30 dicas de prevenção de ransomware

Views: 390
0 0
Read Time:10 Minute, 59 Second

Lidar com as consequências de ataques de ransomware é como roleta russa. Enviar o resgate pode parecer a única opção para recuperar dados bloqueados. Mas pagar o resgate não significa que sua organização terá seus dados afetados de volta.

Não vamos esquecer que o ransomware também continua a evoluir como uma categoria de ameaça. A partir do final de novembro de 2019, gangues de cripto-malware como Maze e DoppelPaymer começaram a roubar os dados de vítimas não compatíveis antes de ativar suas rotinas de criptografia e, posteriormente, publicar essas informações em sites dedicados de vazamento de dados. Esses atores mal-intencionados recorreram a essa técnica como uma maneira de contornar backups de dados e obrigar as organizações a pagar — às vezes duas vezes — para evitar os custos associados ao sofrer uma violação de dados.

É precisamente por isso que detectar um ataque de ransomware que está em andamento não é suficiente. Em primeiro lugar, você precisa se concentrar na prevenção de uma infecção por ransomware. Você pode fazê-lo seguindo as medidas de segurança listadas abaixo.

  1. Inventário de seus bens.

Para se proteger contra uma infecção por ransomware, primeiro você precisa saber quais ativos de hardware e software estão conectados à rede. A descoberta ativa pode ajudar, mas não descobrirá ativos implantados por pessoal de outros departamentos. Reconhecendo essa deficiência, você deve adotar a descoberta passiva como um meio de construir um inventário abrangente de ativos, bem como manter essa lista de hardware e software conectados atualizados.

  1. Personalize suas configurações antisspam da maneira correta.

A maioria das variantes de ransomware são conhecidas por se espalharem por e-mails atraentes que contêm anexos maliciosos. Alguns desses anexos podem envolver documentos do Word ou outros formatos de arquivo que são comumente usados em sua organização. Mas alguns podem chegar em um formato que raramente é usado. Posteriormente, você pode configurar seu servidor de webmail para bloquear esses anexos. (Extensões de arquivo como . Exe. VBS ou . SCR são alguns exemplos comuns.)

  1. Abstenha-se de abrir anexos que parecem suspeitos.

Isso não se aplica apenas a mensagens enviadas por pessoas desconhecidas. Também diz respeito aos remetentes que você acredita serem seus conhecidos. Os e-mails de phishing podem se disfarçar de notificações de um serviço de entrega, de um recurso de comércio eletrônico, de uma agência de aplicação da lei ou de uma instituição bancária.

  1. Evite dar informações pessoais.

Atores mal-intencionados precisam obter suas informações de algum lugar se esperam enviar um e-mail de phishing que secretamente abriga ransomware como sua carga útil. Claro, eles podem obter essa informação de uma violação de dados que foi publicada na dark web. Mas eles poderiam apenas obtê-lo usando técnicas OSINT, vasculhando suas postagens de mídia social ou perfis públicos para obter peças-chave de informações. Dito isso, é importante não compartilhar demais online e geralmente evitar dar informações pessoais de identificação, a menos que seja absolutamente necessário.

  1. Pense duas vezes antes de clicar.

É possível receber hiperlinks perigosos através de redes sociais ou mensageiros instantâneos. Na maioria das vezes, os criminosos digitais comprometem a conta de alguém e, em seguida, enviam links ruins para toda a sua lista de contatos. Isso explica por que o remetente de um elo ruim pode ser alguém em quem você confia, como um amigo, colega ou membro da família. Não clique em um link suspeito, independentemente de quem ele venha. Se você não tiver certeza se o contato pretendia enviar o link para sua atenção, use um meio de comunicação alternativo para chegar até eles e verificar.

  1. Eduque seus Usuários.

As melhores práticas discutidas acima destacam a necessidade de educar seus usuários sobre alguns dos tipos mais comuns de ataques de phishing que estão em circulação. Para fazer isso, você deve investir no cultivo de sua cultura de segurança através de treinamento contínuo de conscientização de segurança de toda a sua força de trabalho. Este programa deve usar simulações de phishing para testar especificamente a familiaridade dos funcionários com táticas de phishing.

  1. Use o recurso Extensões de arquivo show.

Mostrar extensões de arquivo é uma funcionalidade nativa do Windows que permite que você diga facilmente quais tipos de arquivos estão sendo abertos para que você possa manter-se afastado de arquivos potencialmente prejudiciais. Isso é útil para quando os fraudadores tentam utilizar uma técnica confusa onde um arquivo parece ter duas ou mais extensões, por exemplo, cute-dog.avi.exe ou table.xlsx.scr. Pay atenção para truques desse tipo.

  1. Remende e mantenha seu software atualizado.

Na ausência de um patch, atores mal-intencionados podem explorar uma vulnerabilidade em seu sistema operacional, navegador, ferramenta antivírus ou outro programa de software com a ajuda de um kit de exploração. Essas ameaças contêm código de exploração para vulnerabilidades conhecidas que lhes permitem abandonar o ransomware e outras cargas maliciosas. Como tal, você precisa ter certeza de que seu gerenciamento de vulnerabilidades cobre todos os seus ativos de software conectados para que seus profissionais de segurança possam priorizar seus esforços de remediação e mitigação de acordo.

  1. Desabilitar instantaneamente a web se você detectar um processo suspeito no seu computador.

Esta técnica é particularmente eficiente em um estágio inicial do ataque. A maioria das amostras de ransomware precisa estabelecer uma conexão com seus servidores de comando e controle (C&C) para completar sua rotina de criptografia. Sem acesso à Internet, o ransomware ficará ocioso em um dispositivo infectado. Tal cenário lhe dá a capacidade de remover o programa malicioso de um computador infectado sem precisar descriptografar nenhum dado.

  1. Só baixe de sites em que você confia.

A confiança desempenha um papel importante na prevenção de uma infecção por ransomware. Assim como você deve tentar impedir que quaisquer processos não confiáveis sejam executados em seu computador, você também deve tentar autorizar downloads de apenas locais em que você confia. Esses incluem sites que usam “HTTPS” na barra de endereços, bem como marketplaces oficiais de aplicativos para seus dispositivos móveis.

  1. Use a lista branca do aplicativo.

Falando em confiança, é importante não instalar aplicativos que possam introduzir risco em seu ambiente. Você deve usar a lista branca de aplicativos como um meio de aprovar quais programas seus sistemas podem executar, de acordo com as políticas de segurança da sua organização.

  1. Mantenha o Firewall do Windows ligado e configurado corretamente o tempo todo.

O Firewall do Windows pode ajudar a proteger seus PCs contra casos de acesso não autorizado, como um ator de ransomware tentando infectar suas máquinas. Você pode aprender mais sobre o Firewall do Windows no site da Microsoft.

  1. Use o princípio do menor privilégio.

Firewalls ajudam a rever seu tráfego Norte-Sul em um esforço para evitar que atores mal-intencionados se infiltrem na rede. Essas soluções são menos eficazes na varredura do tráfego Leste-Oeste em busca de sinais de movimento lateral,no entanto. Como tal, você deve considerar a implementação do princípio de menor privilégio, revendo os níveis de controle e as instâncias de acesso à escrita que você está doando. Isso impedirá que os atores de ransomware usem uma conta comprometida para mover-se através de sua rede.

  1. Ajuste seu software de segurança para digitalizar arquivos compactados ou arquivados.

Muitos atores de ransomware pensam que podem passar por seus filtros de e-mail escondendo suas cargas dentro de anexos contendo arquivos compactados ou arquivados. Portanto, você precisa de ferramentas capazes de digitalizar esses tipos de arquivos para malware.

  1. Use filtros de spam fortes e autenticar usuários.

Além de ter a capacidade de digitalizar arquivos compactados ou arquivados, você precisa de filtros de spam fortes capazes de impedir que e-mails de phishing cheguem aos usuários em geral. Você também deve usar tecnologias como SPF (Sender Policy Framework, Sender Policy Framework), Domain Message Authentication Reporting and Conformance (DMARC) e DomainKeys Identified Mail (DKIM) para impedir que atores mal-intencionados usem técnicas de falsificação de e-mails.

  1. Desativar o Windows Script Host.

Alguns atores maliciosos usam. Arquivos VBS (VBScript) para executar ransomware em um computador infectado. você deve desativar o Windows Script Host para bloquear o malware de usar esse tipo de arquivo.

  1. Desativar o Windows PowerShell.

PowerShell é uma estrutura de automação de tarefas nativa dos computadores Windows. Consiste em uma concha de linha de comando e uma linguagem de script. Indivíduos nefastos geralmente usam o PowerShell para executar ransomware a partir da memória, ajudando a evitar a detecção por soluções antivírus tradicionais. Portanto, você deve considerar desativar o PowerShell em suas estações de trabalho se você não tiver uso legítimo para a estrutura.

  1. Melhore a segurança de seus aplicativos do Microsoft Office.

Indivíduos nefastos têm uma tendência para usar arquivos microsoft armados para distribuir suas cargas maliciosas. Esses arquivos geralmente usam macros e ActiveX, em particular. Reconhecendo este fato, você deve desativar macros e ActiveX para evitar que códigos maliciosos sejam executados no PC Windows.

  1. Instale um complemento do navegador para bloquear pop-ups.

Pop-ups servem como um ponto de entrada comum para atores mal-intencionados lançarem ataques de ransomware. Portanto, você deve olhar para a instalação de complementos do navegador para parar pop-ups em suas faixas.

  1. Use senhas fortes.

Na presença de uma senha fraca, atores mal-intencionados poderiam forçar seu caminho para um sistema ou conta. Eles poderiam então aproveitar esse acesso para realizar ataques secundários ou mover-se lateralmente em toda a rede com o propósito de implantar ransomware. É por isso que você deve usar e impor senhas fortes e únicas para todas as contas.

  1. Desativar o AutoPlay.

O AutoPlay é um recurso do Windows que permite que os usuários executem instantaneamente mídias digitais como unidades USB, pendrives e CDs. Atores mal-intencionados podem usar esses tipos de dispositivos para colocar ransomware no seu computador. Em resposta, você deve desativar este recurso em todas as estações de trabalho.

  1. Não use mídia desconhecida.

Uma coisa é atores mal-intencionados comprometerem a cadeia de suprimentos de uma organização e enviarem dispositivos de mídia trojanizados. Outra coisa é ligar voluntariamente um dispositivo desconhecido ao seu computador. Você nunca sabe o que poderia estar escondido em uma unidade USB ou CD que não é seu. Portanto, você deve evitar usar esses tipos de mídia, a menos que você os tenha comprado de um provedor respeitável.

  1. Certifique-se de desativar o compartilhamento de arquivos.

Você não quer dar aos atacantes qualquer maneira de infectar várias máquinas em seu ambiente. É por isso que você deve desativar o compartilhamento de arquivos. No caso de um ataque de ransomware, o cripto-malware permanecerá isolado em sua máquina e não se espalhará para outros ativos.

  1. Desativar serviços remotos.

O Protocolo de Desktop Remoto pode ser aproveitado por hackers de chapéu preto para expandir a superfície de ataque e ganhar uma posição em sua rede. Para conter essa ameaça, você deve desativar serviços remotos. Isso ajudará a fechar um vetor para ataques remotos.

  1. Desligue conexões sem fio nãousadas, como portas Bluetooth ou infravermelhas.

Há casos em que atores mal-intencionados exploram Bluetooth para comprometer uma máquina. Você deve abordar este vetor de ameaça desligando Bluetooth, portas infravermelhas e outras conexões sem fio que podem não ser usadas na organização.

  1. Use políticas de restrição de software.

De acordo com a documentação da Microsoft,as políticas de restrição de software são políticas de confiança que permitem às organizações gerenciar o processo de execução de aplicativos em seus computadores. Por exemplo, ele vem com a capacidade de você designar onde os aplicativos estão e não podem executar. Isso é útil para ajudar a prevenir uma infecção por ransomware, já que os atacantes geralmente usam o ProgramData, AppData, Temp e Windows\SysWow para hospedar seus processos maliciosos.

  1. Bloqueie endereços IP tor maliciosos conhecidos.

Os gateways tor (The Onion Router) são um dos principais meios para ameaças de ransomware se comunicarem com seus servidores de C&C. Portanto, você pode bloquear endereços IP tor maliciosos conhecidos, pois esses podem ajudar a impedir que os processos maliciosos críticos sejam através.

  1. Faça uso da inteligência de ameaças.

Os atores do Ransomware continuam a inovar novas técnicas, lançar novos ataques e criar novas cepas de cripto-malware. À luz dessa realidade, você precisa ter alguma maneira de acompanhar o que está acontecendo no cenário de ameaças e quais riscos podem estar afetando outras organizações da mesma região ou indústria. Você pode fazer isso certificando-se de ter acesso a feedsrespeitáveis de inteligência de ameaças .

  1. Segmentar a rede.

Os atacantes podem usar uma rede contínua para se espalhar por toda a sua infraestrutura. Você pode evitar que isso segmente sua rede. Em particular, você pode querer considerar colocar seus ativos industriais e dispositivos IoT em seus próprios segmentos.

  1. Monitore a rede para atividades suspeitas.

De qualquer forma que você decida organizar sua rede, você precisa ficar de olho no comportamento de ameaça que pode ser indicativo de um ataque de ransomware ou incidente de segurança. É por isso que você precisa usar ferramentas para monitorar a rede para atividades suspeitas.

Tem outra dica de prevenção de ransomware? Se sim, deixe-nos saber no Twitter.

FONTE: TRIPWIRE

POSTS RELACIONADOS