// INICIALIZANDO SISTEMA...
Falar no WhatsApp

Utilizamos cookies essenciais para o funcionamento do site. Ao continuar, você concorda com nossa Política de Privacidade e com a LGPD.

CyberZ
Fale Conosco
CyberWiki / Malware & Ransomware / Ransomware — Análise, Defesa e Resposta
● Intermediário 30 min de leitura Ransomware RaaS Criptografia Backup IR LockBit BlackCat ALPHV

Ransomware — Análise, Defesa e Resposta

Ransomware é a ameaça cibernética mais lucrativa da história. Grupos como LockBit, ALPHV/BlackCat e Cl0p operam como empresas — RaaS com afiliados, suporte técnico e negociação profissional. Entender como funciona é essencial para defesa e resposta a incidentes.

Como o Ransomware Funciona

Cadeia de Ataque (Kill Chain)

1. Acesso Inicial
   - Phishing com anexo malicioso (documento Office com macro)
   - Exploit de VPN/RDP exposto (CVE recente ou credencial vazada)
   - Supply chain (software legítimo comprometido)
   - Compra de acesso inicial em fóruns (Initial Access Brokers)

2. Execução e Persistência
   - Dropper instala RAT/backdoor (Cobalt Strike, Sliver, BruteRatel)
   - Persistência via registro, serviços, scheduled tasks
   - Comunicação C2 via HTTPS, DNS, ou serviços legítimos (Dropbox, GitHub)

3. Reconhecimento Interno
   - ADRecon, BloodHound para mapear Active Directory
   - Descoberta de servidores de backup, NAS, compartilhamentos de rede
   - Identificação de dados valiosos (PII, financeiro, propriedade intelectual)

4. Movimentação Lateral
   - Pass-the-Hash, Pass-the-Ticket
   - Uso de contas de serviço comprometidas
   - WMI, PSExec, RDP para se mover entre sistemas
   - Objetivo: chegar ao Domain Controller

5. Exfiltração (Double Extortion)
   - Roubo de dados antes de criptografar
   - Uploadar para servidor do grupo (Mega, Rclone, etc.)
   - Pressão adicional: "pague ou publicamos seus dados"

6. Implantação do Ransomware
   - Desabilitar backups: vssadmin delete shadows /all
   - Desabilitar AV/EDR via driver vulnerável (BYOVD)
   - Deploy em massa via GPO, PSExec, Cobalt Strike beacon
   - Criptografia: AES-256 por arquivo + RSA-4096 para a chave AES
   - Nota de resgate em cada diretório

Criptografia — Como Funciona

-- Esquema de criptografia típico:

1. Grupo gera par de chaves RSA (pública/privada)
   Chave privada fica no servidor do grupo

2. Ransomware embute chave RSA pública

3. Para cada arquivo:
   a. Gera chave AES-256 aleatória
   b. Criptografa arquivo com AES-256
   c. Criptografa chave AES com RSA pública
   d. Armazena chave AES criptografada junto ao arquivo

4. Sem a chave RSA privada (no servidor do grupo)
   não é possível descriptografar

-- Por que é irrecuperável sem pagamento ou backup:
-- AES-256 com chave aleatória = computacionalmente inquebrável
-- RSA-4096 = impossível fatorar sem a chave privada

Grupos Ativos e RaaS

LockBit (3.0/4.0)
  - Maior grupo de RaaS em atividade
  - Programa de afiliados: grupo fica com 20%, afiliado com 80%
  - Bug bounty próprio para encontrar vulnerabilidades no locker
  - Alvos: hospitais, infraestrutura crítica, governo

ALPHV/BlackCat
  - Primeiro ransomware escrito em Rust
  - Cross-platform: Windows, Linux, VMware ESXi
  - Triple extortion: criptografia + exfiltração + DDoS
  - Usa técnica de BYOVD (Bring Your Own Vulnerable Driver)

Cl0p
  - Especializado em exploração de zero-days em software corporativo
  - MOVEit (CVE-2023-34362): 2500+ organizações afetadas
  - GoAnywhere, Accellion FTA
  - Opera sem criptografar — só exfiltração

RoyalRansomware / BlackSuit
  - Ex-membros do Conti
  - Foco em infraestrutura crítica

Akira
  - Foco em VMware ESXi
  - Escrito em C++, sem site de negociação — usa chat Tor

Técnicas Anti-Forense e Evasão

-- Deletar Volume Shadow Copies
vssadmin delete shadows /all /quiet
wmic shadowcopy delete
wbadmin delete catalog -quiet
bcdedit /set {default} recoveryenabled No

-- Desabilitar Windows Defender
Set-MpPreference -DisableRealtimeMonitoring $true
net stop windefend

-- BYOVD — usar driver vulnerável para matar EDR
-- Driver assinado → carregado no kernel → mata processos de AV/EDR
-- Exemplos: ASUS, Dell, MSI drivers antigos com vulnerabilidades

-- Impedir boot para recuperação
bcdedit /set {default} bootstatuspolicy ignoreallfailures
bcdedit /set safeboot network

-- Criptografar backups de rede antes do locker
-- Rclone para exfiltrar via MEGA/Dropbox antes de criptografar

Resposta a Incidente — Ransomware

IMEDIATO (primeiras horas):
1. Isolar sistemas afetados da rede (não desligar — preservar memória)
2. Identificar escopo: quais sistemas foram criptografados
3. Preservar logs: Event Viewer, EDR, firewall, DNS
4. Capturar dump de memória (pode conter chave AES em memória)
5. Notificar: jurídico, CISO, ANPD (se dados pessoais afetados)
6. NÃO pagar sem consultar especialistas e autoridades

CURTO PRAZO (24-72h):
7. Identificar vetor inicial de acesso
8. Identificar conta comprometida / paciente zero
9. Verificar presença de backdoors (persistência)
10. Avaliar backups: estão intactos? Offline? Air-gapped?
11. Acionar resposta especializada (IR team)

RECUPERAÇÃO:
12. Reconstruir do zero (não confiar em sistemas comprometidos)
13. Aplicar patches no vetor de entrada
14. Rotacionar TODAS as senhas e credenciais
15. Revisar e fortalecer arquitetura de segurança

Prevenção — Controles Efetivos

  • Backup 3-2-1-1 — 3 cópias, 2 mídias diferentes, 1 offsite, 1 air-gapped (desconectado); testar restore regularmente
  • Segmentação de Rede — VLAN separada para backups, servidores críticos isolados; princípio do menor acesso
  • MFA em Tudo — VPN, RDP, email, SaaS; hardware tokens para contas privilegiadas
  • Least Privilege — usuários sem admin local; service accounts sem direitos excessivos; JIT access para admins
  • Patch Management — VPNs, firewalls e Exchange são alvos prioritários; patch em 72h para CVEs críticos
  • EDR/XDR — solução de endpoint com detecção comportamental (não só assinatura); integração com SIEM
  • Email Security — sandbox de anexos, bloqueio de macros por padrão, treinamento anti-phishing
  • Disable RDP — nunca expor RDP diretamente na internet; se necessário, sempre via VPN + MFA

Recursos de Descriptografia Gratuita

  • NoMoreRansom.org — parceria Europol + empresas de segurança com ferramentas de recuperação gratuitas
  • ID Ransomware — identifica a variante pelo arquivo criptografado ou nota de resgate
  • Avast, Kaspersky, Emsisoft — publicam decryptors para ransomware desmantelado por autoridades
Quer testar isso na prática?
A CyberZ realiza testes autorizados de segurança usando as técnicas descritas neste artigo — e muito mais. Identifique suas vulnerabilidades antes que os invasores o façam.
Falar com Especialista