A especialista Sophos conhece muito bem o processo e as consequências de um ataque de ransomware bem-sucedido. Do ponto de vista da vítima: é assim que um ataque de ransomware funciona.
Nenhuma organização deseja se tornar vítima de crimes cibernéticos. Mas se houver vulnerabilidades, é provável que os invasores as encontrem e as explorem. E pode levar meses ou até mais antes que a vítima perceba a condição. Os chamados respondedores de incidentes ajudam as empresas a identificar, bloquear e mitigar ataques e seus efeitos. Esse monitoramento por especialistas também permite uma análise precisa dos padrões de ataque e, consequentemente, uma visão mais próxima de como o cibercrime realmente afeta as vítimas.
O verdadeiro adversário é o homem, não a máquina
Os invasores estão se tornando cada vez mais adeptos da furtividade para evitar levantar suspeitas entre as equipes de segurança e permanecer indetectáveis. Portanto, são necessários diferentes níveis de segurança que rompam a cadeia de ataque em diferentes locais. Embora a violação inicial seja automatizada, os hackers usam ferramentas de TI legítimas, como scanners de rede, para fins ilegais, a fim de contornar as tecnologias de segurança e se mover lateralmente pela rede. O desafio para as vítimas é que as equipes de segurança de TI precisam ser extremamente vigilantes na avaliação de ferramentas legítimas, mas também populares e comumente usadas por invasores. Além disso, os invasores comprometem regularmente as contas de administrador existentes para se esconderem à vista de todos. Se eles são interrompidos em seus ataques, eles tentam outra coisa. E é aqui que um dos aspectos mais importantes do cibercrime, ainda muito subestimado pelas vítimas, é revelado: você não está lutando contra um código de malware, está lutando contra pessoas.
Ransomware é o final de um ataque cibernético
De acordo com os respondentes do incidente, muitas vítimas acreditam que um ataque ocorreu pouco antes de se tornar visível - por exemplo, por meio da mensagem do ransomware. No entanto, este é muito raramente o caso. Na verdade, os invasores geralmente já estavam na rede por um bom tempo antes desse ponto no tempo. Eles operam escondidos sob o radar, escaneando o sistema, instalando backdoors e roubando informações. Todas essas atividades são marcadores que devem ser verificados para facilitar a recuperação total do ataque. A parte do ataque que mais desperta o alarme é o lançamento de ransomware. Nesse ponto, o invasor obtém sucesso em todos os métodos acima na rede da vítima (consulte o gráfico de diferentes comportamentos de ransomware), permitindo que eles saiam da cobertura e estejam presentes. Em outras palavras, a implementação do ransomware marca o fim de um ataque, não o começo.
Vítimas e agressores são expostos a grande estresse
Cerca de noventa por cento dos ataques vistos pelos respondentes de incidentes envolvem ransomware, e o impacto desses ataques costuma ser devastador. Isso é especialmente verdadeiro para organizações críticas, como instalações de saúde, onde um ataque bem-sucedido pode significar cirurgias canceladas, falta de radiografias, resultados criptografados de exames de câncer e muito mais.
Algumas vítimas se sentem impotentes e consideram pagar o resgate como a única opção, por exemplo, para recuperar o acesso aos backups de dados sequestrados pelos invasores. Outras organizações optam por não pagar. Outros ainda estão mais preocupados com os danos à sua reputação (publicação de dados roubados) do que com o resgate das chaves de descriptografia. O próprio ransomware varia de profissional e sofisticado a de baixa qualidade e de má qualidade. As análises de ransomware mostraram que os ataques não são apenas exaustivos e intimidadores para as vítimas, mas também que os criminosos estão cada vez mais sob o "estresse do sucesso": eles perseguem cada vez mais as empresas que se recusam a pagar.
Desafio da reconstrução: encontre a fonte
Os dados do respondente a incidentes também sugerem que muitas vítimas acham difícil entender o movimento do ransomware na organização. Há uma suposição geral de que, a partir do seu ponto de partida, ele se expande automaticamente em todas as direções da rede - quando, na realidade, ele se concentra estrategicamente em uma lista pré-selecionada de dispositivos e áreas de rede. Isso também mostra que os invasores não apenas visam documentos e outros dados, mas simplesmente desejam desabilitar os dispositivos e sistemas de tal forma que só tenham recursos suficientes para iniciar a notificação do ransomware.
Para as vítimas de um ataque, isso significa que a restauração do sistema não começa com a restauração de um backup e a busca pelo que os invasores fizeram. O processo de recuperação geralmente começa com o desafio significativo de reconstruir todas as máquinas afetadas. E com ela a difícil tarefa de identificação: de onde veio o ataque e os criminosos talvez ainda estejam no sistema?
Defesa do perigo apenas com máquina e homem
As câmeras de vigilância podem gravar crimes e dissuadir os perpetradores, mas não podem impedir o arrombamento. O fator decisivo é a intervenção da força de segurança, que acompanha as gravações ao vivo e toma as devidas providências. À medida que os cibercriminosos se tornaram mais furtivos e melhoraram sua capacidade de usar ferramentas e processos legítimos, o valor do fator humano na caça às ameaças aumentou. Este método combina algoritmos avançados de software de segurança de última geração com experiência humana diária capaz de avaliar as nuances de um ataque - uma habilidade que o software (ainda) não possui.
Saiba mais em Sophos.com[asterisco=15]