by ffclavis
Bookmark

Como age um ransomware e como evitá-lo

Os ataques de ransomware estão se tornando cada vez mais comuns e sofisticados. Vamos ver neste post como os controles críticos do CERT NZ podem ajudá-lo a impedir um ataque de ransomware em seu caminho.

Os ataques de ransomware estão se tornando cada vez mais comuns e sofisticados

Metas e tendências de um ransomware

Ransomware é um crime cibernético com motivação financeira, em que os indivíduos e organizações responsáveis ​​possuem recursos suficientes e são cada vez mais sofisticados. Os ataques estão crescendo em número, com recentes incidentes direcionados aos mais altos perfis, resultando em pagamentos de resgates multimilionários para recuperar dados criptografados. Como a lucratividade dessas empresas criminosas está impulsionando o aumento desses ataques, o CERT NZ recomenda nunca pagar um resgate, pois isso ajuda a financiar esse ecossistema criminoso.
Os atacantes de ransomware continuam a desenvolver suas técnicas e operações. Como parte de sua operação, eles trabalham de modo a compreender o negócio que foi comprometido. Isso é para que eles possam exigir o maior resgate que acreditam que uma organização estaria disposta a pagar e distribuir seus esforços comprometendo redes com base no retorno esperado.

Por exemplo, eles freqüentemente realizarão sua operação em horários onde o pessoal da organização afetada está dormindo, a fim de reduzir a probabilidade de serem detectados ou interrompidos. Em muitos casos, o primeiro sinal de um incidente de ransomware é uma tela de bloqueio ou uma nota deixada nos dispositivos dizendo que os dados foram criptografados e um pagamento está sendo exigido.

Como o ransomware funciona e como você pode se proteger contra ele?

controles críticos do CERT NZ podem ajudá-lo a impedir um ataque de ransomware em seu caminho

Existem vários atacantes e variantes de ransomware, cada um com diferentes abordagens e táticas. Observando esses ataques coletivamente, podemos ver que há pontos em comum e várias oportunidades para as organizações detectar, prevenir e responder a ataques de ransomware, antes que seus dados sejam criptografados. Focar muito em um único atacante ou variante levará a defesas excessivamente limitadas e pode deixá-lo vulnerável a diferentes táticas e técnicas.

Os caminhos de ataque comuns de um incidente de ransomware operado por humanos com base em exemplos que o CERT NZ presenciou.

Dividimos um incidente de ransomware em três fases:

• ACESSO INICIAL: (Phishing, Adivinhação de Senha, Exploração de Vulnerabilidade, E-mail) -> (Credenciais Válidas, Documento Malicioso) -> (Serviço exposto na Internet, Malware).

• CONSOLIDAÇÃO E PREPARAÇÃO: (Comando e controle) -> (Movimento lateral, Escalação de Privilégios)

• IMPACTO NO ALVO: (Exfiltração de Dados, Destruição de Backups, Criptografia de Dados)

Em cada fase, diferentes atacantes usam diferentes ferramentas e técnicas, mas os objetivos de cada atacante permanecem os mesmos. Ao compreender o objetivo do invasor, você pode refinar suas defesas para torná-las mais difíceis de serem alcançadas, independentemente de quais ferramentas ou variante de ransomware você está lidando. É importante não depender de um único controle de segurança e adotar uma abordagem de defesa em profundidade. Um plano de resposta a incidentes deve ser preparado com antecedência, levando em consideração como você responderia e se recuperaria de um incidente de ransomware.

Para ajudar a preparar suas defesas, o CERT NZ mapeou os controles críticos ao longo de vários estágios do ciclo de vida de um incidente de ransomware. Isso ajudará a identificar possíveis lacunas em suas defesas e garantirá que a implementação dos controles críticos dê a você a melhor chance de parar um ataque de ransomware antes que seja tarde demais.

Como os controles críticos do CERT NZ podem ajudá-lo a impedir um ataque de ransomware em seu caminho

Como você pode ver, nenhuma ferramenta ou controle individual pode impedir um ataque de ransomware por conta própria. Uma aplicação de defesa em profundidade dos controles críticos fornece uma rede de defesa forte para detectar, prevenir e responder a qualquer ataque de ransomware potencial antes que seus dados sejam criptografados.

Para obter informações mais detalhadas sobre a defesa contra ransomware em todas as fases do ataque, junto com referências MITRE ATT&CK®, no link de referência desta nota há uma página sobre cada fase detalhando partes individuais do ataque e como os controles críticos podem impedir um invasor de atingir seus objetivos.

Fonte: How ransomware happens and how to stop it

Posts relacionados: Ameaças de Ransomware as a Service (RaaS) / NIST – Draft do Framework de Segurança Cibernética para Gerenciamento de Riscos de Ransomware e CISA – Nova ferramenta de auditoria de segurança de autoavaliação de ransomware