Especialistas da JPCERT (Japão) conduziram um estudo que identifica ataques de ransomware com base na análise de logs de eventos do Windows. Normalmente, uma das tarefas mais difíceis na detecção de tais ataques é identificar o vetor de penetração do invasor. Normalmente, a análise de possíveis vulnerabilidades, como dispositivos VPN, pode levar muito tempo, especialmente quando há múltiplas rotas de entrada potenciais. Portanto, a detecção eficaz de ataques começa com a identificação do grupo de invasores com base nos arquivos criptografados e nas notas de resgate deixadas no dispositivo infectado.
Leia também
UE lança certificação de segurança para produtos digitais
Ransomware de Windows agora mira Linux
No entanto, como observam os especialistas, nem sempre é possível identificar um ataque baseado em tais artefatos. Portanto, decidiram estudar se era possível usar informações dos logs de eventos do Windows para determinar o tipo de ransomware.
O estudo confirmou que alguns programas de ransomware deixam rastros distintos nos logs de eventos do Windows que permitem sua identificação. Foram analisados quatro principais logs de eventos do Windows: log de aplicativos, log de segurança, log do sistema e log de configuração, bem como diversas famílias de ransomware.
Um dos primeiros programas de ransomware descobertos nos registros foi o Conti. Este ransomware foi notado pela primeira vez em 2020, e em 2022 seu código-fonte vazou, o que levou ao aparecimento de muitas modificações. Ao criptografar arquivos, o Conti utiliza a função Restart Manager, que resulta no registro de um grande número de eventos (ID: 10000, 10001) em um curto período de tempo.
Além disso, eventos semelhantes são registrados nos logs do sistema por outros programas relacionados ao Conti, incluindo Akira, Lockbit3.0, HelloKitty, Abysslocker, avaddon, bablock.
