Entendendo o ransomware: o padrão de ataque mais comum

A transformação digital agora é a número um meta estratégica de negócios. De Sydney a São Francisco, as salas de reuniões estão descobrindo a melhor forma de aproveitar o poder da nuvem, da IA, da IoT e muito mais para impulsionar o sucesso. Seus esforços não são apenas vitais para criar novas experiências para o cliente e otimizar os processos de negócios. Eles também são essenciais para apoiar o novo modelo de trabalho híbrido que está emergindo rapidamente das cinzas da pandemia.

No entanto, o preço que as organizações geralmente pagam pelo aumento de sua presença digital está expandindo a superfície de ataques cibernéticos. Isso gera riscos cibernéticos, especialmente a ameaça de danos. ransomware brechas.

Atualmente, dezenas de desenvolvedores de ransomware e grupos afiliados estão operando em todo o mundo. Isso significa que também há uma grande variedade de táticas, técnicas e procedimentos de ataque em circulação. Mas isso não significa que não possamos discernir uma primária modus operandi. Melhor ainda, podemos pegar esse padrão geral de ataque e aplicar um processo simples de três etapas para ajudar a mitigar o risco de ransomware.

Esse é o valor de microssegmentação com base na visibilidade abrangente das comunicações dos ativos de rede e dos caminhos comuns usados pelos agentes de ameaças.

Esta postagem do blog responderá a perguntas comuns sobre como o ransomware funciona e como evitá-lo.

Por que o ransomware é importante?

Ransomware atingido níveis recordes nos primeiros três trimestres de 2021, com um fornecedor registrando cerca de 500 milhões de tentativas de compromisso em todo o mundo. Os ataques evoluíram nos últimos anos até o ponto em que a exfiltração de dados agora é a norma, adicionando um elemento totalmente novo de risco comercial. Isso significa que as organizações não podem simplesmente fazer backup dos dados e cruzar os dedos. Há um risco real de danos financeiros e de reputação decorrentes apenas da violação de dados.

Hoje, os chamados ataques de “dupla extorsão” podem resultar em:

• Multas regulatórias
• Perda de produtividade
• Vendas perdidas
• Custos de horas extras de TI para recuperar e investigar
• Taxas legais (por exemplo, ações coletivas em caso de violação de dados)
• Rotatividade de clientes
• Declínio do preço das ações

Cada organização e cada ataque são diferentes. Embora alguns comentaristas estimem o impacto financeiro médio com quase $2 milhões hoje, alguns ataques custaram vítimas de centenas de milhões. Isso torna essencial tomar medidas proativas para combater a ameaça.

Como funciona o ransomware?

A boa notícia é que, apesar das muitas variantes e grupos de afiliados em operação atualmente, podemos discernir um padrão básico para a maioria dos ataques. Resumindo, os atores da ameaça:

• Esconda-se nas redes por meses antes de atacar.
• Explore caminhos comuns para acesso inicial à rede e movimento lateral contínuo.
• Execute ações em vários estágios para atingir suas metas.

Vamos nos aprofundar em cada um deles.

Como os atacantes não são detectados por tanto tempo?

O objetivo dos invasores é permanecer ocultos até que tenham uma presença forte o suficiente na rede da vítima para roubar grandes volumes de dados confidenciais e implantar ransomware em todos os lugares.

Para fazer isso, eles:

• Violar um ativo que a organização não sabia que estava vulnerável ou exposto, seja um dispositivo, aplicativo ou carga de trabalho com uma conexão aberta à Internet e outros ativos de rede
• Use caminhos/fluxos de dados que a organização não sabia que estavam abertos e que deveriam ser fechados de acordo com a política de segurança de melhores práticas
• Comprometa vários sistemas que abrangem várias funções, o que dificulta que as equipes rastreiem tudo até um único incidente

Como os atacantes exploram caminhos comuns?

A maioria dos ransomware chega por meio de e-mails de phishing, Compromisso de RDP ou exploração de vulnerabilidades de software. Para aumentar as chances de sucesso, os atacantes buscam:

• Um pequeno conjunto de caminhos populares e de alto risco, como RDP ou SMB. Geralmente, eles abrangem toda a organização, são facilmente mapeados e geralmente são mal configurados.
• Abra portas e ativos exploráveis, por meio de escaneamentos automatizados usando scripts e rastreadores.
• Maneiras de se mover lateralmente em alta velocidade, usando esses caminhos de alto risco para se espalhar por toda a organização em apenas alguns minutos.

Como funcionam os ataques em vários estágios?

A maioria dos ataques começa com o comprometimento de ativos de baixo valor, pois geralmente são mais fáceis de sequestrar. O truque para os agentes de ameaças é, então, passar por estágios adicionais para alcançar ativos valiosos dos quais possam roubar dados ou criptografar, fornecendo vantagem ao extorquir a organização vítima.

Para fazer isso, os atacantes geralmente:

• Aproveite a baixa visibilidade, os controles de políticas e a segmentação de uma organização.
• Conecte-se à Internet para baixar ferramentas adicionais para ajudar nos próximos estágios de um ataque ou exfiltrar dados para um servidor sob seu controle.
• Cause a maioria dos danos por meio do movimento lateral, que é o processo de pular na rede de um ativo para outro.

Três etapas simples para impedir o ransomware

Com esse padrão de ataque típico em mente, os CISOs podem começar a criar uma resposta — uma nova arquitetura de segurança baseada em três componentes simples:

1. Desenvolva uma visibilidade abrangente dos fluxos de comunicação em seu ambiente

Isso deixará seus atacantes sem onde se esconder, desmascarando-os enquanto tentam comprometer o ativo inicial ou durante um movimento lateral.

Para fazer isso, você deve:

• Desenvolva visibilidade em tempo real de todos os ativos, permitindo que você aborde quaisquer fluxos de dados não essenciais ou anômalos.
• Crie um mapa em tempo real do ambiente para identificar quais cargas de trabalho, aplicativos e endpoints devem permanecer abertos e quais podem ser fechados.
• Crie uma visão unificada dos fluxos de comunicação e dos dados de risco com a qual todas as equipes de operações possam trabalhar, reduzindo o atrito interno.

2. Crie recursos de bloqueio de ransomware

Não basta simplesmente mapear os fluxos de comunicação e entender quais ativos podem ser fechados. Você precisa agir para reduzir a superfície de ataque e bloquear ataques em andamento.

Faça isso da seguinte forma:

• Fechando o maior número possível de vias de alto risco e monitorando as que permanecem abertas em tempo real.
• Fechando todas as portas que não precisem ser abertas, reduzindo as chances de escaneamentos automatizados encontrarem ativos expostos.
• Criação de um switch de contenção de emergência que possa ser acionado em segundos para restringir as comunicações de rede no caso de um ataque.

3. Isole ativos críticos

O estágio final é evitar que os invasores alcancem ativos críticos, forçando-os a realizar ações mais fáceis de detectar para progredir.

Isso envolverá:

• Aplicativos de delimitação para evitar que ativos de alto valor sejam comprometidos.
• Fechando conexões de saída com IPs não confiáveis, permitindo somente aquelas aprovadas”lista de permissões.”
• Desenvolver medidas de segurança pós-violação para proteger ativos críticos e impedir que os ataques se espalhem.

A luta começa aqui

Atualmente, nenhuma organização pode ser 100% à prova de violações — os atacantes são muito determinados, bem equipados e em grande número para isso. Mas com o foco certo na visibilidade da rede, nos controles de políticas e na segmentação, você pode criar um arquitetura de segurança mais inteligente maior probabilidade de isolar a ameaça.

A maioria dos agentes de ameaças é oportunista e busca um ROI rápido e fácil. Siga estas três etapas para interromper seus planos e você terá uma grande chance de evitar compromissos sérios.

Saiba mais:

• Aprofunde-se em cada etapa do e-book, Como impedir ataques de ransomware
• Saiba como a Illumio pode ajudar: 9 razões para usar o Illumio para combater o ransomware