A anatomia de um ataque de ransomware

A anatomia de um ataque de ransomware. O pior cenário no caso de um ataque de ransomware é a empresa não se recuperar e tenha que encerrar as atividades.

Sejamos francos: para os líderes, o pior cenário no caso de um ataque de ransomware é o da empresa não se recuperar e tenha que encerrar as atividades. São muitos os casos, e um  exemplo é da Universidade centenária Lincoln College, que simplesmente não consegue arcar com os prejuízos causados por um ciberataque e fechou as portas.

Isso é evitável? Como diz o ditado de Benjamin Franklin: “se você falha em planejar, você está planejando falhar”. Com o plano e as tecnologias certas, grandes chances de impedir um ataque. Isso significa mapear todas as possibilidades de vulnerabilidades, montar uma equipe especializada para reação rápida e ter a infraestrutura ideal para colocar tudo em prática.

Dissecando a estratégia do ataque

  1. Malware implementado no sistema e acesso aos dados. Um dos meios mais comuns para isso ocorrer é por meio da compra desse acesso de forma ilegal na dark web. Com isso, o invasor geralmente permanece no ambiente por algum tempo para plantar backdoors que permitem a retenção de acesso. Eles então implementam malware no sistema, que em muitos casos é executado em segundo plano sem ser detectado por um período até que o criminoso decida iniciar o ataque.

O primeiro sinal de que uma empresa foi atacada geralmente ocorre quando um usuário tenta abrir um arquivo criptografado. Ele não consegue acessar ou recebe uma mensagem do criminoso dizendo que os dados foram comprometidos e solicitando que o resgate seja pago. Outro sinal pode ser um array (matriz) do storage preenchido com dados criptografados incompressíveis.

  1. Em um segundo momento, o malware infecta ou exclui o Active Directory (AD), um dos principais alvos, já que forma a base das contas e ativos de dados da maioria das empresas. Se o AD estiver infectado, você perdeu o controle total de sua infraestrutura de TI. Quando um invasor tem privilégios de administrador ele pode ir a qualquer lugar e fazer qualquer coisa dentro do sistema.
  2. O Domain Name System (DNS) é corrompido. O ransomware pode resultar em ataques como spoofing de DNS, envenenamento de cache ou sequestro de dados. Todos esses significam que você terá acesso bloqueado ou poderá ser redirecionado para um site malicioso. Embora o spoofing e o sequestro exijam um controle físico das configurações de DNS, o envenenamento de cache pode ser feito inserindo uma entrada de DNS falsa no cache de DNS, que enviará os usuários para um local de IP alternativo. Alguns invasores de ransomware também estão começando a usar o DNS em vez de HTTP para exfiltração de dados, o que é bastante simples para os invasores, mas difícil para os programas de segurança detectarem.
  3. O criminoso bagunça os serviços de tempo do seu sistema. Os serviços de tempo dos sistemas são essenciais para muitas operações de TI. Backups e outras tarefas são agendadas como tarefas regulares e feitas automaticamente nos bastidores. Se a hora ou a data da rede forem alteradas, isso pode gerar um efeito dominó de problemas. Os sistemas de cobrança automatizados podem causar estragos enviando faturas tardias ou com antecedência, backups e compromissos podem ser perdidos ou excluídos e assim por diante.
  4. Os backups não funcionam. Embora esse transtorno não seja necessariamente devido ao ataque de ransomware em si, o problema pode tomar uma proporção ainda maior se os backups forem destruídos, corrompidos ou perdidos.

Unidades de drive e fita ficam gastas com o tempo, portanto, testá-las regularmente é uma prática para garantir que trazem os dados corretos e estejam atualizados. Além disso, garanta que as pessoas que saíram da empresa sejam removidas das listas de acesso e que as pessoas certas saibam onde estão os backups e o que fazer com eles.

  1. Sua equipe de resposta a incidentes não atende. Escolher a equipe certa de resposta a incidentes (IR) também é uma parte crítica da estratégia de preparação. Existem muitas opções disponíveis hoje e é importante verificar sua escolha, tê-la em retenção e reconhecê-la com sua companhia de seguros. Assim como você deve testar seus backups, você também deve testar seu provedor de IR – seja com cenários hipotéticos, exercícios de mesa (tabletop) ou resposta completa para uma simulação de ataque.
  2. A reputação da empresa pode sofrer com a exposição na mídia. A reputação da marca é um ativo valioso. Embora os ataques de ransomware sejam cada vez mais comuns, os clientes ainda querem saber que você está fazendo tudo o que pode para proteger seus dados e interesses, mesmo que esteja sob ataque. Parte do planejamento prévio é decidir como lidar com a comunicação em torno de um incidente.
  3. As consequências jurídicas são muito caras. Quando o ransomware atinge uma empresa, há várias implicações legais a serem consideradas. Em muitos casos, pode ser ilegal pagar o resgate se os criminosos estiverem localizados em determinadas regiões do mundo. O líder também precisará decidir se tentará lidar com o incidente internamente ou contratar uma resposta a incidentes ou um escritório jurídico. E assim que a notícia do ataque for divulgada, também poderá enfrentar uma enxurrada de ações judiciais dos clientes.

Uma maneira de proteger a empresa de ações judiciais de clientes é garantir que os logs de segurança estejam bem protegidos – para que, quando houver um processo, possa reproduzir o incidente e/ou demonstrar os controles que estavam em vigor no momento do ataque.

O storage como instrumento estratégico na operação contra o ransomware

Os snapshots imutáveis citados acima podem ser a ferramenta mais eficaz para ajudá-lo a mitigar os efeitos do ransomware antes, durante e após um ataque, principalmente quando implementados como parte de uma arquitetura de resiliência mais ampla. Essa estratégia pode manter seus logs de segurança protegidos contra exclusão para que você possa se recuperar rapidamente após uma violação de segurança ou ataque de ransomware – com as informações necessárias para analisar a situação e tomar medidas para evitar que aconteça novamente.

Mapear esses cenários de forma integral com sua equipe e manter esse exercício de forma constante, com as tecnologias certas, é um passo fundamental para ficar um passo à frente e evitar se tornar estatística das ações do cibercrime. E, lembre-se, se você está pronto para o pior, você está pronto para qualquer coisa.

Por Paulo de Godoy, country manager da Pure Storage

Veja também:

Sobre mindsecblog 2401 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

1 Trackback / Pingback

  1. A anatomia de um ataque de ransomware – Neotel Segurança Digital

Deixe sua opinião!