0
0
Apesar do aumento do investimento em ferramentas para combater o ransomware, 90% das organizações foram afetadas por ransomware de alguma forma nos últimos 12 meses, de acordo com o Relatório de Defesa de Ransomware de 2022 da SpyCloud.
Alocação de orçamentos de segurança
Os entrevistados classificaram o risco de ataque por meio de fornecedores terceirizados como o principal fator que impulsiona a alocação de orçamentos de segurança, seguido pelo aumento da frequência e sofisticação dos ataques de ransomware. Como resultado, as soluções de mitigação de ransomware das organizações se concentram cada vez mais no risco de controle de conta como precursor dessa forma de ataque cibernético.
O número de organizações que implementaram ou planejam implementar a autenticação multifator saltou 71%, de 56% no ano anterior para 96%. O monitoramento de credenciais de funcionários comprometidas também aumentou de 44% para 73%.
À medida que as organizações fortalecem a higiene de suas senhas e investem em ferramentas como MFA, os criminosos dobraram e expandiram as táticas tradicionais para contornar suas defesas. Por exemplo, a implantação de malware em dispositivos pessoais para acessar aplicativos corporativos ou a migração para o seqüestro de sessão usando cookies comprometidos pode permitir que os criminosos ignorem completamente o processo de autenticação.
“A autenticação multifator fornece uma camada adicional de segurança muito necessária, mas não é perfeita. Recentemente, ouvimos avisos contra o uso de autenticação por SMS para MFA, pois os textos podem ser interceptados por cibercriminosos motivados, mas mesmo as notificações por push e os aplicativos de autenticação não são completamente infalíveis ou seguros, o que essas tendências de malware e cookies comprometidos estão mostrando ”, Darren Siegel, Cyber Security Especialista da Specops Software, disse ao Help Net Security.
“Este relatório de defesa é um ótimo lembrete da necessidade de educação de segurança dos funcionários e melhores controles de segurança. O treinamento de segurança cibernética deve ser exigido regularmente para todos os funcionários para ensiná-los a reconhecer ameaças de segurança cibernética e como eles podem ajudar a mitigá-las – coisas como pensar duas vezes antes de clicar em um link ou aprovar uma notificação de MFA e definir senhas mais fortes.”
As medidas de segurança cibernética não estão conseguindo fechar as lacunas
Essas táticas recentes de criminosos não levaram a nenhuma diminuição nos incidentes cibernéticos gerais. De fato, a pesquisa revelou que as organizações não apenas ainda são vítimas, mas estão cada vez mais propensas a serem atingidas mais de uma vez: 50% foram atingidos pelo menos duas vezes, 20,3% foram atingidos entre 6 e 10 vezes e 7,4% foram atacados mais de 10 vezes .
“As organizações estão certas em se preocupar com ameaças internas inconscientes – suas medidas de segurança cibernética não estão conseguindo fechar as lacunas que estão levando a ataques de ransomware”, disse Ted Ross , CEO da SpyCloud . “As organizações podem não estar cientes de que infecções de malware não detectadas em dispositivos pessoais representam a mais arriscada dessas lacunas. Este relatório mostra que as organizações estão gastando tempo e dinheiro em soluções que deixam dados confidenciais expostos. Mesmo que as equipes de segurança recuperem os dados de suas organizações, uma vez que circulem na dark web, os criminosos podem usá-los para atividades mais destrutivas – incluindo seu próximo ataque.”
Infecções de malware
As infecções por malware são mais difundidas do que muitas organizações imaginam. Por meio da análise de logs de botnet recapturados somente este ano, os pesquisadores do SpyCloud identificaram mais de 6 milhões de dispositivos infectados por malware com credenciais de aplicativos desviadas.
Os cibercriminosos implantam malware para roubar dados, incluindo credenciais para aplicativos de força de trabalho, impressões digitais do navegador e cookies de dispositivo ou sessão da Web, permitindo que se passem por um funcionário e acessem e criptografem dados enquanto ignoram a MFA e outros controles de segurança.
Em média, em 2022, os pesquisadores do SpyCloud encontraram de 16 a 26 aplicativos ou domínios afetados exclusivos por dispositivo infectado, o que se traduz em 96 a 156 milhões de credenciais de login de aplicativos desviados. Embora a limpeza de um dispositivo infectado possa impedir que criminosos acessem mais dados, isso não remedia a exposição da identidade mais ampla nem impede o acesso corporativo futuro. A remediação pós-infecção robusta é fundamental porque a recriação da imagem de um dispositivo infectado sem remediar os aplicativos deixa uma grande lacuna na postura de segurança da empresa.
De acordo com 87% dos entrevistados, relatos de malware de roubo de credenciais, como o RedLine Stealer, aumentaram a preocupação de sua organização com dispositivos pessoais não monitorados como um potencial ponto de entrada para ransomware. Dispositivos não gerenciados representam uma grande preocupação porque as equipes de segurança não conseguem monitorá-los em busca de ameaças como malware e exposições de aplicativos de terceiros. Como resultado, os defensores cibernéticos não têm visibilidade de toda a superfície de ataque e, portanto, geralmente subestimam seus riscos relacionados a malware.
Estratégias de prevenção de ransomware
“Estratégias eficazes de prevenção de ransomware devem se concentrar nos pontos de entrada que as equipes de segurança não podem ver – a superfície de ataque camuflada que inclui aplicativos de terceiros e máquinas não gerenciadas fora de seu escopo de monitoramento padrão”, disse Ross. “Um único dispositivo infectado por malware pode comprometer centenas de aplicativos corporativos. Mesmo depois que o malware é removido, o dano é feito, a menos que todos esses aplicativos sejam devidamente corrigidos após a infecção – caso contrário, as portas permanecem abertas para ransomware e outras ameaças críticas para a empresa.”
Em notícias relacionadas, vários estados dos EUA recentemente se moveram para proibir agências e organizações locais e estaduais financiadas com dólares dos contribuintes de pagar gangues de ransomware, e mais alguns estão se preparando para isso. Para saber mais sobre isso, temos um vídeo que fala sobre as possíveis repercussões de tal legislação e, em geral, sobre a natureza evolutiva dos ataques de ransomware e os atuais esforços globais para combater as ameaças de ransomware.
FONTE: HELPNET SECURITY