0
0
Os ataques de ransomware continuam a crescer. Aqui estão as quatro maneiras que o ataque inicial provavelmente começará, de acordo com dados da empresa de investigações Kroll.
O impacto do ransomware continua a crescer. De acordo com dados da empresa global de investigações Kroll, o ransomware foi o problema de segurança mais comum com o qual foi chamado para lidar em 2020, enquanto os ataques de ransomware representaram mais de um terço de todos os casos até setembro.
E aqui está como os atacantes estão entrando: em quase metade (47%) dos casos de ransomware que kroll investigou, as gangues usaram o protocolo de desktop remoto aberto, uma ferramenta que tem sido usada por muitas empresas para ajudar os funcionários a trabalhar em casa, mas que também pode dar aos atacantes uma maneira de entrar se ele não estiver corretamente protegido.
Mais de um quarto (26%) de casos foram rastreados até um e-mail de phishing, e um número menor usou explorações de vulnerabilidades particulares (17%), incluindo — mas não se limitando a — Citrix NetScaler CVE-2019-19781 e Pulse VPN CVE-2019-11510. Isso foi seguido por aquisições de contas, em 10%.
Kroll disse ter visto três setores atingidos especialmente este ano: serviços profissionais, saúde e tecnologia e telecomunicações. Isso contrasta com dados recentes da IBM,que sugeriram que a manufatura, o setor de serviços profissionais e o governo eram os mais propensos a serem atingidos.
Ryuk, Sodinokibi e Maze foram as três principais variantes de ransomware que causaram problemas em 2020, de acordo com a Kroll, compreendendo 35% de todos os ataques cibernéticos. O Ransomware tende a passar por períodos de atividade antes de ficar quieto novamente, à medida que os desenvolvedores trabalham para atualizá-lo antes de retornar à ação. Como tal, Kroll disse ter visto um ressurgimento nos ataques de Ryuk recentemente.
Muitas variantes de ransomware estão agora roubando cópias de dados corporativos e ameaçando publicá-los: especificamente, baixando entre 100gb e 1tb de dados proprietários ou confidenciais para maximizar a pressão para pagar o resgate. Kroll disse que 42% de seus casos com uma variante de ransomware conhecida estavam conectados a um grupo de ransomware que exfiltrava e publicava ativamente dados de vítimas.
Em alguns casos, as gangues de ransomware têm renegado as promessas de excluir dados depois que o primeiro resgate é pago e exigindo um segundo pagamento, alertou. As gangues também podem aumentar a pressão de diferentes maneiras: Maze afirma que as credenciais colhidas de vítimas não pagantes serão usadas para ataques contra parceiros e clientes das vítimas, enquanto um dos clientes de saúde da Kroll descobriu que a quadrilha havia enviado e-mails diretamente para seus pacientes ameaçando expor seus dados de saúde pessoal.
Além do ransomware, Kroll disse que o compromisso de e-mail de negócios (BEC) permaneceu como uma ameaça máxima para as organizações e esteve envolvido em 32% dos casos, seguido pelo acesso não autorizado aos sistemas.
Devon Ackerman, chefe de resposta a incidentes na Kroll North America, disse: “Vimos um aumento previsível nos ataques cibernéticos até agora em 2020, à medida que a pandemia COVID-19 deu aos atores malignos maiores oportunidades de causar estragos. A evolução contínua dos criadores de ransomware está constantemente mudando as metas para aqueles que tentam defender dados e sistemas, então a vigilância deve permanecer no topo da lista de CIO’s para fazer.”
Tornar mais difícil para as gangues de ransomware obter esse acesso inicial é provavelmente a melhor maneira de proteger sua organização contra ataques, o que significa garantir que medidas essenciais de segurança sejam tomadas. Isso inclui bloquear qualquer acesso rdp desnecessário, garantir todo o acesso remoto com forte autenticação de dois fatores, garantir que todos os softwares sejam corrigidos e atualizados, bem como garantir que os funcionários sejam treinados para detectar e-mails de phishing.
Também é recomendado ter backups atualizados que não estejam conectados à rede corporativa.
FONTE: ZDNET