0
0
Com uma ameaça tão persistentemente difundida como o ransomware, mitos e equívocos estão fadados a surgir em conjunto. Richard de la Torre, gerente técnico de marketing da Bitdefender, usou seu tempo no pódio durante a conferência Infosecurity Europe desta semana para enumerar – e dissipar – alguns dos mais comuns.
Embora alguns dos itens da lista de de la Torre sejam provavelmente muito familiares para a maioria dos profissionais de segurança, ele cita uma percepção equivocada de ransomware de que não há capacidade de combater essa tomada de reféns muito comum de dados comerciais. Não é verdade – as organizações proativas estão usando cada vez mais decodificadores e também fazendo uso mais estratégico da inteligência de ameaças para prevenir ou interromper ataques, acrescenta.
E apesar de toda a preocupação e atenção dedicada ao ransomware-as-a-service e mais incidentes de ransomware de ponta, de la Torre afirma que os vetores de ataque de ransomware permanecem relativamente básicos. “O processo de ameaça não mudou e o acesso começa por meio de ataques de phishing”, diz.
Ransomware é um grande negócio
Dito tudo isso, a maioria das organizações ainda não entendeu que o ransomware se transformou em grandes negócios, turbinados por seu modelo de negócios RaaS com uma operadora que às vezes é patrocinada pelo Estado. A operadora compra, desenvolve e revende o código ransomware e contrata afiliados, geralmente hackers, que se infiltram nas redes. Eles então plantam malware, estabelecem um servidor de comando e controle (C&C), detonam o ransomware e coletam resgate.
“São organizações multibilionárias, que contratam corretores de acesso e mineradores de dados e equipes de RH e recrutam na dark e deep web”, diz.
Outro equívoco é que as organizações devem ter uma resposta rápida a uma infecção por ransomware, e esse tempo é essencial para evitar criptografia e perda de dados corporativos. Embora isso possa ter sido verdade há alguns anos, os tempos mudaram, observa de la Torre. A maioria dos atacantes agora se concentra mais na exfiltração de dados, e o “ransomware real é usado como distração enquanto [os invasores] exfiltram dados”.
Mais comumente, os invasores se movem lateralmente dentro de uma rede, por dias ou até meses, fazendo reconhecimento para ver se uma organização tem seguro cibernético, identificar clientes-chave e identificar onde estão os conjuntos de dados mais ricos.
De la Torre também diz que é um equívoco que os atacantes só vão atrás de grandes alvos. A maioria dos ataques de ransomware normalmente tem como alvo organizações pequenas, já que organizações maiores têm equipes SOC e mais recursos dedicados à segurança cibernética. Mas os alvos menores não são o prêmio, apenas um trampolim. Mais frequentemente, os atacantes de ransomware “visam organizações menores que têm afiliações com organizações maiores por meio de uma cadeia de suprimentos como uma porta dos fundos”, explica.
Em termos de defesa, ele recomendou ter uma boa defesa em profundidade, com segurança de e-mail para impedir e-mails de phishing e boa detecção e resposta para “detectar quando houve uma mudança no Azure, por exemplo”, diz de la Torre. “Você quer algo à prova de adulteração e do qual você seja capaz de se recuperar.”
FONTE: DARK READING