Ransomware: como evitar a onda perigosa de ataques

Views: 598
0 0
Read Time:5 Minute, 43 Second

O custo médio para corrigir os impactos dos ataques de ransomware mais recentes é de US$ 732.520 para organizações que não pagam o resgate. Sobe para US$ 1.448.458 para organizações que pagam [1].

Os principais tipos de ransomware no 3º trimestre foram Maze e Ryuk. Houve um aumento significativo nas atividades de Ryuk em 2020, e isso vem prejudicando cerca de 20 organizações por semana, especialmente no setor de saúde. Ser vítima de um ataque de ransomware Ryuk é excepcionalmente caro para uma organização. Os operadores do Ryuk exigem um resgate alto e, em alguns casos, mesmo pagando o resgate não é suficiente para recuperar o acesso de uma empresa a dados confidenciais ou valiosos. Os custos de vários anos de proteção de uma organização contra ransomware são menores do que o custo de se recuperar de um único ataque de ransomware.

Figura 1 Ataques de Ryuk a organizações de saúde

O Agente do SandBlast detecta a atividade do ataque ryuk, bloqueia o ransomware e evita o dano. O mecanismo Anti-Ransomware monitora as alterações nos arquivos em unidades de usuário para identificar o comportamento do ransomware, como criptografia de arquivos. Uma vez detectado o comportamento do ransomware, o SandBlast Agent bloqueia o ataque e recupera automaticamente os arquivos criptografados.

E se um Ryuk Ransomware criptografou um dos dispositivos de ponto final em sua organização? Como você pode ter certeza de que ele não se espalha e criptografa todos os seus pontos finais? Se você não tem o Agente SandBlast,ou não o definiu para o modo “Prevenir”, como a Check Point recomenda, como você decidirá se pagará o resgate ou não? Não seria melhor ter métodos de recuperação automática incorporados?

Vamos demonstrar como o Relatório Forense do Agente do SandBlast permite que você investigue o ransomware Ryuk de forma rápida e completa. O Relatório Forense do Agente do SandBlast fornece insights automáticos profundos, incluindo priorização baseada em riscos, diagrama de fluxo de ataque, imagem de negócios, mapeamento MITRE ATT&CK e um relatório detalhado de eventos suspeitos. Agente do Jateamento de Areia O Relatório Forense também ajuda a parar a propagação do ataque e mitigar os danos, fornecendo remediação e recuperação automática embutida.

Visão geral do ataque de Ryuk

Ryuk é um ransomware usado pela gangue TrickBot em ataques direcionados e bem planejados contra várias organizações em todo o mundo. O ransomware foi originalmente derivado do ransomware Hermes, cujas capacidades técnicas são relativamente baixas, e incluem um conta-gotas básicos e um esquema de criptografia direto. No entanto, Ryuk foi capaz de causar danos severos às organizações alvo, forçando-as a pagar pagamentos de resgate extremamente altos em Bitcoin. Ao contrário do ransomware comum, sistematicamente distribuído através de campanhas maciças de spam e kits de exploração, o Ryuk é usado exclusivamente em ataques personalizados. Para saber mais sobre o ransomware, inscreva-se para o próximo webinar de estudo de caso que acontecerá em 28 de outubrode 2020.

Avaliação de danos

Como vítima de um ataque de ransomware, você está nos chifres de um dilema. Você tem que escolher entre pagar o resgate e auto-recuperação. O primeiro é caro, incentiva o invasor a manter seus esforços, e isso nem garante que seus dados serão restaurados ou que os dados já roubados não vazem. A segunda opção geralmente mantém a disponibilidade dos dados interrompida por um período mais prolongado, o que o torna caro e às vezes até impossível. A avaliação de danos é um passo crucial na hora de decidir como responder ao ransomware. A avaliação manual de danos levará muito tempo e, em um tempo tão crítico, simplesmente não é viável. A avaliação automática de danos e visualização é, portanto, crítica.

O Agente DoBlast gera automaticamente um relatório forense que fornece uma avaliação detalhada do impacto nos negócios. O potencial impacto nos negócios é determinado por um algoritmo protegido por patentes que encontra a árvore de ataque, raiz de ataque e ponto de entrada.

Figura 2 Relatório Forense Fluxo de Ataque

Vamos voltar ao ataque de Ryuk. Primeiro, vamos dar uma olhada na visão geral do relatório forense, como visto na figura #3 abaixo. O tipo de ataque, status e impacto nos negócios são claros e fáceis de perfurar. A visibilidade é uma capacidade crítica ao optar por não prevenir e remediar ataques automaticamente (o que recomendamos fortemente); no entanto, entender o impacto dos negócios também é crucial. Mesmo em ataques bloqueados e remediados, como o do relatório abaixo, entender o impacto do negócio é muito importante, pois permite resposta rápida e análise retrospectiva. Ele também destaca arquivos e outros recursos que não poderiam ser restaurados automaticamente e permite uma resposta imediata a eles.

Figura 3- Visão geral forense

Figura 4 Impacto nos Negócios Ryuk – Relatório Forense

Visualização do fluxo de ataque

Outro fator importante para uma resposta rápida e eficaz a um ataque é a capacidade de entendê-lo bem. O uso de uma linha de história de ataque em linguagem comum é muito importante, pois permite que a equipe colabore e use inteligência externa para apoiar seu plano de resposta. O SandBlast Agent mapeia automaticamente todos os eventos coletados pelo algoritmo baseado em patentes para técnicas e táticas MITRE ATT&CK. Como você pode ver na figura #5 abaixo, os dados são visualizados no Relatório Forense como uma matriz, o que torna mais fácil aprender sobre o ataque diferentes passos e ações. Na imagem abaixo você encontrará a matriz MITRE ATT&CK do ransomware Ryuk, tirada do Relatório Forense do ataque ryuk. Você pode ver o ponto de entrada, técnicas de execução e impacto entre outras táticas. Um clique em qualquer técnica leva a uma página de informações detalhada que explica e lista todos os eventos correlacionados.

Figura 5 Ryuk MITRE ATT&CK Matrix

Figura 6 Visão da Árvore Forense (Árvore Parcial)

Resumo

Neste blog, demonstramos como os recursos da Automated Forensics poderiam encurtar o tempo necessário para entender e responder ao ataque. Mostramos como a visualização dos dados pelo Agente Do Sílst SandBlast, incluindo fluxo de ataque, danos potenciais e matriz MITRE ATT&CK poderia apoiar decisões que você precisa tomar sob a pressão de um ataque cibernético ativo.

Agente do SandBlast O relatório forense é gerado automaticamente com base em algoritmos protegidos por patentes que garantem a visualização mais precisa do ciclo de vida do ataque. Para saber mais, dê uma olhada no relatório forense interativo de Ryuk.

No próximo capítulo da série, discutiremos como a solução de Caça a Ameaças do Agente do SandBlast ajuda você a investigar rapidamente e efetivamente ataques despercebidos.

Inscreva-se para o próximo webinar de estudo de caso que acontecerá em 28 de outubro de 2020.

FONTE: CHECKPOINT

POSTS RELACIONADOS