.png)
Entendendo o ransomware: o padrão de ataque mais comum
A transformação digital agora é a meta estratégica número um dos negócios. De Sydney a São Francisco, as salas de reuniões estão descobrindo a melhor forma de aproveitar o poder da nuvem, da IA, da IoT e muito mais para impulsionar o sucesso. Seus esforços não são apenas vitais para criar novas experiências para o cliente e otimizar os processos de negócios. Eles também são essenciais para apoiar o novo modelo de trabalho híbrido que está emergindo rapidamente das cinzas da pandemia.
No entanto, o preço que as organizações geralmente pagam pelo aumento de sua presença digital está expandindo a superfície de ataques cibernéticos. Isso gera risco cibernético, especialmente a ameaça de violações prejudiciais de ransomware.
Atualmente, dezenas de desenvolvedores de ransomware e grupos afiliados estão operando em todo o mundo. Isso significa que também há uma grande variedade de táticas, técnicas e procedimentos de ataque em circulação. Mas isso não significa que não possamos discernir um modus operandi primário. Melhor ainda, podemos pegar esse padrão geral de ataque e aplicar um processo simples de três etapas para ajudar a mitigar o risco de ransomware.
Esse é o valor da microssegmentação com base na visibilidade abrangente das comunicações dos ativos de rede e dos caminhos comuns usados pelos agentes de ameaças.
Esta postagem do blog responderá a perguntas comuns sobre como o ransomware funciona e como evitá-lo.
Por que o ransomware é importante?
O ransomware atingiu níveis recordes nos primeiros três trimestres de 2021, com um fornecedor registrando cerca de 500 milhões de tentativas de comprometimento em todo o mundo. Os ataques evoluíram nos últimos anos até o ponto em que a exfiltração de dados agora é a norma, adicionando um elemento totalmente novo de risco comercial. Isso significa que as organizações não podem simplesmente fazer backup dos dados e cruzar os dedos. Há um risco real de danos financeiros e de reputação decorrentes apenas da violação de dados.
Hoje, os chamados ataques de “dupla extorsão” podem resultar em:
- Multas regulatórias
- Perda de produtividade
- Vendas perdidas
- Custos de horas extras de TI para recuperar e investigar
- Taxas legais (por exemplo, ações coletivas em caso de violação de dados)
- Rotatividade de clientes
- Declínio do preço das ações
Cada organização e cada ataque são diferentes. Embora alguns comentaristas estimem o impacto financeiro médio em quase 2 milhões de dólares atualmente, alguns ataques custaram às vítimas centenas de milhões. Isso torna essencial tomar medidas proativas para combater a ameaça.
Como funciona o ransomware?
A boa notícia é que, apesar das muitas variantes e grupos de afiliados em operação atualmente, podemos discernir um padrão básico para a maioria dos ataques. Resumindo, os atores da ameaça:
- Esconda-se nas redes por meses antes de atacar.
- Explore caminhos comuns para acesso inicial à rede e movimento lateral contínuo.
- Execute ações em vários estágios para atingir suas metas.
Vamos nos aprofundar em cada um deles.
Como os atacantes não são detectados por tanto tempo?
O objetivo dos invasores é permanecer ocultos até que tenham uma presença forte o suficiente na rede da vítima para roubar grandes volumes de dados confidenciais e implantar ransomware em todos os lugares.
Para fazer isso, eles:
- Violar um ativo que a organização não sabia que estava vulnerável ou exposto, seja um dispositivo, aplicativo ou carga de trabalho com uma conexão aberta à Internet e outros ativos de rede
- Use caminhos/fluxos de dados que a organização não sabia que estavam abertos e que deveriam ser fechados de acordo com a política de segurança de melhores práticas
- Comprometa vários sistemas que abrangem várias funções, o que dificulta que as equipes rastreiem tudo até um único incidente
Como os atacantes exploram caminhos comuns?
A maioria dos ransomwares chega por meio de e-mails de phishing, comprometimento de RDP ou exploração de vulnerabilidades de software. Para aumentar as chances de sucesso, os atacantes buscam:
- Um pequeno conjunto de caminhos populares e de alto risco, como RDP ou SMB. Geralmente, eles abrangem toda a organização, são facilmente mapeados e geralmente são mal configurados.
- Abra portas e ativos exploráveis, por meio de escaneamentos automatizados usando scripts e rastreadores.
- Maneiras de se mover lateralmente em alta velocidade, usando esses caminhos de alto risco para se espalhar por toda a organização em apenas alguns minutos.
Como funcionam os ataques em vários estágios?
A maioria dos ataques começa com o comprometimento de ativos de baixo valor, pois geralmente são mais fáceis de sequestrar. O truque para os agentes de ameaças é, então, passar por estágios adicionais para alcançar ativos valiosos dos quais possam roubar dados ou criptografar, fornecendo vantagem ao extorquir a organização vítima.
Para fazer isso, os atacantes geralmente:
- Aproveite a baixa visibilidade, os controles de políticas e a segmentação de uma organização.
- Conecte-se à Internet para baixar ferramentas adicionais para ajudar nos próximos estágios de um ataque ou exfiltrar dados para um servidor sob seu controle.
- Cause a maioria dos danos por meio do movimento lateral, que é o processo de pular na rede de um ativo para outro.
Três etapas simples para impedir o ransomware
Com esse padrão de ataque típico em mente, os CISOs podem começar a criar uma resposta — uma nova arquitetura de segurança baseada em três componentes simples:
1. Desenvolva uma visibilidade abrangente dos fluxos de comunicação em seu ambiente
Isso deixará seus atacantes sem onde se esconder, desmascarando-os enquanto tentam comprometer o ativo inicial ou durante um movimento lateral.
Para fazer isso, você deve:
- Desenvolva visibilidade em tempo real de todos os ativos, permitindo que você aborde quaisquer fluxos de dados não essenciais ou anômalos.
- Crie um mapa em tempo real do ambiente para identificar quais cargas de trabalho, aplicativos e endpoints devem permanecer abertos e quais podem ser fechados.
- Crie uma visão unificada dos fluxos de comunicação e dos dados de risco com a qual todas as equipes de operações possam trabalhar, reduzindo o atrito interno.
2. Crie recursos de bloqueio de ransomware
Não basta simplesmente mapear os fluxos de comunicação e entender quais ativos podem ser fechados. Você precisa agir para reduzir a superfície de ataque e bloquear ataques em andamento.
Faça isso da seguinte forma:
- Fechando o maior número possível de vias de alto risco e monitorando as que permanecem abertas em tempo real.
- Fechando todas as portas que não precisem ser abertas, reduzindo as chances de escaneamentos automatizados encontrarem ativos expostos.
- Criação de um switch de contenção de emergência que possa ser acionado em segundos para restringir as comunicações de rede no caso de um ataque.
3. Isole ativos críticos
O estágio final é evitar que os invasores alcancem ativos críticos, forçando-os a realizar ações mais fáceis de detectar para progredir.
Isso envolverá:
- Aplicativos de delimitação para evitar que ativos de alto valor sejam comprometidos.
- Fechando conexões de saída com IPs não confiáveis, permitindo somente aqueles em uma “lista de permissões” aprovada. "
- Desenvolver medidas de segurança pós-violação para proteger ativos críticos e impedir que os ataques se espalhem.
A luta começa aqui
Atualmente, nenhuma organização pode ser 100% à prova de violações — os atacantes são muito determinados, bem equipados e em grande número para isso. Mas com o foco certo na visibilidade da rede, nos controles de políticas e na segmentação, você pode criar uma arquitetura de segurança mais inteligente com maior probabilidade de isolar a ameaça.
A maioria dos agentes de ameaças é oportunista e busca um ROI rápido e fácil. Siga estas três etapas para interromper seus planos e você terá uma grande chance de evitar compromissos sérios.
Saiba mais:
- Aprofunde-se em cada etapa do e-book Como impedir ataques de ransomware
- Saiba como o Illumio pode ajudar: 9 motivos para usar o Illumio paracombater o ransomware
