5 conclusões dos ataques de ransomware DarkSide

16. julho 2021
| Sem comentários

Compartilhar postagem

O ataque de ransomware DarkSide no pipeline colonial nos EUA é apenas um dos muitos exemplos globais que mostram que a segurança não é apenas uma questão de TI, mas também de planejamento e gerenciamento estratégico. 5 insights de especialistas da Sophos.

O ataque de ransomware DarkSide no oleoduto Colonial, que fornece cerca de 45% do diesel, gasolina e combustível de aviação da Costa Leste, é apenas um exemplo que agora se junta a mais de 60 casos conhecidos. O serviço de saúde da Irlanda, a Toshiba Europe e a empresa química Brenntag, com sede em Essen, também estão entre as supostas vítimas. Repetidas vezes, a perícia dos incidentes aponta para problemas na rede de TI que já existiam antes do incidente e que contribuíram para a vulnerabilidade a ataques. Como resultado, surge a questão de saber por que os afetados não esgotaram todas as precauções de segurança potencialmente possíveis e se um oficial de segurança cibernética dedicado existia na organização no momento do ataque de ransomware. John Shier, consultor sênior de segurança da Sophos, resume as cinco principais conclusões dos ataques desde maio de 2021.

prioridade de segurança de TI

Com a situação de risco atual, empresas e organizações precisam de alguém que esteja de olho na situação de risco atual, que esteja familiarizado com a segurança e que faça parte do conselho de administração da empresa: o Chief Information Security Officer (CISO). Mesmo que seja difícil justificar um CISO dedicado para algumas empresas, deve haver uma pessoa adequada que saiba definir corretamente as prioridades de segurança de TI e que também as aplique. Por exemplo, na audiência colonial perante o Senado, soube-se que cerca de 200 milhões de dólares americanos foram investidos em TI nos últimos cinco anos - sem informações precisas sobre quanto realmente fluiu para a segurança de TI.

A capacidade de priorizar a segurança cibernética dentro da organização, ter um orçamento adequado e ter a autoridade necessária para fazer cumprir as prioridades são aspectos essenciais da segurança cibernética.

Padrões de segurança usados

Em muitos casos investigados pela equipe Sophos Rapid Response, o ponto inicial de entrada na rede é uma única senha roubada, principalmente para serviços remotos. No caso da Colonial, os invasores usaram a senha roubada para obter acesso a um serviço VPN que não tinha autenticação multifator (MFA) habilitada. O operador do pipeline acreditava que esse perfil VPN não estava em uso e provavelmente prestou menos atenção a ele - uma situação típica que os especialistas observam repetidamente. Há uma boa chance de que os invasores obtiveram a senha por meio de uma invasão anterior, apenas para usá-la posteriormente em seu ataque de ransomware. Isso leva a duas conclusões extremamente importantes: As tecnologias de segurança disponíveis, como MFA, devem sempre ser ativadas e os especialistas em segurança devem levar a sério os incidentes de segurança menores e anteriores, pois podem ser os precursores de ataques maiores.

Visibilidade de eventos de rede

A equipe de resposta rápida da Sophos geralmente descobre que as vítimas não ficam sabendo de um ataque de ransomware até que o ransomware seja realmente iniciado e os dados sejam criptografados. No entanto, os invasores geralmente estão na Internet muito antes de o ransomware ser ativado. Os invasores podem levar dias ou até meses para se preparar para infligir dano máximo ou extorquir lucro. Em seu Active Adversary Playbook 2021, a Sophos assume um tempo médio de permanência de onze dias para invasores na rede da vítima.. A Colonial também foi uma das empresas que não teve a transparência e visibilidade necessárias para identificar os invasores em um estágio inicial. Portanto, as ferramentas de Endpoint Detection and Response (EDR) são de grande valia, não apenas para prevenir ataques, mas também para permitir que a organização procure por ameaças latentes.

planejamento para emergências

Em particular, grandes empresas ou operadoras de infraestrutura importante costumam ter bons planos de emergência para eventos na produção, para defeitos, acidentes e outros eventos tradicionalmente clássicos. No entanto, os perigos cibernéticos ainda raramente parecem estar ancorados em tais planos - esse também é o caso do Colonial. Planos de contingência são essenciais para a sobrevivência. Organizações de todos os tamanhos devem realizar uma avaliação de segurança e planejar como responder a possíveis incidentes. Algumas das avaliações podem ser realizadas internamente, outras com especialistas externos. Em seguida, elabore planos para a) proteger melhor as áreas mais fracas, b) implementar um processo caso algo dê errado ec) testar as mitigações em relação ao plano de melhoria e resposta.

Também devem ser incluídas informações de fontes como o Centro de Compartilhamento e Análise de Informações (ISAC), especialmente para empresas e organizações em áreas particularmente importantes. Essas organizações coletam, analisam e disseminam informações sobre ameaças e fornecem ferramentas para mitigar riscos e melhorar a resiliência.

Pagar ou não pagar

As empresas estão sempre dispostas a pagar altos resgates aos invasores em uma situação de emergência. Existem muitos exemplos em que as empresas foram forçadas a cumprir porque seus backups foram corrompidos ou ausentes. Outros querem que a rede volte a funcionar o mais rápido possível, e outros ainda optam por pagar porque parece mais barato do que o custo de restaurá-la. Outro motivo comum é impedir que dados roubados sejam vendidos ou disponibilizados publicamente. A Colonial também citou um desses motivos como justificativa para o pagamento.

Mas o pagamento do dinheiro da extorsão não deve ser visto apenas criticamente do ponto de vista legal. Deve-se estar ciente do fato de que pagar um resgate não é garantia de nenhum tipo. No relatório State of Ransomware 2021 A Sophos descobriu que, depois de pagar um resgate, as empresas só conseguiram recuperar uma média de 65% de seus dados. Apenas 8% das empresas conseguiram recuperar todos os seus dados e 29% conseguiram recuperar menos da metade por meio de pagamento. Além do resgate, os altos danos consequentes devem ser considerados para reparar os danos causados ​​pelo ataque e pela interrupção dos negócios e para garantir que algo assim não aconteça novamente.

essência da avaliação

A crescente intensidade criminosa, a criatividade e a inteligência dos atacantes não podem ser contidas, os desenvolvimentos dos últimos anos descrevem o contrário. No entanto, existem muitas possibilidades e muitas vezes não utilizadas para reduzir o potencial de risco.

“Não deveria ser necessário um ataque para que uma empresa ou organização se torne mais forte em segurança cibernética. Agora você deve dedicar tempo e recursos para avaliar a situação de segurança para, imediatamente e com o mais alto nível de competência - tanto internamente quanto com especialistas externos - estabelecer uma defesa melhor e mais cedo sempre que possível", resume John Shier .

Mais em Sophos.com

 

Sobre a Sophos

A Sophos tem a confiança de mais de 100 milhões de usuários em 150 países. Oferecemos a melhor proteção contra ameaças complexas de TI e perda de dados. Nossas soluções de segurança abrangentes são fáceis de implantar, usar e gerenciar. Eles oferecem o menor custo total de propriedade do setor. A Sophos oferece soluções de criptografia premiadas, soluções de segurança para endpoints, redes, dispositivos móveis, e-mail e web. Também há suporte da SophosLabs, nossa rede global de centros de análise proprietários. A sede da Sophos fica em Boston, EUA e Oxford, Reino Unido.

 

Artigos relacionados ao tema

Segurança de TI: NIS-2 torna-o uma prioridade máxima

Apenas num quarto das empresas alemãs a gestão assume a responsabilidade pela segurança informática. Especialmente em empresas menores ➡ Leia mais

Os ataques cibernéticos aumentam 104 por cento em 2023

Uma empresa de segurança cibernética deu uma olhada no cenário de ameaças do ano passado. Os resultados fornecem informações cruciais sobre ➡ Leia mais

Segurança de TI: base para LockBit 4.0 desativada

A Trend Micro, trabalhando com a Agência Nacional do Crime (NCA) do Reino Unido, analisou a versão não publicada que estava em desenvolvimento ➡ Leia mais

MDR e XDR via Google Workspace

Seja num café, num terminal de aeroporto ou num escritório doméstico – os funcionários trabalham em muitos locais. No entanto, este desenvolvimento também traz desafios ➡ Leia mais

Spyware móvel representa uma ameaça para as empresas

Cada vez mais pessoas utilizam dispositivos móveis tanto no dia a dia como nas empresas. Isto também reduz o risco de “móveis ➡ Leia mais

A segurança crowdsourced identifica muitas vulnerabilidades

A segurança crowdsourced aumentou significativamente no último ano. No sector público, foram comunicadas 151% mais vulnerabilidades do que no ano anterior. ➡ Leia mais

AI no Enterprise Storage combate ransomware em tempo real

A NetApp é uma das primeiras a integrar inteligência artificial (IA) e aprendizado de máquina (ML) diretamente no armazenamento primário para combater ransomware ➡ Leia mais

FBI: Relatório de crimes na Internet contabiliza US$ 12,5 bilhões em danos 

O Internet Crime Complaint Center (IC3) do FBI divulgou seu Relatório de Crimes na Internet de 2023, que inclui informações de mais de 880.000 ➡ Leia mais

Sophos, Stories
, , , ,