Se o crescimento dos ataques de ransomware em 2022 indicar o que o futuro reserva, as equipes de segurança em todos os lugares devem esperar que esse vetor de ataque se torne ainda mais popular em 2023. Apenas no primeiro semestre de 2022, o número de novas variantes de ransomware que identificamos aumentou quase 100% em comparação com o período de seis meses anterior, com nossa equipe do FortiGuard Labs documentando 10.666 novas variantes de ransomware no primeiro semestre de 2022, em comparação com apenas 5.400 no segundo semestre de 2021. Esse crescimento explosivo em novas variantes de ransomware se deve principalmente a mais invasores aproveitando o Ransomware- assinaturas como serviço (RaaS) na dark web.

No entanto, mesmo com o aumento das variantes de ransomware, as técnicas que vemos mal-intencionados usando para entregar ransomware permanecem praticamente as mesmas. Essa previsibilidade é uma boa notícia porque as equipes de segurança têm um plano confiável para se proteger contra esses ataques. Aqui está uma visão mais detalhada das estratégias de mitigação de ransomware e como você pode implementá-las em sua organização.

O que é Ransomware?

Ransomware é um malware  que mantém dados como reféns em troca de um resgate. Ameaça publicar, bloquear ou corromper dados, ou impedir que um usuário trabalhe ou acesse seu computador, a menos que atenda às demandas do invasor. Hoje, o ransomware é frequentemente enviado por  e-mails de phishing . Esses anexos maliciosos infectam o computador do usuário uma vez abertos. O ransomware também pode se espalhar por meio de download drive-by, que acontece quando um usuário visita um site que está infectado. O malware nesse site é baixado e instalado sem que o usuário perceba.

A engenharia social  também desempenha um papel em um ataque de ransomware. É quando um invasor tenta manipular alguém para divulgar informações confidenciais. Uma tática comum de engenharia social é enviar e-mails ou mensagens de texto para assustar o alvo a compartilhar informações confidenciais, abrir um arquivo malicioso ou clicar em um link malicioso.

O que é mitigação de ransomware?

Tentativas de ataques e  violações de dados  são inevitáveis, e nenhuma organização quer ser forçada a decidir entre pagar um resgate e perder dados importantes. Felizmente, essas não são as duas únicas opções. O melhor caminho a seguir é tomar as medidas apropriadas para proteger suas redes, o que diminuirá as chances de sua empresa ser atingida por ransomware. Essa abordagem requer um modelo de segurança em camadas que combine controles de rede, endpoint, borda, aplicativo e data center, bem como inteligência de ameaças atualizada. 

Além de implementar as ferramentas e processos de segurança corretos, não se esqueça do papel que a educação em segurança cibernética desempenha em sua estratégia de mitigação. Ensinar os funcionários a identificar um ataque de ransomware, e educá-los sobre fortes práticas de higiene cibernética em geral, é uma ótima defesa contra invasores inteligentes.

“Ensine os funcionários a identificar sinais de ransomware, como e-mails projetados para parecerem de empresas autênticas, links externos suspeitos e anexos de arquivos questionáveis”.

Entendendo os riscos que tornam a mitigação de ransomware necessária

Olhe ao redor de qualquer organização e você provavelmente encontrará “lacunas” de segurança que aumentam as chances de uma empresa ser vítima de um ataque de ransomware. Aqui estão vários desafios comuns que as equipes de segurança e suas organizações enfrentam, o que pode torná-las mais vulneráveis ​​a incidentes cibernéticos.

• Falta de conhecimento de higiene cibernética entre os funcionários: o comportamento humano continua sendo um fator significativo na maioria dos incidentes de segurança. Além de entender os sinais de ransomware, a falta de educação geral sobre segurança cibernética entre os funcionários pode colocar sua organização em risco. De acordo com o Relatório de Investigações de Violação de Dados da Verizon 2022 , 82% das violações ocorridas no ano passado envolveram o elemento humano.
• Políticas de senha fracas: políticas insuficientes relacionadas a credenciais de funcionários — ou não ter nenhuma política — aumentam a probabilidade de uma organização sofrer uma violação de segurança. Credenciais comprometidas estão envolvidas em quase 50% dos ataques .
• Processos e monitoramento de segurança insuficientes: nenhuma ferramenta oferece tudo o que sua equipe de segurança precisa para monitorar e proteger contra possíveis incidentes cibernéticos, como ransomware. Uma abordagem de segurança em camadas pode ajudá-lo a gerenciar adequadamente os riscos de sua empresa.
• Falta de pessoal entre as equipes de segurança e de TI: Não é segredo que você deve ter indivíduos com as habilidades certas em sua equipe para dar suporte aos esforços de monitoramento e mitigação de riscos para combater o crime cibernético de forma eficaz. No entanto , os dados mostram que a lacuna de habilidades de segurança cibernética apresenta um desafio contínuo para os CISOs: como atrair e reter novos talentos, garantindo que os membros atuais da equipe recebam o treinamento necessário e as oportunidades de qualificação.

Últimos ataques de ransomware

O ransomware  continua a ficar mais desagradável e caro, impactando empresas em todos os setores e geografias. Embora a maioria de nós se lembre dos recentes ataques de ransomware de alto perfil envolvendo empresas como Colonial Pipeline  e JBS , ocorrem inúmeros outros incidentes de ransomware que não são notícia nacional. No entanto, muitos ataques de ransomware podem ser evitados aplicando fortes práticas de higiene cibernética, incluindo a oferta de treinamento contínuo de conscientização cibernética para funcionários, e focando na implementação de medidas Zero Trust Network Access (ZTNA) e segurança de endpoint.

5 práticas recomendadas de proteção contra ransomware

A detecção eficaz de ransomware requer uma combinação de educação e tecnologia. Aqui estão algumas das melhores maneiras de detectar e prevenir a evolução dos atuais ataques de ransomware:

1. Eduque seus funcionários sobre as características do ransomware: o treinamento de conscientização de segurança para a força de trabalho de hoje é obrigatório e ajudará as organizações a se protegerem contra uma variedade de ameaças em constante evolução. Ensine os funcionários a identificar sinais de ransomware, como e-mails projetados para parecerem de empresas autênticas, links externos suspeitos e anexos de arquivos questionáveis.
2. Use o engano para atrair (e deter) os invasores:  Um  honeypot é um chamariz que consiste em repositórios falsos de arquivos projetados para parecer alvos atraentes para os invasores. Você pode detectar e interromper o ataque quando um hacker de ransomware for atrás do seu honeypot. A tecnologia de engano cibernético como essa não apenas usa as próprias técnicas e táticas do ransomware contra si mesmo para acionar a detecção, mas também revela as táticas, ferramentas e procedimentos (TTP) do invasor que levaram ao seu sucesso na rede para que sua equipe possa identificar e fechar essas lacunas de segurança.
3. Monitore sua rede e endpoints:  Ao realizar o monitoramento contínuo da rede, você pode registrar o tráfego de entrada e saída, verificar arquivos em busca de evidências de ataque (como modificações com falha), estabelecer uma linha de base para atividades aceitáveis ​​do usuário e investigar qualquer coisa que pareça fora do padrão. comum. A implantação de ferramentas antivírus e anti-ransomware também é útil, pois você pode usar essas tecnologias para colocar sites aceitáveis ​​na lista de permissões. Por fim, adicionar detecções baseadas em comportamento à sua caixa de ferramentas de segurança é essencial, principalmente à medida que as superfícies de ataque das organizações se expandem e os invasores continuam a aumentar a aposta com ataques novos e mais complexos.
4. Olhe para fora de sua organização: considere ter uma visão de fora da rede para os riscos apresentados a uma organização. Como extensão de uma arquitetura de segurança, um serviço DRP pode ajudar uma organização a ver e mitigar três áreas adicionais de risco: riscos de ativos digitais, riscos relacionados à marca e ameaças subterrâneas e iminentes.
5. Aumente sua equipe com SOC-as-a-service, se necessário: a intensidade atual que vemos em todo o cenário de ameaças, tanto em  velocidade quanto em sofisticação , significa que todos precisamos trabalhar mais para permanecer no topo do nosso jogo. Mas isso só nos leva até aqui. Trabalhar de forma mais inteligente significa terceirizar tarefas específicas, como resposta a incidentes e caça a ameaças. É por isso que contar com um provedor de Detecção e Resposta Gerenciada (MDR) ou uma oferta SOC como serviço é útil. Aumentar sua equipe dessa maneira pode ajudar a eliminar o ruído e liberar seus analistas para se concentrarem em suas tarefas mais importantes. 

Embora o volume de ransomware não esteja diminuindo, várias tecnologias e processos estão disponíveis para ajudar sua equipe a mitigar os riscos associados a esse ataque. Desde programas contínuos de educação cibernética até o fortalecimento dos esforços da ZTNA, podemos manter os invasores astutos à distância. 

REFERÊNCIAS:

https://www.fortinet.com/blog/industry-trends/five-ransomware-protection-strategies-for-2023

https://www.verizon.com/business/resources/reports/2022/dbir/2022-data-breach-investigations-report-dbir.pdf

https://www.fortinet.com/blog/business-and-technology/12-areas-to-cover-in-cybersecurity-user-awareness-training

https://www.fortinet.com/resources/cyberglossary/managed-detection-and-response?utm_source=blog&utm_medium=+blog&utm_campaign=managed-detection-and-response