5 maneiras de se defender contra ataques remotos de ransomware
Mark Loman, vice-presidente de desenvolvimento de software e pesquisa de ameaças da Sophos, explica por que o aumento nos ataques remotos de ransomware exige uma abordagem multicamadas para a segurança cibernética.
Basta um único dispositivo não gerenciado ou subprotegido para expor uma empresa a ransomware remoto. À medida que o modelo de ransomware como serviço evolui, os agentes de ameaças estão priorizando ataques remotos, também conhecidos como criptografia remota maliciosa. Os atores remotos aproveitam um endpoint não gerenciado ou subprotegido para criptografar dados em outros dispositivos conectados à rede.
Por outro lado, um ataque típico de ransomware envolve adversários que implantam software malicioso diretamente na máquina que criptografam – um cenário que a maioria das defesas cibernéticas são projetadas para combater.
A natureza furtiva da criptografia remota maliciosa torna-a particularmente difícil de detectar usando soluções anti-ransomware tradicionais, contribuindo para um aumento de 62% ano após ano no número de incidentes de ransomware remoto em 2023. Para evitar esses ataques, as organizações devem bloquear todos os ativos em seu ecossistema digital.
Ransomware remoto: fácil de executar, difícil de detectar
Aproximadamente 80-90% dos ataques remotos de ransomware têm origem em dispositivos não gerenciados, incluindo máquinas que não foram atualizadas ou que não possuem políticas de segurança, laptops pessoais usados para trabalho e dispositivos de visitantes conectados à rede Wi-Fi da empresa.
Ao executar o ataque através de um ponto de entrada não gerenciado, o código malicioso evita a transmissão direta para outros dispositivos na rede. Assim, mesmo que o servidor de arquivos da organização esteja totalmente protegido com ferramentas de monitoramento de comportamento e software de bloqueio de exploração, os adversários podem criptografar todos os dados aos quais a máquina alvo tem acesso.
O único sinal de comprometimento nestes ataques é a transmissão de documentos entre máquinas. É por isso que as soluções de segurança cibernética que se concentram em “procurar o bandido” – verificando arquivos maliciosos ou códigos que indiquem um ataque – muitas vezes não conseguem detectar a criptografia remota.
Principais táticas de defesa contra ransomware remoto
Para obter proteção abrangente contra criptografia remota maliciosa, os líderes empresariais precisam de uma base de segurança sólida que enfatize controles de acesso e resposta rápida a incidentes, bem como soluções terceirizadas projetadas para impedir a criptografia remota. Aqui estão algumas estratégias para facilitar isso:
Aumente o nível de gerenciamento de identidade e ativos :O gerenciamento de ativos é fundamental para compreender a superfície de ataque. Faça um inventário de todo o hardware, software e dispositivos na rede da organização para levar em conta a postura de segurança e as vulnerabilidades de cada componente. Um inventário abrangente também ajuda a organização a identificar dispositivos que não são gerenciados ativamente pelo departamento de TI, mas que estão conectados à rede.
O mesmo nível de rigor deve ser aplicado ao gerenciamento de acesso à identidade – essencialmente saber quais usuários têm acesso a quais informações na rede da organização. Por exemplo, se alguém sai de uma organização, os gestores precisam desativar a sua conta e revogar as permissões de acesso em todas as plataformas. Ao conceder aos funcionários acesso apenas aos dados que estejam alinhados com suas responsabilidades profissionais, eles podem minimizar o risco de disseminação de ransomware em um ataque.
Proteja a força de trabalho remota : Os trabalhadores remotos enfrentam desafios de segurança únicos que resultam da conexão de dispositivos terminais, como smartphones ou laptops, a redes domésticas distintas e redes Wi-Fi públicas potencialmente inseguras. Além de promover a conscientização dos funcionários sobre as melhores práticas de segurança e incentivar o uso de dispositivos da empresa, os gestores podem implementar defesas que visam impedir a criptografia remota maliciosa.
Por exemplo, redes privadas virtuaisfornecem uma maneira segura para os funcionários conectarem seus dispositivos à rede corporativa de qualquer lugar. Firewalls com assinaturas atualizadas também ajudam a examinar o tráfego de rede em tempo real, identificando e bloqueando variantes de malware conhecidas antes que elas entrem na rede. Outras medidas críticas incluem a filtragem ativa de spam e o uso de autenticação multifatorial.Mas lembre-se: o uso responsável dessas tecnologias exige atualizações de segurança imediatas: os invasores estão sempre em busca de vulnerabilidades.
Bloqueie máquinas virtuais : a maioria das empresas utiliza alguma forma de virtualização ou a criação de computadores simulados baseados em software em um único computador físico. Embora as máquinas virtuais (VMs) muitas vezes aumentem a eficiência e permitam economia de custos, elas são tão suscetíveis a ransomware remoto quanto as máquinas físicas.
Implemente defesas que impeçam o acesso não autorizado (principalmente da interface de gerenciamento) e bloqueiem a execução de scripts maliciosos em hosts VM baseados em Linux. Isso inclui patches contínuos, controles de acesso e restrições a scripts desconhecidos. A segmentação adequada também é crítica para evitar que VMs interconectadas propaguem ransomware rapidamente pela rede.
Prepare-se para o pior : backups de dados e um plano completo de resposta a incidentes são essenciais, não importa quão robustas sejam as defesas de uma organização. Portanto, além de backups regulares de dados para proteger locais externos ou soluções de armazenamento em nuvem, reserve um tempo para criar ou refinar o plano de resposta a incidentes da organização. O plano deve fornecer protocolos de comunicação, funções e responsabilidades claras, etapas para isolar os sistemas afetados e procedimentos para restaurar dados de backups.
Imprima cópias físicas do plano e disponibilize-as prontamente para os funcionários locais de toda a organização acessarem em caso de ataque. Também é possível realizar exercícios práticos para testar a preparação para resposta a incidentes e refiná-la à medida que o cenário de ameaças evolui.
Não faça isso sozinho : uma boa higiene de segurança cibernética é fundamental para evitar ransomware, mas ataques sofisticados também exigem soluções avançadas. Em um ataque remoto, a ausência de códigos maliciosos nas máquinas da rede exige um monitoramento vigilante dos arquivos de saída e a identificação de atividades que sinalizam exfiltração ou criptografia de dados.
Felizmente, existem soluções de segurança especializadas em detectar essas anomalias. Procure soluções de terceiros que utilizem algoritmos matemáticos para analisar o conteúdo dos arquivos da própria organização em busca de padrões de criptografia incomuns indicativos de atividade de ransomware, sem depender apenas de assinaturas de malware conhecidas e indicadores de violação.
A importância de uma abordagem holística e vigilante para proteger o ecossistema digital contra ransomware remoto não pode ser exagerada. À medida que os adversários encontram mais maneiras de se infiltrar nas redes, é aconselhável colocar toda a infraestrutura de TI sob uma lupa pelo menos uma vez por ano para identificar vulnerabilidades e otimizar as defesas da organização.
Ao manter uma boa higiene de segurança, controlar os ativos, evitar logins de fator único e usar soluções de proteção avançadas que analisam alterações no conteúdo dos arquivos, os líderes podem proteger efetivamente seus negócios contra ransomware remoto.
Este artigo foi fornecido pela “Sophos” e puplicado pela “Fortune”.