Os atuais esforços defensivos contra ransomware não estão funcionando

Views: 2069
0 0
Read Time:3 Minute, 9 Second

Apesar de alguns desenvolvimentos positivos, o impacto dos ataques de ransomware continua elevado, de acordo com o SpyCloud.

As infecções por infostealers precederam 22% dos eventos de ransomware para empresas norte-americanas e europeias vítimas de ransomware em 2023 – com infostealers comuns como Raccoon, Vidar e Redline aumentando ainda mais a probabilidade. A análise do SpyCloud mostra que 76% das infecções que precederam esses eventos de ransomware envolveram o malware Raccoon infostealer.

Ransomware é um problema de malware em sua essência

Apesar da mudança de prioridades para lidar melhor com o ransomware, as organizações não estão conseguindo lidar com o malware infostealer – um precursor comum dos ataques de ransomware.

“O ransomware é um problema de malware em sua essência, e há um padrão claro emergente que mostra que o malware infostealer está levando diretamente a ataques de ransomware”, disse Trevor Hilligoss , diretor sênior de pesquisa de segurança da SpyCloud. “As organizações que não conseguem lidar com os dados de autenticação roubados por malware arriscam mais do que apenas custos de resgate, pois danos à reputação da marca, interrupção das operações comerciais e drenagem de recursos podem ser tão ou mais prejudiciais do que o próprio resgate.”

A SpyCloud descobriu que mais de 98% dos entrevistados concordam que uma melhor visibilidade e a correção automatizada de dados exfiltrados por malware melhorariam sua capacidade de lutar contra ransomware.

Importância do MFA dispara nos últimos anos

As organizações mudaram sua abordagem no ano passado, afastando-se da conscientização e do treinamento do usuário e adotando contramedidas baseadas na tecnologia: automatizando a correção de senhas expostas e cookies de sessão, implementando MFA e aproveitando a autenticação sem senha, como chaves de acesso .

Os entrevistados classificaram a importância da MFA muito mais alta do que nos anos anteriores, embora o backup de dados continuasse sendo a contramedida mais importante percebida pelas organizações ao ransomware. Além disso, as organizações classificaram o phishing e a engenharia social (métodos comuns de implantação de malware) como os pontos de entrada mais arriscados.

O SpyCloud descobriu que 81% das organizações pesquisadas foram afetadas pelo menos uma vez nos últimos 12 meses. As organizações afetadas incluem empresas que utilizaram quaisquer recursos comerciais para combater ransomware, seja por meio de soluções de segurança ou pagamentos de resgate.

“Apesar da compreensão das organizações sobre malware, as equipes de segurança ainda não têm visibilidade dos dados de autenticação expostos por infecções – e, como tal, não conseguem remediar consistentemente credenciais e cookies roubados como forma de evitar ataques de controle de conta e sequestro de sessão que levam ao ransomware”, disse Hilligoss. “Embora MFA, automação e tecnologias sem senha sejam precauções importantes, nenhuma delas é infalível.”

Desalinhamento da defesa cibernética

Com base nas descobertas do SpyCloud, detectar e abordar dados de autenticação expostos deve ser a principal prioridade para organizações que buscam interromper atores mal-intencionados. No entanto, apenas 19% das organizações disseram que estavam priorizando a melhoria da visibilidade e a correção de dados exfiltrados por malware.

Embora 79% dos profissionais entrevistados estejam confiantes em suas capacidades para evitar um ataque de ransomware nos próximos 12 meses, o SpyCloud descobriu um desalinhamento entre as prioridades de defesa cibernética das empresas e os métodos de ataque dos criminosos – que passaram de credenciais violadas para cookies roubados por malware que permitem o sequestro de sessão:

  • Os entrevistados classificaram o monitoramento de cookies e tokens de sessão da web comprometidos como a terceira contramedida menos importante contra ransomware.
  • As organizações classificaram os cookies roubados como o ponto de entrada menos arriscado.
  • Automatizar fluxos de trabalho para corrigir senhas e cookies expostos foi classificado como a segunda e terceira práticas de autenticação mais baixas, respectivamente.

FONTE: HELP NET SECURITY

POSTS RELACIONADOS