Nova pesquisa: Relatório Global de Detecção e Resposta de Nuvens de 2025. Veja onde a D&R está falhando.
Obtenha o relatório

Sofreu uma violação de dados?

|
Entre em contato conosco
|
+1 855 426 3983
Blog
/
Contenção de ransomware
Illumio Editorial
Illumio Editorial
16 de março de 2022
23 minutos. ler

Entendendo o ransomware: o padrão de ataque mais comum

A transformação digital agora é a meta estratégica número um dos negócios. De Sydney a São Francisco, as salas de reuniões estão descobrindo a melhor forma de aproveitar o poder da nuvem, da IA, da IoT e muito mais para impulsionar o sucesso. Seus esforços não são apenas vitais para criar novas experiências para o cliente e otimizar os processos de negócios. Eles também são essenciais para apoiar o novo modelo de trabalho híbrido que está emergindo rapidamente das cinzas da pandemia.

No entanto, o preço que as organizações geralmente pagam pelo aumento de sua presença digital está expandindo a superfície de ataques cibernéticos. Isso gera risco cibernético, especialmente a ameaça de violações prejudiciais de ransomware.

Atualmente, dezenas de desenvolvedores de ransomware e grupos afiliados estão operando em todo o mundo. Isso significa que também há uma grande variedade de táticas, técnicas e procedimentos de ataque em circulação. Mas isso não significa que não possamos discernir um modus operandi primário. Melhor ainda, podemos pegar esse padrão geral de ataque e aplicar um processo simples de três etapas para ajudar a mitigar o risco de ransomware.

Esse é o valor da microssegmentação com base na visibilidade abrangente das comunicações dos ativos de rede e dos caminhos comuns usados pelos agentes de ameaças.

Esta postagem do blog responderá a perguntas comuns sobre como o ransomware funciona e como evitá-lo.

Por que o ransomware é importante?

O ransomware atingiu níveis recordes nos primeiros três trimestres de 2021, com um fornecedor registrando cerca de 500 milhões de tentativas de comprometimento em todo o mundo. Os ataques evoluíram nos últimos anos até o ponto em que a exfiltração de dados agora é a norma, adicionando um elemento totalmente novo de risco comercial. Isso significa que as organizações não podem simplesmente fazer backup dos dados e cruzar os dedos. Há um risco real de danos financeiros e de reputação decorrentes apenas da violação de dados.

Hoje, os chamados ataques de “dupla extorsão” podem resultar em:

  • Multas regulatórias
  • Perda de produtividade
  • Vendas perdidas
  • Custos de horas extras de TI para recuperar e investigar
  • Taxas legais (por exemplo, ações coletivas em caso de violação de dados)
  • Rotatividade de clientes
  • Declínio do preço das ações

Cada organização e cada ataque são diferentes. Embora alguns comentaristas estimem o impacto financeiro médio em quase 2 milhões de dólares atualmente, alguns ataques custaram às vítimas centenas de milhões. Isso torna essencial tomar medidas proativas para combater a ameaça.

Como funciona o ransomware?

A boa notícia é que, apesar das muitas variantes e grupos de afiliados em operação atualmente, podemos discernir um padrão básico para a maioria dos ataques. Resumindo, os atores da ameaça:

  • Esconda-se nas redes por meses antes de atacar.
  • Explore caminhos comuns para acesso inicial à rede e movimento lateral contínuo.
  • Execute ações em vários estágios para atingir suas metas.

Vamos nos aprofundar em cada um deles.

Como os atacantes não são detectados por tanto tempo?

O objetivo dos invasores é permanecer ocultos até que tenham uma presença forte o suficiente na rede da vítima para roubar grandes volumes de dados confidenciais e implantar ransomware em todos os lugares.

Para fazer isso, eles:

  • Violar um ativo que a organização não sabia que estava vulnerável ou exposto, seja um dispositivo, aplicativo ou carga de trabalho com uma conexão aberta à Internet e outros ativos de rede
  • Use caminhos/fluxos de dados que a organização não sabia que estavam abertos e que deveriam ser fechados de acordo com a política de segurança de melhores práticas
  • Comprometa vários sistemas que abrangem várias funções, o que dificulta que as equipes rastreiem tudo até um único incidente

Como os atacantes exploram caminhos comuns?

A maioria dos ransomwares chega por meio de e-mails de phishing, comprometimento de RDP ou exploração de vulnerabilidades de software. Para aumentar as chances de sucesso, os atacantes buscam:

  • Um pequeno conjunto de caminhos populares e de alto risco, como RDP ou SMB. Geralmente, eles abrangem toda a organização, são facilmente mapeados e geralmente são mal configurados.
  • Abra portas e ativos exploráveis, por meio de escaneamentos automatizados usando scripts e rastreadores.
  • Maneiras de se mover lateralmente em alta velocidade, usando esses caminhos de alto risco para se espalhar por toda a organização em apenas alguns minutos.

Como funcionam os ataques em vários estágios?

A maioria dos ataques começa com o comprometimento de ativos de baixo valor, pois geralmente são mais fáceis de sequestrar. O truque para os agentes de ameaças é, então, passar por estágios adicionais para alcançar ativos valiosos dos quais possam roubar dados ou criptografar, fornecendo vantagem ao extorquir a organização vítima.

Para fazer isso, os atacantes geralmente:

  • Aproveite a baixa visibilidade, os controles de políticas e a segmentação de uma organização.
  • Conecte-se à Internet para baixar ferramentas adicionais para ajudar nos próximos estágios de um ataque ou exfiltrar dados para um servidor sob seu controle.
  • Cause a maioria dos danos por meio do movimento lateral, que é o processo de pular na rede de um ativo para outro.

Três etapas simples para impedir o ransomware

Com esse padrão de ataque típico em mente, os CISOs podem começar a criar uma resposta — uma nova arquitetura de segurança baseada em três componentes simples:

1. Desenvolva uma visibilidade abrangente dos fluxos de comunicação em seu ambiente

Isso deixará seus atacantes sem onde se esconder, desmascarando-os enquanto tentam comprometer o ativo inicial ou durante um movimento lateral.

Para fazer isso, você deve:

  • Desenvolva visibilidade em tempo real de todos os ativos, permitindo que você aborde quaisquer fluxos de dados não essenciais ou anômalos.
  • Crie um mapa em tempo real do ambiente para identificar quais cargas de trabalho, aplicativos e endpoints devem permanecer abertos e quais podem ser fechados.
  • Crie uma visão unificada dos fluxos de comunicação e dos dados de risco com a qual todas as equipes de operações possam trabalhar, reduzindo o atrito interno.


2. Crie recursos de bloqueio de ransomware

Não basta simplesmente mapear os fluxos de comunicação e entender quais ativos podem ser fechados. Você precisa agir para reduzir a superfície de ataque e bloquear ataques em andamento.

Faça isso da seguinte forma:

  • Fechando o maior número possível de vias de alto risco e monitorando as que permanecem abertas em tempo real.
  • Fechando todas as portas que não precisem ser abertas, reduzindo as chances de escaneamentos automatizados encontrarem ativos expostos.
  • Criação de um switch de contenção de emergência que possa ser acionado em segundos para restringir as comunicações de rede no caso de um ataque.

3. Isole ativos críticos

O estágio final é evitar que os invasores alcancem ativos críticos, forçando-os a realizar ações mais fáceis de detectar para progredir.

Isso envolverá:

A luta começa aqui

Atualmente, nenhuma organização pode ser 100% à prova de violações — os atacantes são muito determinados, bem equipados e em grande número para isso. Mas com o foco certo na visibilidade da rede, nos controles de políticas e na segmentação, você pode criar uma arquitetura de segurança mais inteligente com maior probabilidade de isolar a ameaça.

A maioria dos agentes de ameaças é oportunista e busca um ROI rápido e fácil. Siga estas três etapas para interromper seus planos e você terá uma grande chance de evitar compromissos sérios.

Saiba mais:

Tópicos relacionados

Nenhum item encontrado.

Artigos relacionados

Parando o REvil: como o Illumio pode interromper um dos grupos de ransomware mais prolíficos
Contenção de ransomware

Parando o REvil: como o Illumio pode interromper um dos grupos de ransomware mais prolíficos

Descubra como a segmentação Zero Trust da Illumio pode ajudar a impedir que o REvil, um dos grupos de ransomware mais prolíficos, ataque as operações da cadeia de suprimentos.

Leia mais
Especialista Q & A: Por que as empresas ainda pagam ransomware?
Contenção de ransomware

Especialista Q & A: Por que as empresas ainda pagam ransomware?

Obtenha a perspectiva de um especialista sobre os fatores que levam as organizações a pagar resgates, apesar de seus riscos de reputação, financeiros e de segurança.

Leia mais
Como interromper os ataques do Clop Ransomware com o Illumio
Contenção de ransomware

Como interromper os ataques do Clop Ransomware com o Illumio

Descubra como a variante de ransomware Clop opera e como a Illumio pode ajudar sua organização a conter o ataque com microssegmentação.

Leia mais
Nenhum item encontrado.

Suponha que a violação seja feita.
Minimize o impacto.
Aumente a resiliência.

Pronto para saber mais sobre a segmentação Zero Trust?

Saiba mais