da empresa de antivírus Avast. Não é fácil, mas quando funciona, traz benefícios às vítimas afetadas.

Os descriptografistas de ransomware usarão seu conhecimento de engenharia de software e criptografia para obter as chaves do ransomware e criar uma ferramenta de descriptografia a partir daí, disse Kroustek. Processos de criptografia mais avançados podem exigir uma quebra por força bruta ou um palpite fundamentado com base nas informações disponíveis. Às vezes, os hackers usam geradores de números pseudoaleatórios para criar chaves. Um RNG verdadeiro seria aleatório, mas isso significa que não é fácil de prever.

Como explica van der Wiel, um pseudo-RNG pode depender de um padrão existente para parecer aleatório quando na verdade não é – por exemplo, o padrão pode ser baseado no momento em que foi criado. Se os pesquisadores souberem de uma parte dele, podem tentar diferentes valores de tempo até inferir a chave.

Mas obter as chaves geralmente requer trabalhar com a aplicação da lei para obter mais informações sobre como um grupo de hackers opera. Se os pesquisadores conseguissem obter o endereço IP do hacker, poderiam pedir à polícia local que apreendesse o servidor e obtivesse um despejo de memória do conteúdo do servidor. Ou, se os hackers usarem servidores proxy para mascarar sua localização, a polícia pode usar ferramentas de análise de tráfego como o NetFlow para determinar para onde o tráfego está indo e extrair informações dele, disse Vanderwiel.

A Convenção de Budapeste sobre o Cibercrime torna o crime transfronteiriço possível porque permite que a polícia solicite com urgência imagens de servidores em outro país enquanto aguarda a tramitação de um pedido oficial.

Leia também:US$ 674 milhões em criptomoedas recuperados de US$ 2,6 bilhões roubados

Trabalhando com a lei

Trabalhou com a aplicação da lei para ajudar a Cisco Talos a criar uma ferramenta de descriptografia para o ransomware Babuk tortilla. Esta versão do ransomware ataca a saúde, a manufatura e a infraestrutura nacional, criptografando dispositivos das vítimas e excluindo backups valiosos. A Avast criou um descriptografador universal do Babuk, mas a cepa tortilla se mostrou difícil de quebrar. A polícia holandesa e a Cisco Talos trabalharam juntas para prender os responsáveis pelo vírus e, no processo, obtiveram o descriptografador do tortilla.

Em geral, os especialistas não podem compartilhar muitas informações sobre o processo sem dar vantagens às gangues de ransomware. Se eles revelarem erros comuns, os hackers podem usá-los para melhorar facilmente a próxima tentativa de ransomware. Se os pesquisadores contarem em quais arquivos criptografados estão trabalhando, o grupo saberá que estão no encalço. Mas a melhor maneira de evitar o acima é ser proativo.

Em resumo

  • Nome: Como especialistas em segurança podem desvendar o ransomware
  • Base: Global
  • Foco do perfil:

O que faz

  • Registros públicos apoiam o monitoramento de seu papel, serviços e relacionamentos-chave.

Por que isso importa

  • Sinais de fontes públicas suportam monitoramento de médio impacto para visibilidade de infraestrutura e análise de dependências.
  • Criticidade operacional: Médio
  • Horizonte temporal: Próximo trimestre

O que assistir

  • O monitoramento foca na continuidade verificada do serviço, nas mudanças de governança e nos sinais de relacionamento.
AgoraMédio prioridade

Acompanhe atualizações verificadas de fontes, mudanças de função e evidências públicas atuais.

TrimestreMédio Sensibilidade de política

Sinais de fontes públicas suportam monitoramento de médio impacto para visibilidade de infraestrutura e análise de dependências.

YearPróximo trimestre Perspectiva

A relevância de longo prazo depende de mudanças verificadas nas operações, políticas e relacionamentos.

Briefing para Membros

Contexto de Perfil mais Aprofundado

Faça login com o nível de associação correto para desbloquear o briefing completo e as notas de origem.

Apenas para Strategic Circle

Strategic Circle

Aberto a todos os leitores. Desbloqueie Briefings de Perfil após se inscrever e fazer login.

Junte-se ao Strategic Circle

Somente para Leadership Alliance

Leadership Alliance

Para proprietários e gestores qualificados de ativos de IP; faça login para desbloquear os briefings da Leadership Alliance.

Junte-se ao Leadership Alliance
VoltarTodas as empresas