Se o crescimento dos ataques de ransomware em 2022 indica o que o futuro reserva, as equipes de segurança em todos os lugares devem esperar que esse vetor de ataque se torne ainda mais popular em 2023. Apenas no primeiro semestre de 2022, o número de novas variantes de ransomware que identificamos aumentou quase 100% em comparação com o período de seis meses anterior, com nossa equipe do FortiGuard Labs documentando 10.666 novas variantes de ransomware no primeiro semestre de 2022, em comparação com apenas 5.400 no segundo semestre de 2021. Esse crescimento explosivo em novas variantes de ransomware deve-se principalmente a mais invasores aproveitando o Ransomware- assinaturas como serviço (RaaS) na dark web.
No entanto, mesmo com o aumento das variantes de ransomware, as técnicas que vemos mal-intencionados usando para distribuir ransomware permanecem basicamente as mesmas. Essa previsibilidade é uma boa notícia porque as equipes de segurança têm um esquema confiável para proteção contra esses ataques. Aqui está uma análise mais detalhada das estratégias de mitigação de ransomware e como você pode implementá-las em sua organização.
O que é Ransomware?
Ransomware é um malware que mantém os dados como reféns em troca de um resgate. Ele ameaça publicar, bloquear ou corromper dados, ou impedir que um usuário trabalhe ou acesse seu computador, a menos que atenda às demandas do invasor. Hoje, o ransomware é frequentemente enviado por e-mails de phishing. Esses anexos maliciosos infectam o computador do usuário assim que são abertos. O ransomware também pode se espalhar por download drive-by, que acontece quando um usuário visita um site que está infectado. O malware desse site é baixado e instalado sem que o usuário perceba.
A engenharia social também costuma desempenhar um papel em um ataque de ransomware. É quando um invasor tenta manipular alguém para divulgar informações confidenciais. Uma tática comum de engenharia social é enviar e-mails ou mensagens de texto para assustar o alvo e fazê-lo compartilhar informações confidenciais, abrir um arquivo malicioso ou clicar em um link malicioso.
O que é Mitigação de Ransomware?
Tentativas de ataque e violação de dados são inevitáveis, e nenhuma organização deseja ser forçada a decidir entre pagar um resgate ou perder dados importantes. Felizmente, essas não são as duas únicas opções. O melhor caminho a seguir é tomar as medidas adequadas para proteger suas redes, o que diminuirá as chances de sua empresa ser atingida por ransomware. Essa abordagem requer um modelo de segurança em camadas que combine controles de rede, endpoint, borda, aplicativo e centro de dados, bem como inteligência de ameaças atualizada.
Além de implementar as ferramentas e processos de segurança corretos, não se esqueça do papel que a educação em segurança cibernética desempenha em sua estratégia de mitigação. Ensinar os funcionários a identificar um ataque de ransomware – e educá-los sobre as fortes práticas de higiene cibernética em geral – é uma ótima defesa contra invasores inteligentes.”Ensine os funcionários a identificar sinais de ransomware, como e-mails projetados para parecer que são de empresas autênticas, links externos suspeitos e anexos de arquivos questionáveis.”
Compreendendo os riscos que tornam a mitigação de ransomware necessária
Procure em qualquer organização e provavelmente encontrará “lacunas” de segurança que aumentam as chances de uma empresa ser vítima de um ataque de ransomware. Aqui estão vários desafios comuns enfrentados pelas equipes de segurança e suas organizações, que podem torná-los mais vulneráveis a incidentes cibernéticos.
- Falta de conhecimento sobre higiene cibernética entre os funcionários: o comportamento humano continua a ser um fator significativo na maioria dos incidentes de segurança. Além de entender os sinais de ransomware, a falta de educação geral sobre segurança cibernética entre os funcionários pode colocar sua organização em risco. De acordo com o Relatório de investigações de violação de dados de 2022 da Verizon , 82% das violações ocorridas no ano passado envolveram o elemento humano.
- Políticas de senha fracas: Políticas insuficientes relacionadas às credenciais dos funcionários, ou ausência de políticas, aumentam a probabilidade de uma organização sofrer uma violação de segurança. Credenciais comprometidas estão envolvidas em quase 50% dos ataques .
- Monitoramento e processos de segurança insuficientes: nenhuma ferramenta oferece tudo o que sua equipe de segurança precisa para monitorar e proteger contra possíveis incidentes cibernéticos, como ransomware. Uma abordagem de segurança em camadas pode ajudá-lo a gerenciar adequadamente os riscos de sua empresa.
- Falta de pessoal entre as equipes de segurança e TI: não é segredo que você deve ter pessoas com as habilidades certas em sua equipe para dar suporte aos esforços de monitoramento e mitigação de riscos para combater o crime cibernético de forma eficaz. No entanto , os dados mostram que a lacuna de habilidades em segurança cibernética apresenta um desafio contínuo para os CISOs: como atrair e reter novos talentos, garantindo que os membros da equipe atual recebam o treinamento necessário e as oportunidades de qualificação.
Últimos ataques de ransomware para aprender
O ransomware continua cada vez mais desagradável e caro, impactando empresas em todos os setores e geografias. Embora a maioria de nós se lembre de ataques recentes de ransomware de alto perfil envolvendo empresas como Colonial Pipeline e JBS , ocorrem inúmeros outros incidentes de ransomware que não são notícia nacional. No entanto, muitos ataques de ransomware podem ser evitados com a aplicação de fortes práticas de higiene cibernética – incluindo a oferta de treinamento contínuo de conscientização cibernética para funcionários – e com foco na implementação de medidas de Zero Trust Network Access (ZTNA) e segurança de endpoint.
5 melhores práticas de proteção contra ransomware
A detecção efetiva de ransomware requer uma combinação de educação e tecnologia. Aqui estão algumas das melhores maneiras de detectar e prevenir a evolução dos ataques de ransomware atuais:
- Eduque seus funcionários sobre as características do ransomware: o treinamento de conscientização de segurança para a força de trabalho de hoje é obrigatório e ajudará as organizações a se protegerem contra uma variedade de ameaças em constante evolução. Ensine os funcionários a identificar sinais de ransomware, como e-mails criados para parecer que são de empresas autênticas, links externos suspeitos e anexos de arquivos questionáveis.
- Use o engano para atrair (e deter) invasores: um honeypot é uma isca que consiste em repositórios falsos de arquivos projetados para parecerem alvos atraentes para invasores. Você pode detectar e interromper o ataque quando um hacker de ransomware for atrás do seu honeypot. A tecnologia de fraude cibernética como essa não apenas usa as próprias técnicas e táticas do ransomware contra si mesmo para acionar a detecção, mas também revela as táticas, ferramentas e procedimentos (TTP) do invasor que levaram ao seu sucesso na rede para que sua equipe possa identificar e fechar essas brechas de segurança.
- Monitore sua rede e endpoints: ao realizar monitoramento de rede contínuo, você pode registrar o tráfego de entrada e saída, verificar arquivos em busca de evidências de ataque (como modificações com falha), estabelecer uma linha de base para atividade de usuário aceitável e, em seguida, investigar qualquer coisa que pareça fora do padrão comum. A implantação de ferramentas antivírus e anti-ransomware também é útil, pois você pode usar essas tecnologias para colocar sites aceitáveis na lista de permissões. Por último, é essencial adicionar detecções com base em comportamento à sua caixa de ferramentas de segurança, especialmente à medida que as superfícies de ataque das organizações se expandem e os invasores continuam aumentando a aposta com ataques novos e mais complexos.
- Olhe para fora da sua organização: Considere ter uma visão fora da rede para os riscos apresentados a uma organização. Como extensão de uma arquitetura de segurança, um serviço DRP pode ajudar uma organização a ver e mitigar três áreas adicionais de risco: riscos de ativos digitais, riscos relacionados à marca e ameaças ocultas e iminentes.
- Aumente sua equipe com SOC como serviço, se necessário: a intensidade atual que vemos no cenário de ameaças, tanto em velocidade quanto em sofisticação , significa que todos precisamos trabalhar mais para permanecer no topo do nosso jogo. Mas isso só nos leva até certo ponto. Trabalhar de forma mais inteligente significa terceirizar tarefas específicas, como resposta a incidentes e detecção de ameaças. É por isso que é útil contar com um provedor de Detecção e Resposta Gerenciada (MDR) ou uma oferta de SOC como serviço . Aumentar sua equipe dessa maneira pode ajudar a eliminar o ruído e liberar seus analistas para se concentrarem em suas tarefas mais importantes.
Embora o volume de ransomware não esteja diminuindo, várias tecnologias e processos estão disponíveis para ajudar sua equipe a mitigar os riscos associados a esse ataque. Desde programas contínuos de educação cibernética até o fortalecimento dos esforços da ZTNA, podemos manter os invasores astutos afastados.
REFERÊNCIAS:
https://www.fortinet.com/blog/industry-trends/five-ransomware-protection-strategies-for-2023