As organizações devem atualizar sua proteção contra ransomware no mesmo ritmo em que os invasores mudam suas táticas.
A série do ransomware continua, com incidentes atingindo um recorde nos EUA no segundo trimestre de 2021, à medida que os invasores se expandem para setores e visam infraestrutura crítica. As demandas de resgate também estão crescendo. De acordo com a Governança de TI, a taxa média de chave de descriptografia dos invasores é de US$ 140.000, mas muitas organizações acabam pagando muito mais do que isso.
A ameaça de ransomware está evoluindo mais rápido do que a capacidade das pessoas de acompanhar. Um equívoco comum é que os malwares geralmente são entregues por e-mails de phishing. Embora isso possa ser verdade para muitos casos, é muito mais provável que a nova geração de ransomware seja lançada por um invasor que já tenha violado a rede. Na verdade, a batalha agora está focada no monitoramento da atividade em seu ambiente, em vez de impedir que os usuários cliquem em links desconhecidos.
Outra crença ultrapassada é que backups frequentes são a melhor estratégia de recuperação. Embora isso possa ser verdade para ataques menos capazes, um invasor que já está dentro de uma rede não só tem a oportunidade de comprometer os backups, mas também vazar dados críticos.
Fechar as portas
O ponto de entrada mais comum é o protocolo de área de trabalho remota (RDP), um recurso do Microsoft Windows que permite que um computador se conecte a outros para exibir uma interface gráfica de usuário para aplicativos como quadros brancos compartilhados. As vulnerabilidades do RDP continuam a proliferar, sendo muitas delas o resultado de uma configuração ruim ou falha na aplicação de patches.
“Graças a tantos ataques recentes e de alto perfil nas mãos de um grupo de hackers emergente, Lapsus$, vimos em primeira mão como o acesso RDP pode ser eficaz para fornecer essa entrada inicial muito importante”, disse um dos especialistas. “Depois de entrarem, a carga do ransomware em si pode chegar horas ou dias depois.”
A realização de reconhecimento avançado permite que os intrusos direcionem os ataques para o máximo de dor. A crescente precisão dos ataques é uma das razões pelas quais as demandas de resgate estão aumentando, apesar das empresas tomarem medidas mais proativas para se proteger.
Concentrar os esforços de prevenção na detecção de ataques antes que eles aconteçam é fechar a porta do celeiro depois que o cavalo já estiver na metade do campo. Na verdade, o ataque costuma ser o último estágio de uma violação.
Segmente, detecte e governe
Os dados não têm jurisdição. À medida que mais dados continuam a se mover para a nuvem, o ransomware segue. Quando você considera que os invasores podem obter ainda mais dados, é fácil ver por que a nuvem se tornou tão atraente para eles.
Por esse motivo, a proteção de dados unificada em dispositivos de usuários, tráfego da Web e ambientes de nuvem é fundamental. Com uma estratégia de Security Service Edge (SSE) que inclui recursos de prevenção contra perda de dados (DLP), as equipes de segurança poderão bloquear a exfiltração de dados automaticamente, evitando as ameaças comuns de extorsão dupla do ransomware hoje em dia.
Os princípios principais de uma arquitetura de confiança zero estão ligados aos fundamentos do privilégio mínimo, onde um usuário recebe os níveis mínimos de acesso ou permissões necessárias para realizar seu trabalho. Uma verdadeira abordagem de confiança zero conecta um usuário diretamente ao aplicativo de que ele precisa, sem nunca expor a rede. As equipes de segurança podem autenticar continuamente os usuários e conectá-los diretamente aos aplicativos, em vez de confiar inerentemente no tráfego de uma rede interna ou dispositivo corporativo.
A microssegmentação é outro conceito central de confiança zero. Envolve restringir o acesso a aplicativos e recursos para que os invasores que violarem um deles não causem danos a outros. Também combate as técnicas de “aterrissar e expandir” que os intrusos usam para se deslocar de um ponto de entrada para outros alvos na rede.
O uso de serviços RDP legítimos e credenciais válidas continua a desafiar as equipes de segurança na distinção entre atividades confiáveis e maliciosas. User and Entity Behavior Analytics (UEBA) e controles baseados em anomalias podem ajudar a identificar e mitigar comportamentos anormais e potencialmente perigosos.
“Ao examinar comportamentos comuns, os profissionais de segurança podem construir uma linha de base de ‘atividade normal’ para esse contexto específico, para, em última análise, destacar quaisquer anomalias, desvios ou ações geralmente suspeitas para uma ação rápida a ser tomada”, disse um dos especialistas. “Avaliar as atividades do usuário além de um login inicial para incluir movimentos do usuário, acesso a ativos organizacionais e o contexto com o qual esse acesso ocorre, é fundamental para detectar ameaças de ransomware que surgem secretamente”.
Já se passaram 10 anos desde que o ransomware ganhou atenção generalizada e ainda assim não mostra sinais de que irá diminuir. Embora não haja proteção infalível contra ransomware, manter-se atualizado com as tendências e prevenções pode minimizar o risco de danos.