Como a defesa do ransomware está evoluindo com ataques de ransomware

Views: 396
0 0
Read Time:8 Minute, 2 Second

À medida que ameaças de exfiltração de dados e pedidos maiores de resgate se tornam a norma, os profissionais de segurança estão avançando a partir do conselho básico de “manter bons backups”.

O ransomware se tornou mortal em 2020.

As unidades de saúde foram atacadas a uma taxa alarmante, incluindo um incidente na Alemanha que levou à morte de um paciente quando um ataque bloqueou sistemas críticos e uma mulher que precisava de cuidados críticos foi rejeitada. Ela morreu depois de ter que ser levada para outra cidade para tratamento.

O Ransomware é hoje uma das ameaças que mais crescem na segurança cibernética, com danos previstos para custar US$ 20 bilhões globalmente até 2021, contra US$ 354 milhõesem 2015.

Mas se você trabalha no Infosec, você provavelmente sabia disso. Não estamos aqui para dizer que ransomware é um problema. Mas estamos aqui para examinar o que as equipes de segurança estão fazendo para se defender contra ele, e quais técnicas estão surgindo como melhores apostas para mitigar o ransomware.

Francamente, o cenário atual não é grande, de acordo com Azeem Aleem, da empresa de serviços de tecnologia NTT Ltd. Os ataques de ransomware são mais agressivos e diversificados do que nunca – e eles usam vários vetores de ataque. Há toda uma indústria agora dedicada à venda de ransomware no mercado negro (ransomware como serviço), o que reduz a barreira para os criminosos entrarem, e significa que mais atacantes estão entrando neste negócio muito lucrativo.

“A defesa está lutando”, diz Aleem. “Alguns grupos de ransomware estão se unindo a outros atores de ameaças, onde o compromisso inicial é realizado por malware de commodities e, em seguida, eles fornecem acesso a um ator de ameaças secundária operando ransomware como um serviço.”

Mas assim como as técnicas criminais melhoram, as estratégias de defesa também melhorarão.

“A defesa do ransomware precisa continuar a evoluir, mas como nunca seremos capazes de evoluir tão rápido quanto os atacantes e a indústria – e o mundo do comércio coletivo nunca será tão ágil quanto um grupo bem orquestrado de adversários determinados, temos que pensar diferente”, acrescenta Chris Roberts, hacker em residência com Semperis.

Aqui está uma olhada no que as equipes de segurança estão recorrendo agora para lutar contra a ameaça de ransomware behemoth.

Tecnologia de detecção busca comportamentos diferentes 

As primeiras defesas de ransomware foram inicialmente em torno de detecções baseadas em assinaturas, que funcionaram bem para ataques específicos de ransomware depois de serem identificadas, de acordo com Mike Schaub, gerente de segurança da informação do CloudCheckr. Mas com novos tipos de ransomware surgindo que se comportam de forma diferente hoje, agora há a necessidade de novos tipos de detecção.

“Isso inclui uma melhor análise comportamental ou heurística, ou o uso de arquivos canários ou iscas para melhor detecção precoce de um ataque em camadas com proteções dos próprios arquivos — como fazer backup de arquivos antes que um processo suspeito os criptografe, branqueando processos de criptografia”, diz ele.

Embora o criptoransomware clássico simplesmente bloqueou o acesso a sistemas, agora está na moda para os atacantes de ransomware também ameaçarem as vítimas com roubo de dados e doxxing.

“Extorsão não só pela criptografia, mas cópia de dados e ameaçando vazá-los se um resgate não for pago”, diz Schaub. “Essa ameaça de exfiltração tem diferentes comportamentos para procurar na defesa de ransomware.”

Caçar e Prevenir 

Roberts, de Semperis, diz que outra técnica emergente enfatiza o trabalho de defesa proativo e preditivo.

“A defesa do ransomware precisa evoluir de reagir às coisas, para prevê-las e, em seguida, antecipar riscos.”

Essa estratégia de “caçar e prevenir” em comparação com a antiga estratégia de “detectar e responder” tem mais equipes de segurança colocando recursos em pesquisa de ransomware, caça de ameaças e simulação contraditória, diz David Shear, gerente de governança de dados de ameaças da Vigilante.

“O futuro da defesa de ransomware não será mais simplesmente digitalizar pontos finais vulneráveis e adicionar detecção de ransomware à sua proteção de ponto final – mas uma busca mais completa através de suas redes para detectar atividades anômalas – e simulando os adversários do ransomware que você espera defender”, diz ele.

O Aleem da NTT diz que controles tradicionais em torno de uma estrutura baseada em assinaturas levam à falta de visibilidade das ameaças atuais de ransomware. Confiar nas ferramentas tradicionais, como detecção e resposta de ponto final (EDR) só pode detectar cerca de 1% dos ataques avançados.

“Você será violado”, diz ele. “O que as organizações precisam é passar de uma estratégia reativa para uma estratégia proativa e preditiva usando inteligência de ameaças. Para isso, eles precisam de visibilidade total da superfície de ameaça para detectar padrões de ameaça em suas redes.”

A Aleem recomenda mapear táticas, técnicas e procedimentos atualmente usados por grupos de ransomware para entender sua estratégia, o tempo que eles levam para implantar o ransomware e quanto tempo uma equipe de resposta a incidentes tem para descobrir, escalar e remediar.

Fazendo um acordo 

À medida que o seguro cibernético se torna mais popular (e a proliferação do ransomware tem algo a ver com isso), as empresas estão ficando mais confortáveis pagando resgates, e os operadores de ransomware estão se tornando mais confortáveis pedindo pagamentos maiores, e às vezes alguma negociação sobre o preço.

Kurtis Minder, CEO daGroupSense, uma empresa de serviços de proteção de risco digital que realiza reconhecimento na dark web e fornece vítimas de ransomware de serviços de negociação de atores de ameaças, adverte que as empresas precisam de mais inteligência sobre os atacantes antes que possam fazer um julgamento informado sobre se devem pagar um resgate em primeiro lugar. “E se eles decidirem pagar, precisam de um negociador de ransomware experiente – caso contrário, correm o risco de piorar o problema irritando o ator de ameaças”, diz ele.

“Se você fosse feito refém em um assalto a banco, você não iria querer o gerente da filial negociando sua libertação – você iria querer um negociador de crise do FBI. O mesmo vale para a negociação de ransomware.”

Prepare-se: Backup e Segmentação de Rede|

Se você ainda não está regularmente fazendo backup de dados regularmente, do que está perdendo uma das maneiras mais simples e eficazes de evitar ser forçado a pagar um resgate.

A Aleem recomenda uma solução de backup offline confiável.

“Geralmente somos notificados depois que um ataque aconteceu, então nesta fase a prevenção não é totalmente possível. No entanto, vimos que o ransomware não criptografa todos os arquivos ao mesmo tempo, por isso geralmente aconselhamos as organizações a desconectar grandes armazenamentos e sistemas de arquivos enquanto identificamos o malware específico para bloqueá-lo usando nossas ferramentas EDR.”

“A principal coisa que peço a todas as organizações que façam é corrigir vulnerabilidades rapidamente e construir uma estratégia de backup robusta para dados, a fim de diminuir o dano que o ransomware pode fazer”, acrescenta Jeff Horne, CSO da empresa de segurança Ordr. “Backup com redundância e backup off-line especificamente, e uma estratégia para restaurar sistemas rapidamente é, em última análise, a maneira como você pode derrotar isso.”

O movimento lateral em toda uma rede é outro movimento marcante para ransomware. Mas Sivan Tehila, diretor de arquitetura de soluções da Perimeter 81, diz que a segmentação da rede pode minimizar os danos.

“A segmentação da rede é fundamental para que o invasor não possa se mover lateralmente pela rede e criptografar mais dados”, diz ela.

Garantir o backup e a segmentação são parte de um exame essencial e geral de como uma equipe de segurança está preparada para se defender de um ataque, diz Sandra Joyce, da Mandiant Threat Intelligence.

“O que aconselhamos as organizações a fazer é realmente dar uma olhada no quão preparadas elas estão. Isso pode ser garantir que as redes sejam segmentadas, garantindo que você tenha um plano real que você tenha com a sua equipe executiva. Você tem reforços? Você tem uma maneira de voltar aos dados que você já tem que está garantido?

Treinamento de Conscientização 

Todos conhecemos o mantra: começa com o usuário final. Phishing ainda é a maneira mais fácil de entrar para ransomware. Treinar funcionários sobre o que reconhecer ainda vale um longo caminho, diz Rick Vanover, da Veeam Software.

“Temas não técnicos, como treinamento em conscientização de engenharia social, treinamento por e-mail e os passos simples de seguir regras estabelecidas são muito valiosos”, diz ele.

“A primeira linha de defesa é educar os funcionários para garantir que eles possam reconhecer as tentativas de phishing e responder adequadamente”, acrescenta Horne, da Ordr.

Avaliar políticas 

Uma avaliação minuciosa das políticas de acesso, especialmente aquelas relativas aos direitos de acesso privilegiados, é outra área a ser observada quando se trata de preparação para ransomware, diz Adam Laub, gerente geral da Stealthbits.

“Uma abordagem que está se mostrando bastante eficaz envolve organizações eliminando as contas administrativas que mantêm direitos de acesso privilegiados permanentes em todos os sistemas e aplicativos em toda a empresa”, diz Laub. “Os atacantes e os malwares passaram a confiar nessa condição para se mover lateralmente, aumentar privilégios e, eventualmente, obter acesso irrestrito a sistemas, contas e aplicativos críticos aos negócios.”

Andy Michael, fundador da VPN Testing, diz que ir mais longe e revisar políticas para parar de permitir que os funcionários entrem em sites conhecidos em armadilhas de ransomware.

“Quer levar a sério a defesa contra ransomware nos computadores da empresa?”, diz ele. “Então você deve bloquear todos os sites de mídia social em propriedade da empresa. A maioria dos ataques de ransomware vem através da atividade de mídia social, então limitar a atividade de mídia social em computadores usados para o trabalho da empresa.”

FONTE: DARK READING

POSTS RELACIONADOS