Governo da Nova Zelândia lança guia de proteção contra ransomware para empresas

A Equipe de Resposta a Emergências de Computadores da Nova Zelândia (CERT NZ) lançou um guia sobre proteção contra ransomware para empresas. O guia inclui um par de diagramas úteis que descrevem diferentes caminhos de ataque de ransomware e ilustram onde os controles de segurança relevantes podem funcionar para proteger ou interromper um ataque.

A Equipe de Resposta a Emergências de Computadores da Nova Zelândia (CERT NZ) lançou um guia sobre proteção contra ransomware para empresas. O guia inclui um par de diagramas úteis que descrevem diferentes caminhos de ataque de ransomware e ilustram onde os controles de segurança relevantes podem funcionar para proteger ou interromper um ataque.

Você pode conferir o guia original na íntegra clicando aqui.

Proteção contra ransomware

Os ataques de ransomware estão se tornando cada vez mais comuns, com invasores usando métodos mais sofisticados para tentar colocar as mãos em seus dados. Este guia examina como os ataques de ransomware acontecem e recomenda etapas que você e seu provedor de TI possam seguir para ajudar a proteger sua empresa.

Ransomware, em resumo, é um tipo de software malicioso que nega a alguém o acesso aos seus arquivos ou sistema de computador, a menos que pague um resgate.

Como a maioria dos ataques cibernéticos, o ransomware é motivado financeiramente. Os invasores geralmente visam uma empresa e definem a demanda de resgate com base no que acreditam que a empresa estaria disposta a pagar para recuperar seus dados criptografados.

O CERT NZ não recomenda pagar o resgate. Isso não garante que seus arquivos serão devolvidos e pode torná-lo um alvo para novos ataques.

Junto com as demandas financeiras iniciais, o ransomware pode ser prejudicial de várias maneiras, como bloquear os funcionários dos sistemas e interromper significativamente as operações e serviços do dia a dia.

Embora existam diferentes tipos de ransomware, a maioria dos ataques segue um de alguns caminhos previsíveis. A vantagem disso significa que todas as empresas podem tomar medidas preventivas para se proteger contra um ataque. Essas etapas atuam como obstáculos que chamamos de controles de segurança. Esses controles podem ser tão simples quanto aplicar atualizações de software ou ativar a autenticação de dois fatores (2FA). Outras etapas são mais técnicas e devem ser discutidas com seu provedor de TI.

Os diagramas abaixo descrevem diferentes caminhos de ataque de ransomware e ilustram onde os controles de segurança relevantes funcionam para proteger ou interromper um ataque.

Os caminhos de ataque comuns de um incidente de ransomware operado por humanos com base em exemplos que o CERT NZ viu

A Equipe de Resposta a Emergências de Computadores da Nova Zelândia (CERT NZ) lançou um guia sobre proteção contra ransomware para empresas. O guia inclui um par de diagramas úteis que descrevem diferentes caminhos de ataque de ransomware e ilustram onde os controles de segurança relevantes podem funcionar para proteger ou interromper um ataque.

Trabalhando da esquerda para a direita, o atacante começa com uma das quatro entradas de canais de ataque e segue o caminho até chegar a um ponto onde pode exigir um resgate. Nós dividimos isso passo a passo.

A defesa contra ransomware não precisa ser complicada. Ao analisar os caminhos que os invasores seguem, mostramos quais controles de segurança podem impedir um ataque de ransomware. Não se pode confiar em nenhuma ferramenta ou controle único para impedir todos os ataques, mas, em combinação, esses controles colocam você em uma boa posição para se proteger contra qualquer ataque (não apenas ransomware) que provavelmente enfrentará.

Como proteger sua empresa contra um ataque de ransomware

A Equipe de Resposta a Emergências de Computadores da Nova Zelândia (CERT NZ) lançou um guia sobre proteção contra ransomware para empresas. O guia inclui um par de diagramas úteis que descrevem diferentes caminhos de ataque de ransomware e ilustram onde os controles de segurança relevantes podem funcionar para proteger ou interromper um ataque.

Existem muitos pontos onde os controles de segurança podem impedir um ataque. Quando combinadas, você pode fazer uma defesa robusta que pode protegê-lo contra uma variedade de incidentes de segurança cibernética – não importa como comece ou qual seja o objetivo final do invasor. Alguns desses controles podem ser fáceis de fazer, por exemplo, aplicar atualizações em todos os seus dispositivos – onde outros podem exigir suporte de um provedor de TI.

Usando este diagrama, você pode percorrer os caminhos e discutir com um provedor de TI como implementar os controles de segurança relevantes para o seu negócio e saber que tipo de perguntas fazer.

Um controle de segurança que aparece muito ao longo do caminho é o registro e o alerta. Isso ocorre porque a primeira etapa para responder a um incidente de segurança é ser capaz de detectá-lo e investigá-lo. Ter um bom registro e alerta é uma das principais maneiras de seu provedor de TI detectar algo acontecendo antes que fique muito sério.

Acesso inicial

Na fase inicial de acesso, um invasor está tentando encontrar uma maneira de entrar em seus sistemas e redes de computador. As maneiras mais comuns de os invasores entrarem são:

obter nomes de usuário e senhas para fazer login em seu computador;

explorar fraquezas em sistemas expostos à Internet, como e-mail ou sistemas de acesso remoto; e

envio de malware por meio de anexos de e-mail maliciosos.

Ao tornar esses métodos mais difíceis, você reduz a probabilidade de um invasor conseguir entrar em seus computadores e realizar o ataque. O melhor lugar para parar um ataque é antes dele começar. Veja como você pode interromper cada um desses métodos.

Os invasores usam phishing ou adivinhação de senha para obter combinações válidas de nome de usuário e senha e usam essas informações para fazer login em sistemas como e-mail ou sistemas de acesso remoto. Para se proteger contra o login de um invasor em seu sistema de acesso remoto, use senhas longas, fortes e exclusivas e ative o 2FA. Isso tornará muito difícil para um invasor obter acesso. Evite usar o SMS, pois tem falhas de segurança.

Ao manter todos os seus sistemas operacionais e software atualizados, você limita o número de pontos fracos que um invasor pode explorar para obter acesso aos seus computadores. Você deve identificar quaisquer sistemas que possam estar expostos à Internet e bloqueá-los. Pode ser necessária a ajuda de um provedor de TI para fazer isso. Os sistemas expostos à Internet são muito mais fáceis de serem acessados ​​por um invasor, portanto, ter seu firewall de Internet bloqueando esse acesso ajuda a mantê-lo seguro.

Outra coisa comum que os invasores podem tentar é enviar um documento ou planilha que, se aberto, tentará carregar malware em seu computador sem você saber. Parar o ataque aqui pode ser conseguido usando um software de proteção de endpoint moderno, por exemplo, seu provedor de TI pode falar sobre as ferramentas de detecção e resposta de endpoint (EDR) que eles suportam. Isso substitui o software antivírus tradicional e é mais adequado para impedir essas ameaças modernas.

Consolidação e preparação

Nesta fase, o invasor tentará sair do computador inicial que comprometeu e obter acesso administrativo a todos os computadores e dispositivos em sua empresa.

Assumir o controle é onde um invasor carregará malware no dispositivo comprometido. Isso permite que eles mantenham seu acesso (por exemplo, se você reiniciar o computador) e emita comandos para que o computador acesse outros dispositivos em sua rede. Mais uma vez, as ferramentas EDR são uma das melhores defesas para impedir o ataque.

Depois que o invasor estabelece sua capacidade de assumir o controle e implantar malware adicional, ele procura expandir seu acesso e obter acesso administrativo total a todos os dispositivos em sua rede. Bloquear o uso de contas administrativas, bem como usar controles de rede, como firewalls, pode ajudar a impedir que um invasor seja capaz de se mover de um dispositivo para outro. Limitar o invasor a apenas um subconjunto de seus dispositivos de negócios pode limitar os danos e permitir que você continue operando, mesmo que alguns dos dispositivos tenham sido criptografados.

Impacto no alvo

A Equipe de Resposta a Emergências de Computadores da Nova Zelândia (CERT NZ) lançou um guia sobre proteção contra ransomware para empresas. O guia inclui um par de diagramas úteis que descrevem diferentes caminhos de ataque de ransomware e ilustram onde os controles de segurança relevantes podem funcionar para proteger ou interromper um ataque.

Nesta fase, o invasor obteve acesso aos diferentes sistemas de sua empresa e agora está pronto para executar a parte mais prejudicial do ataque.

Os invasores muitas vezes roubam os dados confidenciais da sua empresa e exigem pagamento para não liberar ou vender essas informações. Eles também excluem cópias de backup de seus dados e, finalmente, criptografam seus dados e sistemas para interromper suas operações.

Se você tiver um bom registro em sua infraestrutura de rede (por exemplo, firewall), poderá detectar dados sendo copiados de sua rede, o que pode ser um sinal de atividade mal-intencionada.

Para fazer sua empresa voltar a funcionar rapidamente, é importante ter backups robustos e testados. Eles devem ser mantidos offline e / ou desconectados de seus computadores para que um invasor não possa excluí-los.

Tão importante quanto proteger sua rede contra ataques, é estar preparado para se recuperar de um caso ele ocorra. A melhor maneira de se preparar para lidar com um incidente de ransomware é ter um plano de resposta a incidentes, para detalhar o que fazer quando as coisas dão errado e seus computadores não estão funcionando. Mantenha uma cópia impressa junto com os principais contatos para que possa consultar, mesmo que seus documentos comerciais tenham sido criptografados.

Para saber mais sobre os riscos dos ataques de Ransomware, recomendamos que ouça o Seginfocast n.80, que apresentou esse tema e muitas outras dicas clicando aqui.

Fonte: www.cert.govt.nz

Posts relacionados: US-CERT divulga dicas para proteção contra Ransomware / Como age um ransomware e como evitá-lo e Reino Unido lança orientação sobre a adoção de uma arquitetura Zero Trust