A farra do crime cibernético continua: O que podemos fazer?

Atualização em 9 de julho de 2021 17h15min Horário de Brasília: Identifying Kaseya VSA Indicator of Compromise using Trend Micro Vision One

Recentemente, tratamos disso como sendo a “farra” do crime cibernético. Os principais ataques de ransomware continuam a atingir empresas ao redor do mundo. Os ataques podem causar danos significativos do ponto de vista financeiro, de reputação e de produtividade.

Na maioria dos casos, esses ataques podem ser interrompidos com um esforço concentrado nos cuidados com a cibersegurança. Essa é a chave para interromper essa tendência crescente de ataques modernos de ransomware bem-sucedidos.

Ataques de ransomware modernos

O ransomware moderno utiliza uma ampla gama de ferramentas e táticas para navegar na infraestrutura corporativa e encontrar as “joias da coroa” da empresa. Frequentemente, o ponto inicial de entrada são vulnerabilidades conhecidas que não foram corrigidas.

No último acontecimento contra a Kaseya, anteriormente desconhecido ou de dia-zero, as vulnerabilidades foram aproveitadas. Embora isso seja cada vez mais incomum, os ataques que usam novos bugs ainda podem ser interrompidos.

Independentemente de como os invasores entram, há vários lugares onde eles podem ser localizados e interrompidos antes de chegarem ao ponto de criptografar dados e exigir um resgate.

Estes são os possíveis resultados de extorsão nos ataques de ransomware de hoje:

  • Ransomware: criptografa os arquivos e, em seguida, envia o pedido de resgate… aguarda o pagamento em bitcoin.
  • Extorsão dupla: Ransomware + exfiltração de dados que ameaça ser liberada se o pagamento não for recebido. Maze foi o primeiro documentado a fazer isso e os outros grupos de criminosos seguiram o exemplo – visto recentemente no ataque a Colonial Pipeline.
  • Extorsão tripla: Extorsão dupla + ameaça um ataque DDoS. Avaddon foi o primeiro documentado a fazer isso.
  • Extorsão quádrupla: Ransomware + (possivelmente Exfiltração de dados ou DDoS) + envio de e-mail direto para a base de clientes da vítima afetada. Cl0p foi documentado pela primeira vez fazendo isso, conforme descrito por Brian Krebs.

Interrompa ataques com cuidados adequados com a segurança

Ataques de múltiplas extorsões e debilitantes geralmente podem ser interrompidos com o uso de funções de segurança projetadas para interromper ameaças como o ransomware. Para diversas empresas, essa é uma luta diária, mas poderia ser resolvida com um parceiro de segurança que gerencia sua stack de segurança.

Aqui estão algumas coisas rápidas que devem ser ativadas como parte das práticas recomendadas de segurança da sua organização para mitigar o risco representado por esses ataques:

  • Ative o monitoramento de comportamento e o machine learning com as configurações recomendadas. Isso evita que os clientes precisem de atualizações ou novas detecções quando um grande evento do setor é descoberto, como o ataque da Kaseya.
  • Mantenha um forte plano de gerenciamento de patches. Isso protege contra vulnerabilidades conhecidas aplicando atualizações de fornecedores disponíveis. O Virtual patching também pode cobrir a lacuna até que o patch oficial esteja disponível ou aplicado.
  • Utilize a autenticação multifator ou de dois fatores com suas contas administrativas críticas, especialmente em seus sistemas voltados para o público. Isso torna mais difícil para os invasores explorarem as credenciais comprometidas para obter acesso ao sistema.
  • Pratique a regra de backup 3-2-1. Se ocorrer um ataque de ransomware bem-sucedido, é fundamental manter pelo menos três cópias dos dados da empresa em dois formatos diferentes, com uma cópia com air-gap fora do local. Isso garante que você possa restaurar a funcionalidade sem precisar pagar o resgate para descriptografar os arquivos.

Essas não são as únicas atividades de segurança que ajudam a manter as empresas seguras, mas são aquelas que evitarão os pontos de entrada mais comuns para ataques de ransomware atualmente.

Ter todo o poder de uma solução de segurança ativada e otimizada para o seu ambiente elimina as lacunas para impedir os invasores antes que eles possam começar.

Os recursos de Machine Learning e monitoramento Comportamental da Trend Micro identificaram o componente ransomware do incidente da Kaseya. Isso significa que os clientes estavam protegidos antes que o ataque fosse amplamente conhecido, com base em nossa tecnologia altamente eficaz. E para os clientes que não têm recursos para manter sua stack de segurança, podemos gerenciar isso para garantir que o mais alto nível de proteção disponível esteja em vigor.

Aqui estão detalhes mais específicos sobre como a Trend Micro realizou a defesa contra o evento Kaseya.

 

Category: Ataques e Ameaças
Tags: , , ,
Trend Micro

Categorias

Veja outras publicações

Menu