Se inscrever
    Melhores Práticas

    Os infratores digitais estão aumentando o alcance e as vulnerabilidades do ransomware.

    Genio TecnoBy Updated:No Comments7 Mins Read
    A computer popup box screen warning of a system being hacked, compromised software enviroment. 3D illustration.
    Melissa Bischoping Director, Endpoint Security Research Specialist, Tanium
    Imagem: MaxWdhs/Pexels

    Melissa Bischoping é diretora e tem especialização em segurança de ponta de dispositivos na Tanium.

    Quando ocorre uma greve de ransomware, líderes de negócios e equipes de segurança são subitamente forçados a lidar com uma crise repleta de interrogações, tais como: o que houve? Quem foi acometido? Quem é o agressor?

    Será possível remediada a vulnerabilidade?

    Meu fornecedor/cliente possui algum compromisso que me afeta?

    Que conseqüências existem?

    Como podemos impedir que isto ocorra?

    A American Dental Association, cujo membros e empresas associados somam mais de 161.000, tem estado em foco após ter sido vítima de um ataque de ransomware do grupo Black Basta no mês passado. Como medida de precaução, os sistemas da ADA foram desligados para reduzir a propagação possível enquanto as investigações estão em andamento. De acordo com relatos, a organização recorreu a serviços de segurança terceirizados, além de apoiar a aplicação da lei, e enviou emails aos membros para mantê-los informados da situação emergente.

    Em poucas horas, o Black Basta começou a divulgar informações roubadas que incluíam detalhes sobre documentos financeiros e dados dos membros. Esta ocorrência de ataque ao ADA é sinal de uma tendência crescente entre os autores de ransomware: criatividade. Em vez de solicitarem o resgate padrão para a recuperação dos dados que se tornou comum, os infratores estão ampliando ainda mais suas estratégias.

    Exploração inventiva

    Os agressores ransomware estão seguindo uma tendência crescente. Eles estão adotando uma abordagem abrangente, além de exigir pagamento de resgate da vítima inicial, o que deve ser uma grande preocupação para a ADA e seus membros. As vítimas em segundo plano, incluindo clínicas odontológicas e seguradoras, podem se tornar alvos potenciais devido às informações obtidas do ataque ransomware inicial.

    Em maio de 2021, o Executivo do Serviço de Saúde, do sistema de saúde pública da Irlanda, foi vítima de uma invasão de ransomware com consequências significativas. Posteriormente, vários hospitais ligados ao serviço de saúde pública sofreram perdas de serviços, financeiras e aumento do risco à segurança dos dados dos pacientes e acesso à assistência.

    Mais conteúdo:   Alienware apresenta o Aurora R16 Gaming PC, dotado de especificações de última geração, uma melhoria na refrigeração e um design atualizado.

    Esses dados sugerem que há uma tendência mundial de ampliar o impacto nocivo de uma infecção por ransomware.

    Os atores de ameaça querem aumentar a possibilidade de obter pagamentos além do resgate inicial e a venda de dados importantes. Eles estão utilizando as informações roubadas e o acesso que conseguiram por meio da exploração inicial para segmentar e pressionar indivíduos ou empresas. Quando uma grande organização é violada, as organizações abaixo dela se perguntam: ‘Isso afetará a mim?’ Enquanto a vítima principal toma medidas para responder e investigar, as possíveis vítimas subsequentes devem se concentrar em ações para manter-se atualizadas sobre as ameaças e os resultados da resposta aos incidentes, bem como para abordar ativamente quaisquer lacunas em seu ambiente.

    Objetivos e métodos de estudo são essenciais para o êxito acadêmico.

    Quando um agente ameaçador encontra credenciais e ferramentas para comprometer outra empresa, eles podem decidir comercializar esses dados ou guardá-los para futuras iniciativas. Além de examinar riscos possíveis em cadeias de abastecimento e parcerias comerciais, as organizações devem ficar atentas a qualquer informação que esteja sendo comercializada na Dark Web ou divulgada em vazamentos de dados. O serviço “HaveIBeenPwned” pode ajudar a avisar quando as credenciais de seus funcionários são expostas em um ataque cibernético.

    Durante os últimos anos, o aumento do mercado de corretores de acesso inicial, que antes era específico, tem estimulado a venda de contas e senhas comprometidas. Esses indivíduos que atuam no mercado negro não são, na maioria das vezes, os próprios operadores de ransomware, mas sim um terceiro que comercializa o acesso às gangues de ransomware, aumentando assim a velocidade de suas operações. Quando há um comprometimento, a oportunidade de lucro por meio do pagamento para descriptografia, bem como a venda de dados ou acessos, dá origem ao chamado ransomware de dupla ou tripla extorsão.

    • Em caso de extorsão única, as práticas de realização de backups são a melhor forma de defesa. No entanto, os criminosos têm consciência desta solução e tentam corromper os backups. Por isso, torna-se importante realizar backups offline, além de comunicações incidentes “fora da banda”, porque qualquer sistema conectado durante o ocorrido, como o email, não pode ser considerado seguro.
    • Uma extorsão dupla ocorre quando um atacante tenta chantagear com o “esquema de criptografia paga” e, simultaneamente, ameaça vender dados confidenciais/propriedade intelectual na web escura. Se não houver pagamento, a reputação da marca pode ser afetada e as organizações podem enfrentar penalidades. Para prevenir o roubo de dados, é importante entender onde os dados são armazenados. Por isso, é necessário implementar soluções que alertem quase de forma instantânea quando dados confidenciais são salvos, transferidos ou armazenados de forma insegura.
    • Esta estratégia de extorsão tripla se manifesta quando um indivíduo ou grupo ameaça DDoS um website corporativo ou perseguir usuários específicos e divulgar informações comprometedoras, a não ser que uma quantia financeira seja paga. No ano de 2020, isto aconteceu na Finlândia, onde múltiplas pessoas enfrentaram pedidos de pagamento de diversas centenas de euros cada, com a ameaça de que dados confidenciais relacionados à saúde mental fossem publicados.
    Mais conteúdo:   Formação do ecossistema de parceiros: Como as companhias podem adquirir robustez de conectividade.

    É necessário ter cuidado e estar ciente para alcançar a vitória.

    A principal consequência desta transformação de ransomware é que as organizações que estão conectadas a uma empresa comprometida, tal como o ADA no presente caso, precisam monitorar de forma atenta os canais de atualização oficiais, verificando quais (se houver) dos seus próprios dados podem estar em risco, e concentrar-se nas medidas defensivas para prevenir ameaças.

    Os ataques ADA e outros, que ocorreram, enfatizam a necessidade de manter-se informado com quem uma empresa faz negócios e garantir que eventos de segurança, que possam ter um impacto, sejam monitorados cuidadosamente. Esta conscientização pode abranger fornecedores, parceiros, clientes, etc. Na atual economia conectada, há necessidade de ter um plano para lidar com incidentes externos que possam ser intencionais ou acontecer por engano. Para isso, é importante estar preparado e compreender as tendências em táticas, técnicas e procedimentos de ameaças (TTPs).

    Depois de um ataque, instrua a equipe sobre os perigos do phishing e incentive-os a informar chamadas, mensagens ou e-mails suspeitos de imediato. Não importa se os sistemas não estão diretamente conectados, os invasores podem usar informações retiradas da invasão inicial para desenvolver campanhas de engenharia social, tornando empresas subsequentes uma meta.

    Outras ações preventivas incluem alterar qualquer senha que seja usada repetidamente e está relacionada aos sistemas da ADA. Além disso, verifique qualquer informação ou comunicação que recebeu sobre a violação se vem de uma fonte confiável da ADA, ao invés de emails suspeitos que podem parecer oficiais mas são fraudulentos.

    Abrindo os olhos para o que o futuro tem para oferecer com esperança.

    Com o continuo avanço das táticas e estratégias adotadas pelos agentes de ransomware, é fundamental que as entidades possuam uma visão sistêmica de proteção, identificação, reação e restauração.

    Mais conteúdo:   Reclamação breve: Não sinto que a empresa está me dando a devida valorização pelo meu trabalho.

    A identificação antecipada de tentativas de acesso e remoção de informações por um invasor necessita do conhecimento do comportamento “corriqueiro” dentro do local para estabelecer uma referência para notificar qualquer irregularidade para que possam ser sinalizadas e analisadas.

    Embora esta abordagem fundamental possa ser intuitiva, ela pode ser extremamente complicada. Compreender completamente o seu ecossistema necessita de contexto em tempo real e a capacidade de avaliar os riscos dinâmicos à medida que novos equipamentos são conectados à rede, colaboradores são admitidos e demitidos e novas vulnerabilidades são expostas. A recuperação deve ser além de “apagar e recomeçar” para incluir verificações abrangentes que podem detectar sinais de comprometimento e, sempre que possível, identificar fontes de acesso para evitar o reinstituto do vetor de invasão durante a recuperação.

    Aproveite as contribuições extras da comunidade Infosec Insiders da Threatpost, dando uma olhada em nosso site especial.

    Melissa Bischoping é uma especialista em pesquisa de segurança de ponto final da Tanium, uma organização que fornece uma plataforma de gerenciamento de ponto final convergente.

    Mande esse artigo para outros.

    • O InfoSec Insider é um site de notícias sobre segurança da informação que mantém os usuários informados sobre as mais recentes tendências e novidades em segurança da informação.

    Share.

    Você Vai Gostar

    Add A Comment

    Comments are closed.