Myths of Ransomware

As empresas modernas de hoje são baseadas em dados, que agora residem em inúmeros aplicativos em nuvem. Portanto, evitar a perda de dados é essencial para o seu sucesso. Isso é especialmente crítico para mitigar os crescentes ataques de ransomware, uma ameaça que 57% dos líderes de segurança estima ser comprometida no próximo ano.

À medida que as organizações continuam a evoluir, o mesmo acontece com o ransomware. Algums especialistas em segurança, reuniram-se e fizeram um bate papo, para discutir como o trabalho remoto e a nuvem tornaram mais difícil identificar um ataque de ransomware, bem como a implantação de comportamentos comportamentais. a detecção baseada em anomalias pode ajudar a mitigar o risco de ransomware. Iremos disponibilizar aqui em nosso blog um pouco dessa transcrição da reunião entre os especialistas.

Aaron Cockerill: Sinto que a forma como as empresas modernas operam, que inclui uma combinação de tecnologias, permitiu que o ransomware prosperasse. Tendo experimentado esse tipo de ataque em minhas funções anteriores, sei quantos CISOs estão se sentindo por aí. O instinto humano é pagar o resgate. Quais tendências você está vendo?

Sarah Armstrong-Smith: É muito interessante pensar em como o ransomware evoluiu. Pensamos nesses ataques como sendo realmente sofisticados. A realidade é que os invasores favorecem os testados e comprovados: eles favorecem o roubo de credenciais, spray de senha, estão escaneando a rede, comprando credenciais da dark web, usando kits de ransomware.

Então, de muitas maneiras, as coisas não mudaram. Eles estão procurando qualquer maneira de entrar na sua rede. Portanto, embora falemos sobre ataques cibernéticos se tornando sofisticados, esse ponto inicial de entrada realmente não é o que diferencia os operadores de ransomware, é o que acontece a seguir.

É para baixo a essa persistência e paciência. A tendência crescente é que os invasores entendam muito bem a infraestrutura de TI. Por exemplo, muitas empresas estão executando máquinas Windows ou Linux ou têm entidades no local. Eles também podem estar utilizando serviços de nuvem ou plataformas de nuvem ou endpoints diferentes. Os atacantes entendem tudo isso. Assim, eles podem desenvolver malware que segue esses padrões de infraestrutura de TI. E, em essência, é aí que eles estão evoluindo, eles estão ficando sábios em nossas defesas.

Aaron: Uma evolução que testemunhamos é o roubo de dados e a ameaça de torná-los públicos. Você está vendo a mesma coisa?

Sara: Sim, absolutamente. Chamamos isso de dupla extorsão. Portanto, parte da extorsão inicial pode ser sobre a criptografia de sua rede e a tentativa de recuperar uma chave de descriptografia. A segunda parte da extorsão é realmente sobre você ter que pagar outra quantia de dinheiro para tentar recuperar seus dados ou para que eles não sejam liberados. Você deve assumir que seus dados se foram. É muito provável que já tenha sido vendido e já esteja na dark web.

Aaron: Quais você acha que são alguns dos mitos comuns associados ao ransomware?

Sarah: Há um equívoco de que, se você pagar o resgate, receberá seus serviços de volta mais rapidamente. A realidade é um pouco diferente.

Temos que assumir que os operadores de ransomware veem isso como uma empresa. E, claro, a expectativa é que, se você pagar o resgate, receba uma chave de descriptografia. A realidade é que apenas 65% das organizações realmente recuperam seus dados. E não é uma varinha mágica.

Mesmo se você receber uma chave de descriptografia, eles são bastante problemáticos. E certamente não vai abrir tudo. Muitas vezes, você ainda tem que passar arquivo por arquivo e é incrivelmente trabalhoso. Muitos desses arquivos podem ser corrompidos. Também é mais provável que esses arquivos grandes e críticos nos quais você confia sejam aqueles que você não poderá descriptografar.

Aaron: Por que o ransomware ainda afeta tanto as empresas? Parece que estamos falando sobre os métodos que os invasores usam para entregar esses ataques, como phishing e comprometimento de e-mail comercial, além de impedir a exfiltração de dados e aplicar patches aos servidores para sempre? Por que o ransomware ainda é um problema tão grande? E o que podemos fazer para prevenir?

Sarah: Ransomware é executado como uma empresa. Quanto mais as pessoas pagam, mais os agentes de ameaças farão resgates. Acho que esse é o desafio. Contanto que alguém em algum lugar pague, há um retorno sobre o investimento para o invasor.

Agora a diferença é quanto tempo e paciência o atacante tem. Particularmente alguns dos maiores, eles terão persistência e vontade e desejo de continuar se movendo pela rede. Eles são mais propensos a usar scripts, malwares diferentes e estão procurando essa elevação de privilégio para que possam exfiltrar dados. Eles vão ficar na sua rede por mais tempo.

Mas a falha comum, se você quiser, é que o invasor está contando com ninguém assistindo. Sabemos que às vezes os invasores permanecem na rede por meses. Portanto, no ponto em que a rede foi criptografada ou os dados foram exfiltrados, será tarde demais para você. O incidente real começou semanas, meses ou há muito tempo.

Isso porque eles estão aprendendo nossas defesas: “alguém vai perceber se eu elevar privilégios, se eu começar a exfiltrar alguns dados? E supondo que eu seja notado, alguém pode responder a tempo?” Esses invasores fizeram sua lição de casa e, no momento em que estão pedindo algum tipo de extorsão ou dhttps://www.lookout.com/form/as-organizations-evolve-so-does-ransomware?utm_medium=3pp-blog&utm_source=Hacker-Newsemanda, fizeram uma enorme quantidade de atividades. Para operadores de ransomware maiores, há um retorno sobre o investimento. Então eles estão dispostos a investir tempo e esforço porque acham que vão conseguir isso de volta.

Aaron: Há um artigo interessante escrito pelo Gartner sobre como detectar e prevenir ransomware. Ele diz que o melhor ponto para detectar ataques é no estágio de movimento lateral, onde um invasor está procurando por exploits para pivotar ou ativos mais valiosos para roubar.

Acho que esse é um dos desafios mais fundamentais que temos. Sabemos o que fazer para mitigar o risco de phishing, embora isso sempre seja um problema porque há um elemento humano nisso. Mas uma vez que eles obtêm esse acesso inicial, obtenha um RDP (Remote Desktop Protocol), ou credenciais para o servidor ou seja lá o que for, e então eles podem iniciar esse movimento lateral. O que fazemos para detectar isso? Parece que essa é a maior oportunidade de detecção.

REFERÊNCIAS:

https://thehackernews.com/2022/05/the-myths-of-ransomware-attacks-and-how.html

https://www.lookout.com/form/as-organizations-evolve-so-does-ransomware?utm_medium=3pp-blog&utm_source=Hacker-News

https://www.lookout.com/form/the-myths-and-psychology-of-ransomware-attacks-and-how-to-mitigate-risk?utm_medium=3pp-blog&utm_source=Hacker-News