Configurando o Wazuh para detecção dos ransomwares BlackSuit e Lockbit

O ransomware é uma das ameaças cibernéticas mais destrutivas para empresas, causando grandes prejuízos financeiros e operacionais. 

O BlackSuit e o Lockbit 3.0 são variantes avançadas que exploram vulnerabilidades para criptografar dados críticos. 

Essas ameaças exigem estratégias eficazes de detecção e resposta para minimizar os impactos. 

O Wazuh oferece recursos poderosos para monitoramento e mitigação, combinando análise de comportamento, Sysmon, YARA e regras personalizadas. 

No último artigo da série "Explorando o Poder do Wazuh", mostramos como configurar a ferramenta para detectar e responder ao BlackSuit e Lockbit 3.0.

Nosso objetivo é ajudá-lo a fortalecer a segurança e resiliência cibernética da sua empresa contra essas ameaças avançadas.

1. Detecção do ransomware BlackSuit com Wazuh

O ransomware BlackSuit representa uma séria ameaça para organizações de setores críticos, sendo projetado para infiltrar sistemas e criptografar dados essenciais. 

Sua capacidade de causar perdas financeiras e interromper operações destaca a necessidade de mecanismos eficazes de detecção e resposta. 

O Wazuh permite identificar e mitigar a ação do BlackSuit em endpoints Windows.

1.1. Comportamento do ransomware BlackSuit 

O BlackSuit utiliza argumentos de linha de comando para executar sua rotina de criptografia. 

Além disso, remove cópias de sombra do sistema usando o comando:

O malware também emprega o Microsoft-Windows-RestartManager para garantir a criptografia do maior número possível de arquivos e cria uma nota de resgate intitulada README.BlackSuit.txt em diversos diretórios.

1.2. Detecção baseada em Sysmon e regras personalizadas

A detecção do BlackSuit pelo Wazuh envolve a configuração do Sysmon para monitoramento de eventos no endpoint Windows e a implementação de regras personalizadas no Wazuh Server.

Configuração do Sysmon no endpoint

1. Baixe e extraia o Sysmon.

2. Obtenha o arquivo de configuração:

3. Instale o Sysmon:

4. Configure o Wazuh Agent para monitorar eventos do Sysmon e reinicie o serviço:
Restart-Service -Name wazuh

Criação de regras no Wazuh Server

Crie um arquivo de regras blacksuit_ransomware.xml no diretório /var/ossec/etc/rules/ e adicione as seguintes regras:

Reinicie o Wazuh Manager para aplicar as mudanças:

systemctl restart wazuh-manager

Visualização de alertas no Wazuh Dashboard

Para analisar alertas gerados, acesse o Wazuh Dashboard e filtre pelos IDs de regra 100011, 100012 e 100013 na seção Threat Hunting.

1.3. Integração com YARA para detecção de arquivos maliciosos

O Wazuh pode utilizar o YARA para identificar artefatos maliciosos em arquivos modificados. 

Para ativar essa funcionalidade:

1. Instale o Python e o Microsoft Visual C++ Redistributable.
2. Baixe e extraia o YARA.
3. Instale a API Valhalla para obter regras YARA:
   pip install valhallaAPI
4. Crie um script para baixar regras e copie-as para o diretório do Wazuh Agent.

Com essas configurações, o Wazuh se torna uma ferramenta poderosa na detecção e resposta ao ransomware BlackSuit, aumentando a segurança das organizações contra esse tipo de ameaça.

2. Detecção do ransomware Lockbit com Wazuh

O Lockbit 3.0 é uma versão avançada de um dos ransomwares mais perigosos da atualidade. 

Ele se destaca por sua capacidade de evasão, criptografia agressiva de arquivos e uso de técnicas sofisticadas para comprometer sistemas. 

Para mitigar os riscos desse ransomware, o Wazuh pode ser configurado com várias camadas de detecção, incluindo integração com VirusTotal, monitoramento com Sysmon e regras YARA.

2.1 Comportamento do ransomware Lockbit 3.0

O Lockbit 3.0 é uma das variantes mais sofisticadas de ransomware, operando sob o modelo ransomware as a service (RaaS). 

Ele atinge principalmente dispositivos Windows explorando portas RDP expostas e vulnerabilidades não corrigidas. 

Antes da execução, o malware usa um token de acesso para descriptografar seu código-fonte. 

Em seguida, desativa o Windows Defender, os logs de eventos e serviços de backup. 

O ransomware criptografa arquivos, altera suas extensões para strings aleatórias e substitui os ícones. 

Além disso, espalha notas de resgate em múltiplas pastas, com nomes aleatórios no formato <random_string>.README.txt, exigindo pagamento para recuperação dos dados.

2.2. Configuração da integração com VirusTotal

O VirusTotal permite que o Wazuh verifique automaticamente os hashes de arquivos criados ou modificados em um endpoint monitorado. 

Para ativar essa funcionalidade:

1. No servidor Wazuh, habilite a integração com a API do VirusTotal.
2. Configure o File Integrity Monitoring (FIM) para monitorar diretórios sensíveis, como Downloads.
3. Sempre que um arquivo suspeito for detectado, um alerta será gerado no dashboard do Wazuh.

2.3. Detecção baseada em Sysmon e regras personalizadas

O Lockbit 3.0 utiliza técnicas para desativar serviços críticos, como o Windows Defender, e alterar registros do sistema. 

Para detectar essas atividades:

1. Instale o Sysmon no endpoint monitorado:

2. Configure o agente do Wazuh para coletar logs do Sysmon adicionando o seguinte bloco ao ossec.conf:

3. Crie regras de detecção:

Para identificar a execução do ransomware:

Para identificar a criação de notas de resgate:

4. Reinicie o Wazuh Manager para aplicar as regras:

systemctl restart wazuh-manager

2.4. Detecção e remoção de arquivos maliciosos com YARA

O YARA pode ser integrado ao Wazuh para identificar artefatos do Lockbit 3.0 e remover automaticamente arquivos suspeitos.

Configuração:

1. Instale o YARA no endpoint monitorado.
2. Ative o File Integrity Monitoring para acompanhar diretórios críticos.
3. Crie regras YARA para identificar padrões do ransomware e configure o Wazuh Active Response para excluir arquivos maliciosos.

Com essas configurações, o Wazuh pode melhorar significativamente a detecção e resposta contra o Lockbit 3.0, ajudando a proteger os sistemas contra esse ransomware avançado.

3. Conclusão

A evolução dos ransomwares, como BlackSuit e Lockbit, exige que as organizações adotem estratégias de defesa mais robustas e proativas. 

A configuração adequada do Wazuh permite detectar essas ameaças com maior precisão, garantindo monitoramento contínuo, automação de respostas e análise centralizada de eventos.

Na Diazero Security, combinamos expertise técnica com soluções personalizadas para fortalecer sua postura de segurança. 

Como parceira oficial do Wazuh, oferecemos suporte especializado para implementação e gestão da plataforma, além de potencializar sua eficácia com o Inopli, nossa solução proprietária.

Também realizamos simulações de ataques de ransomware, capacitando sua equipe a responder rapidamente a incidentes reais.

Com nossa abordagem de Hyper Performance, sua organização ganha em redução de custos, maior produtividade e respostas assertivas a ameaças.

Entre em contato conosco e descubra como podemos transformar sua segurança cibernética com inovação, eficiência e resiliência.