Ataques de ransomware e melhores práticas de higiene cibernética

jan 24, 2023

À medida que o mundo da tecnologia continua a evoluir, o mesmo acontece com os tipos de ataques de ransomware que podem afetar as organizações. Para a maioria das empresas, os dados são o ativo mais valioso e, sem proteção contra ransomware, os funcionários podem colocar a si mesmos e sua organização em risco de perder informações críticas. Ter uma estratégia de proteção contra ransomware que incorpore as melhores práticas de higiene cibernética deve ser uma prioridade para as empresas e seus funcionários. Pesquisador do FortiGuard Labs, discute os diferentes tipos de ataques de ransomware, juntamente com algumas práticas recomendadas de ransomware para proteger você e sua empresa de um ataque.

Você pode discutir brevemente sua função no FortiGuard Labs?

“Minhas responsabilidades como estrategista de segurança sênior no FortiGuard Labs da Fortinet incluem procurar as técnicas de ataque mais recentes e garantir que possamos nos defender não apenas contra ataques específicos usando essas técnicas, mas também contra quaisquer novos ataques que possam estar usando a mesma lógica. Para fazer meu trabalho com eficácia, preciso entender de rede, engenharia reversa, análise forense digital e resposta a incidentes. Além disso, preciso entender os riscos e objetivos comerciais de nossos clientes. A segurança deve permitir que as organizações trabalhem com mais eficiência, não impedindo seus objetivos de negócios existentes. Como pesquisador sênior do FortiGuard Labs, trabalho com clientes para avaliar as melhores opções para fornecer soluções de segurança de TI para grandes empresas e organizações governamentaiscom base em suas necessidades exclusivas. Tenho mais de 22 anos de experiência na indústria de segurança cibernética.”

Quais são os diferentes tipos de ataques de ransomware?

Há certamente uma variedade de variedades diferentes de ransomware, mas elas podem ser divididas em cinco tipos principais de ataques de ransomware:

  1. Crypto Ransomware ou Encryptors: Provavelmente uma das variantes mais conhecidas, este malware criptografa vários arquivos e dados dentro de um sistema, tornando o conteúdo infectado inacessível sem uma chave de descriptografia. Isso também pode incluir armários. 
  2. Lockers: semelhantes aos criptografadores, mas bloqueiam totalmente o acesso do usuário ao sistema. Geralmente, a tela de bloqueio exibe o resgate e as exigências e, em casos graves, inclui uma contagem regressiva para pressionar as vítimas a pagar.
  3. Scareware: Um software falso que afirma ter detectado um vírus ou problema semelhante em seu sistema e direciona o usuário a pagar para resolver o problema. Algumas variantes bloquearão o usuário de outras funcionalidades do sistema, enquanto outras inundarão a tela com alertas pop-up sem causar nenhum dano.
  4. Doxware/Leakware: como o nome sugere, o leakware ameaça distribuir informações confidenciais ou arquivos da empresa on-line e pressiona o usuário a pagar uma taxa para evitar que os dados sejam inseridos no domínio público.
  5. Ransomware-as-a-Service ( RaaS ):  Malware executado e gerenciado por um hacker profissional. O serviço é pago por pessoa física e todos os aspectos do ataque – desde a distribuição do malware até a cobrança do pagamento e restauração do acesso – são executados por profissionais contratados.

Quem deve se preocupar mais com um ataque de ransomware? São principalmente empresas ou particulares? 

“O ransomware está ficando mais sofisticado e mais destrutivo. Como pesquisador de segurança cibernética, o ransomware, para surpresa da maioria das pessoas, nem sempre é o ataque mais empolgante de se observar. Ataques direcionados a cérebros de inteligência artificial, sistemas de controle industrial e automóveis são ataques de ponta. No entanto, o ransomware tem um impacto imediato e visível em todos os setores e, muitas vezes, em indivíduos. Se uma empresa for atacada por ransomware e não conseguir se recuperar, é possível que ela esteja em risco. Isso tem consequências no mundo real, como pessoas que não conseguem trabalhar ou sustentar suas famílias.”

Quem deve ser chamado primeiro depois de saber que foi vítima de um ataque de ransomware? A polícia local? O FBI? Um especialista em cibersegurança? 

“A primeira etapa deve ser notificar sua equipe de gerenciamento de segurança cibernética, seja o CIO ou o gerente de segurança de uma equipe de centro de operações de segurança interna ( SOC ) ou a plataforma que um indivíduo usa para seu computador pessoal. Dependendo da gravidade e natureza do ataque, o profissional de segurança poderá orientá-lo a partir daí sobre os próximos passos. A principal prioridade deve ser chamar a atenção de um especialista em segurança treinado para o ataque, para que o problema seja resolvido o mais rápido possível. 

Organizações individuais podem ter seus próprios requisitos legais ou de notificação interna que devem ser seguidos, mas é importante lembrar que um ataque cibernético é um ataque e pode ser tão mortal quanto um ataque físico. Você precisa minimizar sua exposição e entender o problema antes de reagir. “

Quais são os erros mais comuns que você viu as empresas cometerem que as deixam vulneráveis ​​a ataques de ransomware? 

“Um dos erros mais comuns cometidos pelas empresas é não ter uma cobertura completa de todos os aspectos de um sistema. Com a prevalência do trabalho remoto e do e-mail sendo um dos vetores mais comuns de ransomware, as organizações devem garantir que não haja pontas soltas no sistema para os hackers explorarem. Por exemplo, a falta de integração pode significar muitos produtos pontuais e pouca visibilidade. Também pode significar segurança cibernética menos eficaz em geral. A manutenção de medidas de segurança adequadas coloca uma empresa na melhor posição possível para proteção contra ransomware. A consolidação e a integração são fundamentais para manter a visibilidade, mas também a mitigação e a correção, por exemplo.Manter medidas de segurança adequadas coloca uma empresa na melhor posição possível para se proteger contra ransomware. A integração e a consolidação em uma plataforma de segurança cibernética são importantes.”

O que você recomendaria que os CISOs fizessem para ajudar a limitar a frequência e a gravidade desses ataques? 

“Em primeiro lugar, equipar todos os sistemas com o que há de mais moderno em soluções de defesa e detecção de segurança cibernética. Detecção e resposta avançadas de endpoint ( EDR) é um ótimo exemplo porque pode detectar e mitigar ameaças em evolução. Isso é muito relevante dada a realidade da WFA que as organizações enfrentam hoje. Além disso, garantir que os funcionários sejam devidamente treinados sobre as tendências de ameaças é fundamental para a prevenção, pois os funcionários da rede estarão aptos a evitar atividades suspeitas e denunciá-las adequadamente. Em muitos casos, manter os sistemas atualizados e corrigidos, limitar o acesso do administrador e executar ferramentas defensivas de segurança comuns configuradas corretamente são bons pontos de partida. Treinar os usuários para ficarem atentos a criminosos cibernéticos e aumentar a conscientização pode aumentar exponencialmente sua postura defensiva para mitigar ataques. Essas tarefas básicas são comumente chamadas de boa higiene cibernética. O Instituto de Treinamento Fortineté um bom exemplo de como o treinamento pode fazer a diferença.”

Quais são algumas práticas recomendadas de ransomware para proteger você ou sua empresa de um ataque e por quê?

Pense holisticamente

Equipar todos os aspectos da rede, de bancos de dados a dispositivos Bluetooth, com as medidas de segurança mais recentes é essencial para prevenir o ransomware. Desviar totalmente os ataques ou detectá-los assim que houver uma violação é a melhor coisa que uma empresa pode fazer para proteger seus ativos. Você precisa pensar no endpoint e em todo o caminho até o kernel do Linux. Além disso, você precisa pensar em maximizar as tecnologias AI/ML para detectar anormalidades, etc. A segmentação e também serviços como um serviço de proteção contra riscos digitais podem ajudar a encontrar proativamente problemas vulneráveis ​​a serem resolvidos.

Treine os membros da rede em práticas de segurança adequadas

Educar os funcionários sobre as melhores práticas de segurança e o procedimento de denúncia adequado é fundamental para a mudança para o teletrabalho e permitirá que as equipes de segurança sejam informadas imediatamente quando houver uma ameaça potencial.  

Relate com antecedência para evitar que o malware persista

Notifique seu provedor de serviços e equipe de segurança assim que uma ameaça começar a surgir. Permitir que o malware viva dentro de um sistema dará a ele a oportunidade de se espalhar para outras entidades dentro da rede e aumentar os danos que podem ser causados. 

Reúna o máximo possível de informações sobre a ameaça potencial

Quando uma ameaça surgir, reúna o máximo de informações sobre a origem e a natureza do ataque para corrigir o sistema para prevenção futura. Aprender como o ransomware foi capaz de acessar a rede exporá as brechas que os hackers conseguiram explorar. Relatar detalhes para a aplicação da lei também ajudará no rastreamento de agentes de ameaças para evitar ataques repetidos.

FONTE:

https://www.fortinet.com/blog/industry-trends/ransomware-attack-types-and-protection-best-practices

https://www.fortinet.com/solutions/industries/federal.html?utm_source=blog&utm_medium=blog&utm_campaign=fortinet-federal-main-page

https://www.fortinet.com/blog/search?author=Aamir+Lakhani