/
Contenção de ransomware

Entendendo o ransomware: o padrão de ataque mais comum

A transformação digital agora é a meta estratégica número um dos negócios. De Sydney a São Francisco, as salas de reuniões estão descobrindo a melhor forma de aproveitar o poder da nuvem, da IA, da IoT e muito mais para impulsionar o sucesso. Seus esforços não são apenas vitais para criar novas experiências para o cliente e otimizar os processos de negócios. Eles também são essenciais para apoiar o novo modelo de trabalho híbrido que está emergindo rapidamente das cinzas da pandemia.

No entanto, o preço que as organizações geralmente pagam pelo aumento de sua presença digital está expandindo a superfície de ataques cibernéticos. Isso gera risco cibernético, especialmente a ameaça de violações prejudiciais de ransomware.

Atualmente, dezenas de desenvolvedores de ransomware e grupos afiliados estão operando em todo o mundo. Isso significa que também há uma grande variedade de táticas, técnicas e procedimentos de ataque em circulação. Mas isso não significa que não possamos discernir um modus operandi primário. Melhor ainda, podemos pegar esse padrão geral de ataque e aplicar um processo simples de três etapas para ajudar a mitigar o risco de ransomware.

Esse é o valor da microssegmentação com base na visibilidade abrangente das comunicações dos ativos de rede e dos caminhos comuns usados pelos agentes de ameaças.

Esta postagem do blog responderá a perguntas comuns sobre como o ransomware funciona e como evitá-lo.

Por que o ransomware é importante?

O ransomware atingiu níveis recordes nos primeiros três trimestres de 2021, com um fornecedor registrando cerca de 500 milhões de tentativas de comprometimento em todo o mundo. Os ataques evoluíram nos últimos anos até o ponto em que a exfiltração de dados agora é a norma, adicionando um elemento totalmente novo de risco comercial. Isso significa que as organizações não podem simplesmente fazer backup dos dados e cruzar os dedos. Há um risco real de danos financeiros e de reputação decorrentes apenas da violação de dados.

Hoje, os chamados ataques de “dupla extorsão” podem resultar em:

  • Multas regulatórias
  • Perda de produtividade
  • Vendas perdidas
  • Custos de horas extras de TI para recuperar e investigar
  • Taxas legais (por exemplo, ações coletivas em caso de violação de dados)
  • Rotatividade de clientes
  • Declínio do preço das ações

Cada organização e cada ataque são diferentes. Embora alguns comentaristas estimem o impacto financeiro médio em quase 2 milhões de dólares atualmente, alguns ataques custaram às vítimas centenas de milhões. Isso torna essencial tomar medidas proativas para combater a ameaça.

Como funciona o ransomware?

A boa notícia é que, apesar das muitas variantes e grupos de afiliados em operação atualmente, podemos discernir um padrão básico para a maioria dos ataques. Resumindo, os atores da ameaça:

  • Esconda-se nas redes por meses antes de atacar.
  • Explore caminhos comuns para acesso inicial à rede e movimento lateral contínuo.
  • Execute ações em vários estágios para atingir suas metas.

Vamos nos aprofundar em cada um deles.

Como os atacantes não são detectados por tanto tempo?

O objetivo dos invasores é permanecer ocultos até que tenham uma presença forte o suficiente na rede da vítima para roubar grandes volumes de dados confidenciais e implantar ransomware em todos os lugares.

Para fazer isso, eles:

  • Violar um ativo que a organização não sabia que estava vulnerável ou exposto, seja um dispositivo, aplicativo ou carga de trabalho com uma conexão aberta à Internet e outros ativos de rede
  • Use caminhos/fluxos de dados que a organização não sabia que estavam abertos e que deveriam ser fechados de acordo com a política de segurança de melhores práticas
  • Comprometa vários sistemas que abrangem várias funções, o que dificulta que as equipes rastreiem tudo até um único incidente

Como os atacantes exploram caminhos comuns?

A maioria dos ransomwares chega por meio de e-mails de phishing, comprometimento de RDP ou exploração de vulnerabilidades de software. Para aumentar as chances de sucesso, os atacantes buscam:

  • Um pequeno conjunto de caminhos populares e de alto risco, como RDP ou SMB. Geralmente, eles abrangem toda a organização, são facilmente mapeados e geralmente são mal configurados.
  • Abra portas e ativos exploráveis, por meio de escaneamentos automatizados usando scripts e rastreadores.
  • Maneiras de se mover lateralmente em alta velocidade, usando esses caminhos de alto risco para se espalhar por toda a organização em apenas alguns minutos.

Como funcionam os ataques em vários estágios?

A maioria dos ataques começa com o comprometimento de ativos de baixo valor, pois geralmente são mais fáceis de sequestrar. O truque para os agentes de ameaças é, então, passar por estágios adicionais para alcançar ativos valiosos dos quais possam roubar dados ou criptografar, fornecendo vantagem ao extorquir a organização vítima.

Para fazer isso, os atacantes geralmente:

  • Aproveite a baixa visibilidade, os controles de políticas e a segmentação de uma organização.
  • Conecte-se à Internet para baixar ferramentas adicionais para ajudar nos próximos estágios de um ataque ou exfiltrar dados para um servidor sob seu controle.
  • Cause a maioria dos danos por meio do movimento lateral, que é o processo de pular na rede de um ativo para outro.

Três etapas simples para impedir o ransomware

Com esse padrão de ataque típico em mente, os CISOs podem começar a criar uma resposta — uma nova arquitetura de segurança baseada em três componentes simples:

1. Desenvolva uma visibilidade abrangente dos fluxos de comunicação em seu ambiente

Isso deixará seus atacantes sem onde se esconder, desmascarando-os enquanto tentam comprometer o ativo inicial ou durante um movimento lateral.

Para fazer isso, você deve:

  • Desenvolva visibilidade em tempo real de todos os ativos, permitindo que você aborde quaisquer fluxos de dados não essenciais ou anômalos.
  • Crie um mapa em tempo real do ambiente para identificar quais cargas de trabalho, aplicativos e endpoints devem permanecer abertos e quais podem ser fechados.
  • Crie uma visão unificada dos fluxos de comunicação e dos dados de risco com a qual todas as equipes de operações possam trabalhar, reduzindo o atrito interno.


2. Crie recursos de bloqueio de ransomware

Não basta simplesmente mapear os fluxos de comunicação e entender quais ativos podem ser fechados. Você precisa agir para reduzir a superfície de ataque e bloquear ataques em andamento.

Faça isso da seguinte forma:

  • Fechando o maior número possível de vias de alto risco e monitorando as que permanecem abertas em tempo real.
  • Fechando todas as portas que não precisem ser abertas, reduzindo as chances de escaneamentos automatizados encontrarem ativos expostos.
  • Criação de um switch de contenção de emergência que possa ser acionado em segundos para restringir as comunicações de rede no caso de um ataque.

3. Isole ativos críticos

O estágio final é evitar que os invasores alcancem ativos críticos, forçando-os a realizar ações mais fáceis de detectar para progredir.

Isso envolverá:

A luta começa aqui

Atualmente, nenhuma organização pode ser 100% à prova de violações — os atacantes são muito determinados, bem equipados e em grande número para isso. Mas com o foco certo na visibilidade da rede, nos controles de políticas e na segmentação, você pode criar uma arquitetura de segurança mais inteligente com maior probabilidade de isolar a ameaça.

A maioria dos agentes de ameaças é oportunista e busca um ROI rápido e fácil. Siga estas três etapas para interromper seus planos e você terá uma grande chance de evitar compromissos sérios.

Saiba mais:

Tópicos relacionados

Nenhum item encontrado.

Artigos relacionados

Por que a manufatura deve proteger os recursos de IIoT contra ransomware
Contenção de ransomware

Por que a manufatura deve proteger os recursos de IIoT contra ransomware

Obtenha informações sobre o risco de ransomware para recursos de IIoT no setor de manufatura.

O Kubernetes não está imune ao ransomware — e como o Illumio pode ajudar
Contenção de ransomware

O Kubernetes não está imune ao ransomware — e como o Illumio pode ajudar

Saiba por que o ransomware é um risco muito real de segurança cibernética no Kubernetes que os arquitetos do DevSecOps não podem se dar ao luxo de ignorar.

Como um escritório de advocacia global interrompeu um ataque de ransomware usando o Illumio
Contenção de ransomware

Como um escritório de advocacia global interrompeu um ataque de ransomware usando o Illumio

Como a defesa contra ransomware da Illumio interrompeu rapidamente um ataque a um escritório de advocacia global, evitando danos significativos a seus sistemas, reputação e clientes.

Nenhum item encontrado.

Suponha que a violação seja feita.
Minimize o impacto.
Aumente a resiliência.

Pronto para saber mais sobre a segmentação Zero Trust?