0
0
Imagine a cena: Um ataque devastador de ransomware imobilizou uma grande empresa de fabricação. Não é possível enviar ou vender qualquer produto, ou entrar em contato com os clientes da empresa. Toda a cadeia de suprimentos foi comprometida. Para piorar as coisas, dois locais de backup também são inacessíveis. Infelizmente, este não é um cenário de “e se”. Isso aconteceu, apesar dos melhores esforços das equipes de segurança e operações comerciais da empresa. Mesmo que a organização tivesse um Plano A e um Plano B, não foi suficiente para lidar com ransomware moderno.
Muitas vezes, uma resposta tradicional a um ataque de ransomware é focada apenas em uma investigação técnica. No entanto, os efeitos de ondulação do ransomware vão muito além de uma reinicialização do sistema e limpeza de segurança. Como destaca a situação da nossa empresa de fabricação, muitas vezes há uma lacuna entre o que precisa ser feito e compartilhado em todos os planos de resposta a incidentes da empresa e atuais. Os líderes das organizações devem reconhecer que o ransomware é um risco para os negócios, não simplesmente um problema de segurança cibernética, e eles devem tomar os passos certos na ordem certa para lidar com qualquer crise.
Motivações de ransomware evoluem
Embora o ransomware esteja por perto há muito tempo, as táticas e motivações dos atores de ameaças mudaram recentemente. Após a invasão da Ucrânia pela Rússia, atores de ameaças em fóruns de língua russa da Dark Web – particularmente aqueles associados ao ransomware – às vezes estão escolhendo alvos baseados em motivos políticos, em vez de apenas ganhos financeiros. A divisão ideológica levou muitos atores subterrâneos a pedir o retorno de grupos de ransomware ao subsolo mainstream e a restabelecer o direcionamento de entidades ocidentais, especialmente nos setores de recursos, governo, bancos e infraestrutura crítica.
Novas táticas abrem a porta
Também estamos vendo novos atores de ameaças introduzindo novas ideias e táticas em evolução. Por exemplo, alguns ataques são mais destrutivos do que disruptivos, envolvendo a exclusão ou danos de backups. Isso destrói o Plano B e torna mais difícil para um alvo comprometido voltar a funcionar. Também pode prejudicar a marca e a reputação de uma empresa.
Facilitar a vida dos atores de ameaças é o acesso a ferramentas “plug-and-play”, como produtos ransomware-as-a-service que podem ser facilmente comprados na Dark Web e facilmente implantados. E há também o crescente interesse em vendas de acesso à rede — quando os cibercriminosos oferecem atores de ameaças sofisticados e realizados um atalho para uma rede comprometida por um preço. Por exemplo, em fevereiro, a equipe de inteligência de ameaças da Accenture descobriu que um usuário de site subterrâneo, “GodLevel”, estava anunciando acesso a um subdomínio pertencente a uma troca agrícola ucraniana identificada. Um invasor poderia potencialmente usar o acesso comprometido do sistema para elevar os privilégios do usuário e fazer uso de domínios associados para obter dados de informações pessoalmente identificáveis (PII) e cartão de pagamento, revender dados exfiltrados e implantar softwares maliciosos, como ransomware.
Quando se trata de táticas de ransomware, um dos novos sabores é a extorsão, onde atores de ameaças iniciam uma campanha de desinformação de negócios públicos com o objetivo de corroer a confiança e a confiança pública em um negócio.
Até somos vistos ameaçando atores diretamente contatando indivíduos cujos dados foram roubados de uma empresa quando a empresa se recusa a pagar um resgate. Assim, enquanto as empresas estão tentando lidar com complexidades cibernéticas e colocar seus negócios de volta em funcionamento, elas também podem ter que se defender contra um ecossistema extenso de stakeholders.
Tempos disruptivos resultaram em uma onda de ataques, e é possível que a invasão russa da Ucrânia possa continuar essa tendência. Análises recentes da equipe de resposta forense de incidentes cibernéticos da Accenture, baseada em compromissos realizados entre janeiro e dezembro de 2021, mostram um aumento de 107% em ataques de ransomware e extorsão e 33% no volume de intrusão de ransomware e extorsão. Essas ameaças crescentes pressionam uma resposta tradicional à crise e acentuam o papel vital do planejamento coordenado e das comunicações.
Fechando a lacuna de comunicações
Quando todas as áreas da empresa trabalham juntas — impulsionadas do topo — todo o negócio se beneficia. Aqui estão algumas medidas a serem consideradas para ajudar a fechar as lacunas que abrem a porta para ransomware e extorsão:
- Lidere com líderes: Os profissionais de cibersegurança geralmente executam exercícios de mesa, mas eles devem evoluir tais exercícios para incluir simulações de nível executivo. Isso permite que as organizações testem suas defesas contra um ataque típico de ransomware diretamente com líderes empresariais — enquanto simulam o risco e a adrenalina de um cenário de ataque “na vida real”.
- Evite o efeito dominó: Dar um primeiro passo descoordenado pode levar uma organização por um caminho que pode dificultar sua recuperação. Ao criar um livro de jogadas e ter um plano claro para todo o negócio, supervisionado pela suíte C, as organizações podem evitar o efeito dominó de ações de “lugar errado, hora errada”.
- Relatório com rigor: O diabo está nos detalhes. Para proteger contra ransomware, mantenha práticas padrão de segurança cibernética corrigindo práticas de higiene e incorpore uma abordagem orientada à inteligência para programas de gerenciamento de superfície de vulnerabilidade e ataque. Para serem resilientes, as organizações devem entender melhor as obrigações internas de relatórios e agir com total transparência, de forma pensativa e factual.
Conclusão
Ao entender — e se preparar — todas as implicações de um ataque de ransomware a uma organização, a recuperação pode ser mais rápida e fácil. No entanto, os líderes empresariais são muitas vezes mal preparados, especialmente quando se trata das comunicações essenciais necessárias para informar e instruir todas as partes interessadas afetadas por um ataque. É hora dos líderes empresariais olharem com novos olhos para como lidam com ransomware e extorsão. E a ênfase deve ser na priorização da gestão eficaz de crises em toda a empresa.
FONTE: DARK READING