/
Contenção de ransomware

Entendendo o ransomware: o padrão de ataque mais comum

A transformação digital agora é a número um meta estratégica de negócios. De Sydney a São Francisco, as salas de reuniões estão descobrindo a melhor forma de aproveitar o poder da nuvem, da IA, da IoT e muito mais para impulsionar o sucesso. Seus esforços não são apenas vitais para criar novas experiências para o cliente e otimizar os processos de negócios. Eles também são essenciais para apoiar o novo modelo de trabalho híbrido que está emergindo rapidamente das cinzas da pandemia.

No entanto, o preço que as organizações geralmente pagam pelo aumento de sua presença digital está expandindo a superfície de ataques cibernéticos. Isso gera riscos cibernéticos, especialmente a ameaça de danos. ransomware brechas.

Atualmente, dezenas de desenvolvedores de ransomware e grupos afiliados estão operando em todo o mundo. Isso significa que também há uma grande variedade de táticas, técnicas e procedimentos de ataque em circulação. Mas isso não significa que não possamos discernir uma primária modus operandi. Melhor ainda, podemos pegar esse padrão geral de ataque e aplicar um processo simples de três etapas para ajudar a mitigar o risco de ransomware.

Esse é o valor de microssegmentação com base na visibilidade abrangente das comunicações dos ativos de rede e dos caminhos comuns usados pelos agentes de ameaças.

Esta postagem do blog responderá a perguntas comuns sobre como o ransomware funciona e como evitá-lo.

Por que o ransomware é importante?

Ransomware atingido níveis recordes nos primeiros três trimestres de 2021, com um fornecedor registrando cerca de 500 milhões de tentativas de compromisso em todo o mundo. Os ataques evoluíram nos últimos anos até o ponto em que a exfiltração de dados agora é a norma, adicionando um elemento totalmente novo de risco comercial. Isso significa que as organizações não podem simplesmente fazer backup dos dados e cruzar os dedos. Há um risco real de danos financeiros e de reputação decorrentes apenas da violação de dados.

Hoje, os chamados ataques de “dupla extorsão” podem resultar em:

  • Multas regulatórias
  • Perda de produtividade
  • Vendas perdidas
  • Custos de horas extras de TI para recuperar e investigar
  • Taxas legais (por exemplo, ações coletivas em caso de violação de dados)
  • Rotatividade de clientes
  • Declínio do preço das ações

Cada organização e cada ataque são diferentes. Embora alguns comentaristas estimem o impacto financeiro médio com quase $2 milhões hoje, alguns ataques custaram vítimas de centenas de milhões. Isso torna essencial tomar medidas proativas para combater a ameaça.

Como funciona o ransomware?

A boa notícia é que, apesar das muitas variantes e grupos de afiliados em operação atualmente, podemos discernir um padrão básico para a maioria dos ataques. Resumindo, os atores da ameaça:

  • Esconda-se nas redes por meses antes de atacar.
  • Explore caminhos comuns para acesso inicial à rede e movimento lateral contínuo.
  • Execute ações em vários estágios para atingir suas metas.

Vamos nos aprofundar em cada um deles.

Como os atacantes não são detectados por tanto tempo?

O objetivo dos invasores é permanecer ocultos até que tenham uma presença forte o suficiente na rede da vítima para roubar grandes volumes de dados confidenciais e implantar ransomware em todos os lugares.

Para fazer isso, eles:

  • Violar um ativo que a organização não sabia que estava vulnerável ou exposto, seja um dispositivo, aplicativo ou carga de trabalho com uma conexão aberta à Internet e outros ativos de rede
  • Use caminhos/fluxos de dados que a organização não sabia que estavam abertos e que deveriam ser fechados de acordo com a política de segurança de melhores práticas
  • Comprometa vários sistemas que abrangem várias funções, o que dificulta que as equipes rastreiem tudo até um único incidente

Como os atacantes exploram caminhos comuns?

A maioria dos ransomware chega por meio de e-mails de phishing, Compromisso de RDP ou exploração de vulnerabilidades de software. Para aumentar as chances de sucesso, os atacantes buscam:

  • Um pequeno conjunto de caminhos populares e de alto risco, como RDP ou SMB. Geralmente, eles abrangem toda a organização, são facilmente mapeados e geralmente são mal configurados.
  • Abra portas e ativos exploráveis, por meio de escaneamentos automatizados usando scripts e rastreadores.
  • Maneiras de se mover lateralmente em alta velocidade, usando esses caminhos de alto risco para se espalhar por toda a organização em apenas alguns minutos.

Como funcionam os ataques em vários estágios?

A maioria dos ataques começa com o comprometimento de ativos de baixo valor, pois geralmente são mais fáceis de sequestrar. O truque para os agentes de ameaças é, então, passar por estágios adicionais para alcançar ativos valiosos dos quais possam roubar dados ou criptografar, fornecendo vantagem ao extorquir a organização vítima.

Para fazer isso, os atacantes geralmente:

  • Aproveite a baixa visibilidade, os controles de políticas e a segmentação de uma organização.
  • Conecte-se à Internet para baixar ferramentas adicionais para ajudar nos próximos estágios de um ataque ou exfiltrar dados para um servidor sob seu controle.
  • Cause a maioria dos danos por meio do movimento lateral, que é o processo de pular na rede de um ativo para outro.

Três etapas simples para impedir o ransomware

Com esse padrão de ataque típico em mente, os CISOs podem começar a criar uma resposta — uma nova arquitetura de segurança baseada em três componentes simples:

1. Desenvolva uma visibilidade abrangente dos fluxos de comunicação em seu ambiente

Isso deixará seus atacantes sem onde se esconder, desmascarando-os enquanto tentam comprometer o ativo inicial ou durante um movimento lateral.

Para fazer isso, você deve:

  • Desenvolva visibilidade em tempo real de todos os ativos, permitindo que você aborde quaisquer fluxos de dados não essenciais ou anômalos.
  • Crie um mapa em tempo real do ambiente para identificar quais cargas de trabalho, aplicativos e endpoints devem permanecer abertos e quais podem ser fechados.
  • Crie uma visão unificada dos fluxos de comunicação e dos dados de risco com a qual todas as equipes de operações possam trabalhar, reduzindo o atrito interno.


2. Crie recursos de bloqueio de ransomware

Não basta simplesmente mapear os fluxos de comunicação e entender quais ativos podem ser fechados. Você precisa agir para reduzir a superfície de ataque e bloquear ataques em andamento.

Faça isso da seguinte forma:

  • Fechando o maior número possível de vias de alto risco e monitorando as que permanecem abertas em tempo real.
  • Fechando todas as portas que não precisem ser abertas, reduzindo as chances de escaneamentos automatizados encontrarem ativos expostos.
  • Criação de um switch de contenção de emergência que possa ser acionado em segundos para restringir as comunicações de rede no caso de um ataque.

3. Isole ativos críticos

O estágio final é evitar que os invasores alcancem ativos críticos, forçando-os a realizar ações mais fáceis de detectar para progredir.

Isso envolverá:

  • Aplicativos de delimitação para evitar que ativos de alto valor sejam comprometidos.
  • Fechando conexões de saída com IPs não confiáveis, permitindo somente aquelas aprovadas”lista de permissões.”
  • Desenvolver medidas de segurança pós-violação para proteger ativos críticos e impedir que os ataques se espalhem.

A luta começa aqui

Atualmente, nenhuma organização pode ser 100% à prova de violações — os atacantes são muito determinados, bem equipados e em grande número para isso. Mas com o foco certo na visibilidade da rede, nos controles de políticas e na segmentação, você pode criar um arquitetura de segurança mais inteligente maior probabilidade de isolar a ameaça.

A maioria dos agentes de ameaças é oportunista e busca um ROI rápido e fácil. Siga estas três etapas para interromper seus planos e você terá uma grande chance de evitar compromissos sérios.

Saiba mais:

Tópicos relacionados

Nenhum item encontrado.

Artigos relacionados

Redução de ransomware 101: movimento lateral entre terminais
Contenção de ransomware

Redução de ransomware 101: movimento lateral entre terminais

9 razões para usar o Illumio para conter ransomware
Contenção de ransomware

9 razões para usar o Illumio para conter ransomware

Descubra como a visibilidade em tempo real e os controles simples da Illumio reduzirão rapidamente suas maiores fontes de riscos de ransomware, como portas RDP não utilizadas.

Por que proteger seu OT não exige inspeção profunda de pacotes de camada 7
Contenção de ransomware

Por que proteger seu OT não exige inspeção profunda de pacotes de camada 7

Saiba por que a segmentação Zero Trust é a melhor resposta para evitar a propagação de violações.

Nenhum item encontrado.

Assume Breach.
Minimize Impact.
Increase Resilience.

Ready to learn more about Zero Trust Segmentation?