O que os executivos devem saber sobre ataques de ransomware

20. Abril 2022
| Sem comentários
O que os executivos devem saber sobre ataques de ransomware

Compartilhar postagem

Como a maioria das indústrias, os cibercriminosos se adaptaram e mudaram nos últimos dois anos, à medida que as circunstâncias mudaram. Eles têm uma grande variedade de ferramentas em evolução em seu arsenal e são capazes de alavancar muitos vetores para chegar ao seu destino: os valiosos dados corporativos. Os especialistas da Varonis explicam o que todo executivo precisa saber sobre ataques de ransomware modernos.

Foi assim que os invasores modernos aprenderam a lançar campanhas de ransomware ainda mais disruptivas. Ao mesmo tempo, tornaram-se mais eficientes e hábeis em evitar processos judiciais. É assim que os grupos de ransomware se reagrupam após uma (rara) separação, constroem uma nova infraestrutura e dão a si mesmos um novo nome. Como o DarkSide, o grupo de ransomware por trás de vários ataques de alto perfil, agora indiscutivelmente conhecido como BlackMatter. Frequentemente, após esse realinhamento, os cibercriminosos voltam mais fortes, aprendendo com suas experiências e usando novas técnicas e vulnerabilidades. Eles têm uma grande variedade de ferramentas em evolução em seu arsenal e são capazes de alavancar muitos vetores para chegar ao seu destino: os valiosos dados corporativos.

O desmantelamento da infraestrutura do REvil pelas autoridades russas e o confisco de pelo menos parte do saque é certamente notável e encorajador. Claro, esta não é uma razão para tudo ficar claro: lutar contra criminosos cibernéticos é como apagar um incêndio em uma floresta seca. Pode ser extinto, mas pode surgir novamente em qualquer lugar, a qualquer hora.

Ransomware como um modelo de negócio

A extorsão cibernética promete grandes lucros, impulsionando o desenvolvimento e a inovação por parte dos criminosos. Tentativas de regular criptomoedas como Bitcoin e limitar seu anonimato parecem sensatas, mas difíceis de aplicar. Além disso, os invasores já estão usando moedas digitais como Monero, que são mais difíceis de rastrear. Desde que as condições subjacentes não mudem fundamentalmente, as empresas devem assumir que as gangues de ransomware continuarão a existir, refinar suas técnicas e direcionar seus dados críticos.

A maioria dos cibercriminosos agora conta com o modelo eficiente de ransomware como serviço (RaaS), que permite que invasores independentes ataquem rapidamente e comecem. Você pode combinar este serviço com suas próprias ferramentas e técnicas para atacar as vítimas com eficácia e manter seus dados como reféns. Os invasores estão cada vez mais adotando a abordagem de "extorsão dupla", na qual os dados são roubados antes de serem criptografados para colocar ainda mais pressão sobre as vítimas, ameaçando publicá-los. Além disso, os invasores agora costumam ameaçar denunciar às autoridades oficiais de proteção de dados, sabendo que as empresas temem as multas ameaçadas ali e querem evitar serem denunciadas em público.

Para maximizar seus lucros, os invasores vasculham os arquivos de suas vítimas para estimar sua margem financeira e descobrir se e quanto seu seguro cibernético pagaria em caso de ataque. A demanda de resgate é então definida de acordo.

Abordagens diferentes, mesmo objetivo

Com o tempo, cada grupo desenvolve um modus operandi específico. Por exemplo, o BlackMatter geralmente manipula os controles de acesso, ou seja, as configurações de segurança que determinam quem pode acessar quais dados na rede, para que cada funcionário tenha acesso a grandes quantidades de dados. Em outras palavras, eles não quebram o cofre, eles o abrem, tornando as organizações ainda mais vulneráveis ​​a ataques futuros. Outros invasores recrutam ativamente pessoas de dentro da empresa, como funcionários e outras pessoas que já estão na rede da empresa. Funcionários insatisfeitos, em particular, são frequentemente propensos a isso. Para aumentar a pressão sobre as vítimas, alguns cibercriminosos também liberam pequenas quantidades de dados roubados.

É assim que a defesa contra ransomware pode ser fortalecida

Michael Scheffler, Country Manager DACH na Varonis Systems (Imagem: Varonis).

Enquanto o ransomware prometer lucros maciços para os criminosos, eles continuarão a procurar e encontrar vítimas. Para as empresas, trata-se de não ser uma vítima fácil e aumentar sua própria resiliência contra ameaças relacionadas a dados.

  • Elimine senhas fracas e reutilizadas e habilite a autenticação multifator (MFA). Este importante passo é um dos mais simples que você pode tomar para proteger o seu negócio. Muitos grupos, como o BlackMatter, adquirem nomes de usuário e senhas na dark web e os usam para ataques de força bruta.
  • Reconhecer atividade incomum. Na maioria das organizações, seus funcionários e contratados seguem horários de trabalho diários, acessam os mesmos arquivos e usam os mesmos dispositivos de locais conhecidos. Atividade incomum, como fazer login de um novo local e acessar arquivos desnecessários para o trabalho, pode indicar contas ou dispositivos comprometidos. Atividades incomuns, especialmente quando associadas a contas de gerenciamento e serviço, devem ser monitoradas com alta prioridade e interrompidas rapidamente, se necessário.
  • Observe seus dados em busca de sinais de ataques de ransomware. O ransomware não se comporta como seu especialista em RH ou sua equipe de contabilidade. Quando o ransomware é implantado, ele rapidamente começa a abrir muitos dados, avaliando-os e, se necessário, criptografando também esses arquivos. Os funcionários também criptografam arquivos legitimamente. No entanto, o malware tende a se comportar de maneira diferente de um usuário humano, geralmente alterando ou criptografando arquivos em lotes e com alta frequência. Isso geralmente acontece fora do horário de trabalho. Isso torna o reconhecimento muito mais difícil e os arquivos podem ser criptografados sem impedimentos.
  • Adote uma abordagem centrada em dados. Apesar da explosão de endpoints, a maioria dos dados é armazenada no local e na nuvem com grandes armazenamentos de dados centralizados. Ao mesmo tempo, há um número enorme de vetores para obter esses dados. Mesmo se você fosse capaz de antecipar e monitorar totalmente isso, provavelmente seria inundado com alertas de segurança. Em vez de começar “de fora” com todos os endpoints e vetores e trabalhar para dentro dos dados, faz muito mais sentido começar a proteger seus armazenamentos de dados grandes e centralizados.
  • A maioria das empresas não sabe quantos dados são facilmente acessíveis e desprotegidos. Um único usuário comprometido tem o potencial de acessar e comprometer grandes quantidades de dados confidenciais. O relatório de risco de dados para o setor financeiro, que na verdade é sensível à segurança, mostra que cada funcionário tem acesso a uma média de quase 11 milhões de arquivos desde o primeiro dia de trabalho e, em empresas maiores, até cerca de 20 milhões – uma enorme explosão raio.

Se você quer tornar seu negócio resiliente, comece pelo seu maior patrimônio. As empresas sabem o que os invasores querem: os dados. O modelo de privilégio mínimo permite que as empresas concedam apenas a seus funcionários o acesso de que realmente precisam para seu trabalho. Ao limitar sistematicamente o acesso aos dados e monitorá-los mais de perto, você torna muito mais difícil para os invasores.

Mais em Varonis.com

 

Sobre Varonis

Desde a sua fundação em 2005, a Varonis adotou uma abordagem diferente para a maioria dos fornecedores de segurança de TI, colocando os dados corporativos armazenados no local e na nuvem no centro de sua estratégia de segurança: arquivos e e-mails confidenciais, clientes confidenciais, informações de pacientes e pacientes Registros de funcionários, registros financeiros, planos estratégicos e de produtos e outras propriedades intelectuais. A Varonis Data Security Platform (DSP) detecta ameaças internas e ataques cibernéticos analisando dados, atividade de conta, telemetria e comportamento do usuário, evita ou atenua violações de segurança de dados bloqueando dados confidenciais, regulamentados e obsoletos e mantém um estado seguro dos sistemas através de uma automação eficiente.,

 

Artigos relacionados ao tema

Plataforma de cibersegurança com proteção para ambientes 5G

A especialista em segurança cibernética Trend Micro revela sua abordagem baseada em plataforma para proteger a superfície de ataque em constante expansão das organizações, incluindo segurança ➡ Leia mais

Segurança de TI: NIS-2 torna-o uma prioridade máxima

Apenas num quarto das empresas alemãs a gestão assume a responsabilidade pela segurança informática. Especialmente em empresas menores ➡ Leia mais

Os ataques cibernéticos aumentam 104 por cento em 2023

Uma empresa de segurança cibernética deu uma olhada no cenário de ameaças do ano passado. Os resultados fornecem informações cruciais sobre ➡ Leia mais

Segurança de TI: base para LockBit 4.0 desativada

A Trend Micro, trabalhando com a Agência Nacional do Crime (NCA) do Reino Unido, analisou a versão não publicada que estava em desenvolvimento ➡ Leia mais

MDR e XDR via Google Workspace

Seja num café, num terminal de aeroporto ou num escritório doméstico – os funcionários trabalham em muitos locais. No entanto, este desenvolvimento também traz desafios ➡ Leia mais

Spyware móvel representa uma ameaça para as empresas

Cada vez mais pessoas utilizam dispositivos móveis tanto no dia a dia como nas empresas. Isto também reduz o risco de “móveis ➡ Leia mais

A segurança crowdsourced identifica muitas vulnerabilidades

A segurança crowdsourced aumentou significativamente no último ano. No sector público, foram comunicadas 151% mais vulnerabilidades do que no ano anterior. ➡ Leia mais

AI no Enterprise Storage combate ransomware em tempo real

A NetApp é uma das primeiras a integrar inteligência artificial (IA) e aprendizado de máquina (ML) diretamente no armazenamento primário para combater ransomware ➡ Leia mais

Stories
, , , , ,