O que é um ataque de ransomware?

Os efeitos devastadores do ransomware continuaram a crescer nas últimas duas décadas, vimos os ataques mudarem de oportunistas do estilo “esmagar e agarrar” para ataques cuidadosamente orquestrados. Indivíduos e organizações empresariais continuaram a ser vítimas de ransomware onde, em 2021, as vítimas foram forçadas a pagar um resgate médio de US$ 570.000.

Nesta postagem do blog, faremos uma introdução de alto nível sobre o que é ransomware e descrever as etapas que as organizações devem seguir para prevenir os ataques.

O que é Ransomware?

Ransomware descreve uma classe de malware usada para extorquir digitalmente as vítimas ao pagamento de uma taxa específica. Depois que o computador da vítima é bloqueado ou criptografado, os agentes de ransomware geralmente tentam extorquir dinheiro da vítima exibindo um alerta na tela. As vítimas são notificadas de que, a menos que um resgate seja pago, o acesso não será restaurado.

Os agentes de ransomware sabem como suas campanhas podem ser lucrativas e expandiram o escopo de seus ataques para não apenas extorquir usuários individuais, mas também interromper negócios inteiros e infraestrutura crítica.

Como um computador é infectado com ransomware?

O ransomware é geralmente espalhado por e-mails de phishing que contêm anexos maliciosos ou por meio de download drive-by. O download drive-by ocorre quando um usuário inadvertidamente visita um site infectado e, em seguida, o malware é baixado e instalado sem o conhecimento do usuário.

Os desenvolvedores de ransomware incorporaram recursos como worms em seu malware, para que ele se espalhe pelas redes corporativas automaticamente. Isso garante que o ransomware persista mesmo que o computador acessado seja inicialmente corrigido.

Como o Ransomware evoluiu?

Como mencionado anteriormente, os cibercriminosos de ransomware mudaram suas táticas. Começando por volta de 2019, eles passaram de ataques oportunistas e rápidos para ataques mais calculados e avançados no estilo de ameaças persistentes (APT). Esse estilo de ataque permite que os cibercriminosos extraiam dados confidenciais antes de criptografar os hosts afetados, abrindo as portas para a extorsão em vários níveis. Eles vão além de extorquir organizações para descriptografar os hosts afetados e extorquir organizações para impedir a liberação de dados confidenciais. Esta estratégia rendeu-lhes lucros muito maiores

Essas ameaças de extorsão em vários níveis deram aos invasores mais influência, de modo que suas vítimas foram pressionadas a pagar. As demandas podem ser muito altas, como mostrou o preço inicial de US$ 34 milhões durante o ataque à Foxconn, e a tendência é que o número de ataques cresça em 2022.

Variantes comuns de ransomware.

Ransomware é um rótulo geral para um grupo de diferentes tipos de malware. Todos eles têm a característica comum de exigir um pagamento de resgate para remoção, mas nem todos se comportam da mesma maneira.

A seguir estão alguns dos tipos mais comuns:

  • Locker ransomware foi a primeira variante a ser descoberta. Como o próprio nome sugere, ele bloqueia os usuários de seus computadores e exige alguma forma de pagamento. Esta é uma das versões mais debilitantes, pois requer, muitas vezes,uma limpeza do sistema para remover. Infelizmente, pagar o resgate nem sempre funciona; alguns hackers incorporaram software de roubo de senhas mesmo depois que o resgate foi pago.
  • A principal diferença do Crypto ransomware é que o pagamento é exigido na forma de uma criptomoeda. Os hackers geralmente bloqueiam os arquivos do usuário e exigem pagamento por meio de um endereço de criptomoeda anônimo.
  • O Leakware funciona roubando as informações e ameaçando o vazamento dos dados caso o regate não seja pago. Os detalhes direcionados podem incluir informações bancárias, contatos, fotos íntimas e documentos pessoais. É uma tática especialmente bem-sucedida, pois faz com que a vítima entre em pânico e responda.
  • Scareware geralmente se apresenta como um software de segurança falso. Uma vez baixado, ele alerta sobre problemas que custam dinheiro extra para corrigir. Em alguns casos, pela abundante quantidade de alertas e pop-ups o computador fica inutilizável até que o usuário pague pela correção dos problemas.

Ransomware as a Service (RaaS) é um tipo de meta-malware empregado por criminosos profissionais. Um hacker contrata seus serviços criando e distribuindo ransomware em troca de uma parte do pagamento. Esse tipo é particularmente perigoso, pois pode ser usado por qualquer pessoa que queira vingança e qualquer um pode ser o alvo.

Como prevenir ransomwares?

Várias dessas etapas são geralmente consideradas práticas recomendadas de segurança para um programa de segurança maduro. Essas etapas garantem que a organização tenha as políticas, processos e procedimentos corretos em vigor para reduzir o risco de um ataque de ransomware.

  1. Manter sistemas atualizados. Aplicativos e sistemas operacionais vulneráveis ​​são os alvos da maioria dos ataques. Garantir que eles sejam corrigidos com as atualizações mais recentes reduz bastante o número de pontos de entrada exploráveis ​​disponíveis para um invasor.
  2. Empregue um plano de backup e recuperação de dados para dados críticos. Sua organização deve realizar e testar backups regulares para limitar o impacto da perda de dados ou do sistema e agilizar o processo de recuperação. Observe que os backups conectados à rede também podem ser afetados por ransomware; backups críticos devem ser isolados da rede para proteção ideal.
  3. Desenvolva seu plano de resposta a incidentes. Crie, mantenha e exerça um plano básico de resposta a incidentes cibernéticos e um plano de comunicação associado que inclua procedimentos de resposta e notificação para um incidente de ransomware.
  4. Elaborar políticas e linhas de base de segurança cibernética. Considere desenvolver políticas e linhas de base em torno de controles específicos, como firewalls, verificação de e-mail, lista de permissões de aplicativos e acesso remoto.
  5. Implemente uma visibilidade abrangente da rede. Os invasores de ransomware modernos estão morando nas redes das vítimas para roubar dados confidenciais e maximizar o impacto de sua extorsão. Como resultado, eles estão mantendo a persistência, movendo-se lateralmente, aproveitando as ferramentas de acesso remoto e aumentando seus privilégios. Todas essas ações geram tráfego de rede que pode ser detectado e corrigido por uma equipe de segurança com visibilidade de rede.
  6. Conscientize os funcionários. Uma pessoa que sabe o que procurar será mais eficaz no combate a possíveis ataques de phishing ou engenharia social. Implemente um programa de conscientização e treinamento de segurança que ensine os funcionários a avaliar se um anexo, link ou email é confiável.
  7. Proteja os dispositivos com software antivírus. Bons conjuntos de antivírus são essenciais para combater o ransomware. Eles alertarão os usuários assim que localizarem um problema e poderão remover a infecção facilmente. Alguns aplicativos antivírus fornecem ferramentas gratuitas de descriptografia de ransomware para malware com criptografia de baixo nível.
  8. Implemente uma capacidade proativa de caça a ameaças. A caça a ameaças é a prática de procurar proativamente por ameaças cibernéticas que estão à espreita sem serem detectadas em uma rede. A caça a ameaças cibernéticas se aprofunda para encontrar agentes mal-intencionados em ambientes que passaram pelas defesas de segurança de endpoint iniciais.

A caça a ameaças é altamente complementar ao processo padrão de detecção, resposta e remediação de incidentes. À medida que as tecnologias de segurança analisam os dados brutos para gerar alertas, a caça às ameaças está funcionando em paralelo – usando consultas e automação – para extrair leads de caça dos mesmos dados.

A caça proativa permite que sua equipe de segurança interrompa uma ameaça em potencial antes que o invasor possa implantar o ransomware em seu ambiente.

  1. Implemente uma postura de segurança Zero Trust. A implementação de uma postura de segurança Zero Trust coloca a defesa contra ransomware na identidade do usuário e no gerenciamento de acesso. Isso é adequado, pois o erro humano é a causa raiz da maioria dos ataques de ransomware.

Zero Trust ajuda a reduzir significativamente a superfície de ataque, pois os usuários internos e externos só têm acesso a recursos limitados e todos os outros recursos estão completamente ocultos. Além disso, o Zero Trust fornece recursos de monitoramento, detecção e inspeção de ameaças, necessários para evitar ataques de ransomware e exfiltração de dados confidenciais.

Sua empresa é alvo de ataques de ransomware?

A resposta curta para essa pergunta é sim: toda empresa e organizações de pequeno e médio porte estão vulneráveis, especialmente à luz dos recentes ataques de ransomware.

A resposta longa, é mais complicada. Sua vulnerabilidade e capacidade de prevenir ransomware podem depender de quão atraentes seus dados são para os cibercriminosos, quanta visibilidade você tem em seu tráfego de rede, quão madura é sua postura de segurança e quão vigorosamente você mantém os funcionários treinados sobre e-mails de phishing, entre outros fatores.

Conclusão

Alimentado por acesso mais fácil e maiores retornos financeiros, o número de ataques de ransomware provavelmente continuará a crescer em 2022 e além. Prevemos que os cibercriminosos terão como alvo grandes empresas, infraestrutura crítica, governo, educação e saúde.

A prevenção eficaz de ransomware requer visibilidade abrangente da rede combinada com um recurso eficaz de detecção de ameaças e resposta a incidentes.

Supere a ameaça dos sofisticados ataques de ransomware atuais que as ferramentas tradicionais perdem, com a Gigamon.

A CLM é distribuidora de Gigamon e trabalha com tecnologia de valor agregado em soluções líderes de Segurança da Informação (Cloud & Perimeter), Infraestrutura Avançada de Data Center & Nuvem Privada, Gerenciamento de Identidade, LGPD & Governança e Serviços em Nuvem.

Quer saber mais como as soluções da Gigamon podem ajudar na segurança de TI?
Entre em contato com martina.vilalobos@clm.com.br