Histórias FireEye – Reconhecimento de ransomware — Antes da Violação

Views: 485
0 0
Read Time:2 Minute, 28 Second

Ninguém quer ver uma repetição da série de ataques de ransomware do ano passado em municípios onde os serviços governamentais ficaram offline por dias, semanas e até meses. Esses ataques custam milhões às cidades em custos diretos mais tempo de inatividade e perda de receita. O Ransomware continua a dominar as notícias e, em muitos aspectos, passou de um incômodo para um risco de negócios.

Parte da razão está em atores de ransomware se tornando mais sofisticados. Considerando que anteriormente eles usariam uma abordagem oportunista ou de espingarda que envolvia o envio de uma miríade de iscas para alvos não específicos, hoje estamos vendo-os realizar um longo reconhecimento. Isso está sendo feito não apenas para melhorar suas chances de sucesso, mas também para determinar o que eles podem ganhar ao serem bem sucedidos — ou seja, se o esforço vale a pena.

Atualmente, o tempo médio desde a primeira evidência de atividade maliciosa até a implantação de ransomware é de três dias. Enquanto isso, o tempo médio global de compromisso à descoberta (estatística conhecida como tempo de moradia) é de 56 dias. Isso mostra que os atores por trás dessas extorsões estão gastando um pouco de tempo na rede de uma organização, provavelmente coletando informações importantes de topologia de rede (por exemplo, ingress e pontos de saída, como servidores web comprometidos), fontes e destinos de backup, ativos de joias da coroa, administração (por exemplo, KRBTGT, ADFS, Microsoft 365) e outros alvos para atividade de acompanhamento.


Ciclo de vida de ransomware direcionado

Realizar o reconhecimento leva diretamente à próxima maneira que os atores de ransomware estão se tornando mais sofisticados. Nos últimos anos, normalmente veríamos os atacantes usarem ransomware para simplesmente criptografar um sistema operacional e arquivos de rede, mas agora estamos vendo eles exfiltrar dados-chave e destruir backups antes que a criptografia ocorra. Isso torna a ameaça muito mais impactante e aumenta a probabilidade de uma organização pagar o resgate.

Ele também permite que os atores de ransomware tentem extorquir a vítima duas vezes — primeiro solicitando pagamento por recursos de descriptografia e novamente solicitando pagamento para devolver ou destruir os dados roubados. E se a vítima vacilar sobre o pagamento da taxa de extorsão, os atacantes divulgam publicamente trechos dos dados exfiltrados para pressionar o pagamento. Como resultado, o FireEye observou uma maior quantidade de tentativas de extorsão e mais vítimas pagando o resgate, bem como vários ataques de ransomware que ocorrem simultaneamente de atores potencialmente diferentes.

No próximo post desta série, vamos dar uma olhada mais de perto em como as organizações devem estar pensando sobre a proteção de ransomware, com alguns passos simples a considerar nessa jornada.

FireEye continua empenhado em ajudar os líderes do governo a se manterem informados sobre as ameaças cibernéticas de hoje. Saiba mais sobre a proteção de ativos importantes contra ataques de ransomware e o que pode ser feito no caso de experimentar um, registrando-se para este webinar de 29de setembro .

FONTE: FIREEYE

POSTS RELACIONADOS