Simulador de Ransomware, a sua rede é eficaz no bloqueio de ransomware? 

Simulador de Ransomware, a sua rede é eficaz no bloqueio de ransomware?  Avalie se seu endpoint está preparado para te protege destas ameaças.

A proteção do seu endpoint irá realmente bloquear infecções de ransomware e criptomineração ?  Os malfeitores estão constantemente lançando novas versões de cepas de ransomware para evitar a detecção. O seu software de proteção de endpoint é eficaz no bloqueio de ransomware quando os funcionários caem em ataques de engenharia social?

Painel RanSim

A KnowBe4 disponibilizou um Simulador de Ransomware “RanSim” que oferece uma visão rápida da eficácia da proteção de rede existente. O RanSim simulará 20 cenários de infecção de ransomware e 1 cenário de infecção de criptomineração para mostrar se uma estação de trabalho está vulnerável.

RanSim é uma ferramenta que simula o comportamento de ransomware para verificar se uma estação de trabalho está bem protegida com um software de segurança de endpoint que seria capaz de detectar e prevenir ataques reais de ransomware. Ele também permite que você veja se este software está bloqueando arquivos incorretamente ao executar cenários de “falso positivo“. Você pode opcionalmente selecionar arquivos específicos que gostaria de testar para ver como eles seriam afetados pelas simulações de ransomware.

O Simulador de Ransomware “RanSim” do KnowBe4 oferece uma visão rápida da eficácia da proteção de endpoint existente.O RanSim simulará 22 cenários de infecção de ransomware e 1 cenário de infecção de criptomineração para mostrar se uma estação de trabalho está vulnerável.

Isso é gratuito e levará 5 minutos no máximo. O RanSim pode lhe dar algumas dicas sobre a segurança do seu endpoint que você nunca esperava!

Como funciona

  • Simulação 100% inofensiva de infecções reais de ransomware e criptomineração
  • Não usa nenhum de seus próprios arquivos
  • Testa 23 tipos de cenários de infecção
  • Basta baixar o instalador e executá-lo
     
  • Resultados em alguns minutos! 

O programa é gratuito e levará 5 minutos no máximo. O RanSim pode lhe dar algumas dicas sobre a segurança do seu endpoint que você nunca esperava!

Cenários de Teste

BlackKingDom Variant Simula ransomware complexo que parece ser remendado em Python, usando elementos de código idênticos a fragmentos compartilhados em fóruns de desenvolvimento legítimos, juntamente com métodos abaixo do ideal e linhas de código não utilizadas ou extintas. 

Exemplo: Black KingDom ou GAmmAWare



Collaborator Simula ransomware complexo que criptografa arquivos usando vários processos. Nesse cenário, o executável principal chama outros processos (processos cmd.exe diferentes executando comandos diferentes) para enumerar os arquivos para criptografar, mover e excluir os arquivos originais. O cenário principal somente realiza a criptografia em arquivos temporários. 

Exemplo: Atualmente, não há exemplos específicos deste cenário. No entanto, os produtos anti-ransomware devem estar preparados para detectar e interromper esse tipo de padrão de ataque.


CritroniVariant Simula ransomware que criptografa arquivos usando um padrão de ataque incomum. 

Exemplo: Critoni ou CBT


DearCry Variant

Criptografa arquivos criando cópias dos arquivos atacados e exclui os originais. A criptografia é baseada em um criptossistema de chave pública embutido no binário ransomware, o que significa que ele não precisa entrar em contato com o servidor de comando e controle do invasor para criptografar os arquivos.

Exemplo: DearCry


Hollow Injector

Simula ransomware que usa o processo de esvaziamento para injetar código de ransomware em um processo legítimo.

Exemplo: Jaff ou GrandCrab


Injetor

Criptografa arquivos injetando o código de criptografia em um processo legítimo usando uma abordagem comum (injeção de DLL).

Exemplo: Gandcrab


InsideCryptor

Simula ransomware que criptografa arquivos e grava os dados criptografados dentro do arquivo original, substituindo a maior parte do conteúdo original a partir do deslocamento 512, de modo que os 512 bytes originais do arquivo sejam preservados.

Exemplo: PClock


LockyVariant

Simula uma variante recente do Locky (apenas as ações do arquivo, não o algoritmo de criptografia).

Exemplo: Locky


MazeVariant

Simula operações relacionadas a arquivos realizadas pelo Maze ransomware.

Exemplo: labirinto


Mover

Simula ransomware que criptografa arquivos e os coloca em uma subpasta da pasta original.

Exemplo: Alpha



PaymerVariant
Simula operações relacionadas a arquivos realizadas por ransomware semelhante ao DoppelPaymer. 

Exemplo: DoppelPaymer


Reflective Injector Criptografa arquivos injetando o código de criptografia em um processo legítimo usando uma abordagem avançada (sem arquivos, injeção reflexiva). 

Exemplo: quimera ou rokku


Replacer Simula um ataque realizado por uma classe de ransomware que sobrescreve o conteúdo de arquivos com certas extensões (por exemplo, docx, xlsx, pptx, pdf, png, jpg) com conteúdo predefinido no mesmo formato dos arquivos originais e, em seguida, pede aos usuários para pagar um resgate para poder restaurar o conteúdo original dos arquivos originais. Os usuários que são vítimas desse tipo de ransomware não têm garantia de que conseguirão recuperar seus arquivos porque a substituição não implica que o conteúdo original também seja preservado (criptografado ou não). 

Exemplo: DirCrypt


RigSimulator

Simula criptomineração que extrai criptomoeda (Monero) usando a CPU da máquina.

Exemplo: XMRig


RIPlacer

Simula ransomware que testa se as máquinas protegidas pela tecnologia anti-ransomware Microsoft Controlled Folder Access são vulneráveis ​​a esse ataque.

Exemplo: Atualmente, não há exemplos específicos deste cenário. No entanto, os produtos anti-ransomware devem estar preparados para detectar e interromper esse tipo de padrão de ataque.


SlowCryptor

Simula ransomware que criptografa arquivos lentamente para evitar a detecção. Por exemplo, os arquivos podem ser infectados em torno de um arquivo a cada 2 segundos.

Exemplo: variante FCrypt


Streamer

Simula ransomware que criptografa vários arquivos e grava os dados criptografados em um único arquivo (o conceito é semelhante ao conceito de compactar vários arquivos em um único arquivo).

Exemplo: Bart


StrongCryptor

Simula um ataque executado pela maioria dos ransomware. Para cada arquivo de teste, o simulador cria um novo arquivo que contém o conteúdo criptografado do arquivo original e, em seguida, exclui com segurança (substitui o conteúdo e as exclusões) o arquivo original. A criptografia é realizada usando AES.

Exemplo: variante do CryptoLocker sem comunicação de rede.


StrongCryptorFast

Simula um ataque executado por muitos ransomware. Para cada arquivo de teste, o simulador cria um novo arquivo que contém o conteúdo criptografado do arquivo original. Depois que todos os arquivos de teste foram processados, eles são todos excluídos para que apenas as versões criptografadas permaneçam disponíveis no sistema. A criptografia é realizada usando AES.

Exemplo: CryptoLocker, exceto criptografia e remoção do conteúdo original, é aplicado separadamente para vários arquivos.


StrongCryptorNet

Simula um ataque executado por muitas variantes de ransomware. Para cada arquivo de teste, o simulador gera um novo arquivo que contém o conteúdo criptografado do arquivo original e, em seguida, exclui o arquivo original. A criptografia é realizada usando AES. Nesse cenário, o simulador também tenta criar uma conexão HTTP com o endereço IP 127.0.0.1 na porta 23054 para enviar a chave de criptografia.

Exemplo: variante do CryptoLocker com comunicação do servidor de comando e controle.


ThorVariant Simula uma variante do Thor (apenas as ações do arquivo, não o algoritmo de criptografia). 

Exemplo: Thor


VirlockVariant Simula um ransomware muito complexo. Ao contrário dos outros cenários, este depende de um processo de “cão de guarda” que é iniciado pelo cenário principal. Se o cenário principal estiver bloqueado, o watchdog irá recriá-lo e reiniciá-lo. 

Exemplo: Virlock


WeakCryptor

Simula um ataque executado usando um tipo de criptografia muito fraco. Para cada arquivo de teste, o simulador cria um novo arquivo que contém o conteúdo criptografado do arquivo original e, em seguida, exclui o arquivo original. A criptografia é simulada compactando o conteúdo original usando GZip e, em seguida, substituindo o primeiro byte do resultado (0x1F) por 0x00.

Exemplo: TeleCrypt


Cenários de falso positivo

Os cenários do Archiver e Remover não simulam ransomware e não devem ser bloqueados pelo seu antivírus. Se um desses dois cenários estiver bloqueado, ele será relatado como “bloqueado incorretamente” em seus resultados.

Se um cenário de falso positivo for bloqueado incorretamente, ele será mostrado na contagem de BLOQUEADOS INCORRETAMENTE. Por exemplo, se o seu software de segurança bloqueia todos os 23 cenários, seus resultados devem ser assim:

    • VULNERÁVEL 0/23
    • NÃO VULNERÁVEL 23/23
    • BLOQUEADO INCORRETAMENTE 2/2

Idealmente, seus resultados devem ser semelhantes a este se o seu software de segurança bloquear apenas os 23 cenários de ransomware e permitir que os cenários de falsos positivos sejam executados sem problemas:

    • VULNERÁVEL 0/23
    • NÃO VULNERÁVEL 23/23
    • BLOQUEADO INCORRETAMENTE 0/2

Se os cenários de falso positivo forem bloqueados, seus resultados não serão uma medida confiável da eficácia do seu software de segurança. Infelizmente, não podemos fornecer nenhuma correção para evitar que cenários de falsos positivos sejam bloqueados.

Baixe RanSim da Knowbe4 em https://info.knowbe4.com/ransomware-simulator-tool-email

Fonte: KnowBe4

Veja também:

About mindsecblog 1401 Articles
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

3 Trackbacks / Pingbacks

  1. LGPD - Instituição de Ensino é condenada por uso ilegal de dados pessoais.
  2. Vulnerabilidade grave no Microsoft Azure expôs os dados de milhares de clientes
  3. Nova versão do Infection Monkey permite simular ataques de ransomware

Deixe sua opinião!