A Sopho divulgou um relatório intitulado "CryptoGuard: An Asymmetric Approach to the Ransomware Battle", que constatou que alguns dos grupos de ransomware mais produtivos e ativos do mundo, incluindo Akira, ALPHV/BlackCat, LockBit, Royal e Black Basta, estão aumentando o uso de criptografia remota nos ataques. Com essa tática, também conhecida como ransomware remoto, os golpistas se aproveitam de um endpoint comprometido, e muitas vezes desprotegido, para criptografar dados de outros dispositivos conectados à mesma rede.
O Sophos CryptoGuard é uma tecnologia anti-ransomware adquirida pela Sophos em 2015 e está inclusa em todas as licenças do Sophos Endpoint. A solução monitora a criptografia maliciosa de arquivos, além de fornecer proteção imediata e recursos de reversão, inclusive quando o próprio ransomware não aparece em um dispositivo protegido. Esse recurso é a última linha de defesa na proteção em camadas dos endpoints da Sophos, sendo ativada apenas se um cibercriminoso acioná-la posteriormente na cadeia de ataque. Como parte desse trabalho, o CryptoGuard detectou um aumento anual de 62% nos ataques com uso de criptografia remota desde 2022.
"As empresas podem ter milhares de computadores conectados à rede e, com o ransomware remoto, basta que um dispositivo esteja desprotegido para comprometê-la. Justamente por isso, os invasores procuram esse 'ponto fraco' – e a maioria das companhias tem pelo menos um. A criptografia remota continuará sendo um problema constante para as organizações e, com base nos alertas que vimos, esse método de ataque está aumentando constantemente", afirma Mark Loman, vice-presidente de pesquisa de ameaças da Sophos e cocriador do CryptoGuard.
Como esse tipo de ataque envolve a criptografia de arquivos à distância, os métodos tradicionais de proteção anti-ransomware implementados em dispositivos remotos não detectam as atividades maliciosas, não conseguindo proteger os arquivos da criptografia não autorizada e da possível perda de dados. Entretanto, a tecnologia Sophos CryptoGuard adota uma abordagem inovadora para impedir o ransomware remoto, conforme explicado no relatório do Sophos X-Ops: a solução analisa o conteúdo dos arquivos para avaliar se algum dado foi criptografado e, assim, detectar a atividade de ransomware em qualquer dispositivo em uma rede, mesmo que não haja um malware no sistema.
Em 2013, o CryptoLocker foi o primeiro ransomware de grande alcance a utilizar a criptografia remota e assimétrica – essa última também conhecida como criptografia de chave pública. Desde então, os criminosos têm conseguido aumentar o uso de ransomware, por conta das lacunas de segurança presentes em empresas de todo o mundo e pelo crescimento do uso de criptomoedas.
"Quando notamos pela primeira vez que o CryptoLocker se aproveitava da criptografia remota há dez anos, previmos que essa tática se tornaria um desafio para as companhias. Outras soluções se concentram na detecção de sistemas binários maliciosos ou na execução. No caso do ransomware remoto, o malware e o arquivo executável residem em um computador diferente (desprotegido) daquele que tem os arquivos criptografados. A única maneira de impedir isso é analisar os arquivos e protegê-os. Foi por isso que inovamos o CryptoGuard", completa Loman.
"O CryptoGuard não procura por ransomware. Em vez disso, ele se concentra nos alvos principais: os arquivos. A solução examina os documentos, detectando sinais de manipulação e criptografia. Notavelmente, essa estratégia autônoma não depende de indicadores de violação, códigos de reconhecimento de padrões de ameaças, inteligência artificial, pesquisas na nuvem ou conhecimento prévio para ser eficaz. Ao nos concentrarmos nos arquivos, podemos alterar o equilíbrio de poder entre os invasores e as empresas. Estamos aumentando o custo e a complexidade para que os criminosos não criptografem dados com sucesso, de modo que eles abandonem seus objetivos. Essa é uma parte da nossa estratégia de abordagem de defesa assimétrica", explica Loman.
Ainda de acordo com o executivo, "o ransomware remoto é um grande problema para as companhias e está aumentando a longevidade do ransomware de forma geral. Como a leitura de dados em uma conexão de rede é mais lenta do que em um disco local, temos visto grupos, como o LockBit e o Akira, criptografarem estrategicamente apenas uma fração de cada arquivo. Essa abordagem visa maximizar o impacto em um tempo mínimo, reduzindo ainda mais o espaço de tempo para que as organizações percebam o ataque e respondam. A abordagem da Sophos à tecnologia anti-ransomware impede tanto os ataques remotos quanto aqueles que criptografam apenas 3% de um arquivo. Esperamos informar a todos sobre esse método de ataque para que possam proteger os dispositivos adequadamente", conclui Loman.