Ciclo de vida de um ataque Ransomware

Conhecimento em Pure
Life Cycle of a Ransomware Attack

Ciclo de vida de um ataque Ransomware

? medida que os criminosos cibern��ticos de hoje se tornam mais sofisticados, eles t��m mais formas de ransomware e mais vetores para renderizar ataques ��s organiza??es do que nunca. Mesmo que as empresas desenvolvam contramedidas mais eficazes, os criminosos ajustam t��ticas e ferramentas para contornar seus esfor?os.

Embora os ataques ransomware possam parecer um pouco misteriosos, eles normalmente seguem a mesma estrutura b��sica. Depois de entender como esses ataques funcionam, voc�� pode preparar uma estrat��gia de mitiga??o mais abrangente que aumentar�� sua resili��ncia cibern��tica e, com sorte, anular�� ou diminuir�� os efeitos de um ataque.

Veja aqui uma an��lise mais detalhada da anatomia de um ataque ransomware, incluindo como o invasor obt��m acesso e infecta um sistema.

Vetores de infec??o e distribui??o

Ransomware �� um tipo de malware usado para criptografar arquivos importantes de computador ou dados confidenciais para resgate. As infec??es ocorrem quando o malware ransomware �� baixado e instalado em dispositivos na rede de uma organiza??o.

Ransomware pode obter acesso ao sistema de destino de v��rias maneiras. Em 2023, os avan?os tecnol��gicos aumentaram. As plataformas de intelig��ncia artificial e ransomware como servi?o simplificaram a capacidade dos hackers de executar ataques de ransomware. A engenharia social, os ataques patrocinados pelo estado e os ataques internos est?o em ascens?o, mas os e-mails de baixa higiene do sistema e phishing continuam sendo os vetores de ataque mais comuns.

Os e-mails de phishing normalmente cont��m um link para um site comprometido ou um anexo com malware incorporado a ele. Quando o usu��rio clica no link ou anexo, o malware �� baixado e executado no sistema de computador.

O protocolo de desktop remoto (RDP, Remote Desktop Protocol) �� outro vetor comum de ataque de ransomware porque �� f��cil de usar e pode dar a um invasor acesso de alto n��vel se ele conseguir acessar credenciais leg��timas. Os agentes de amea?as podem usar , incluindo ataques de for?a bruta, preenchimento de credenciais ou compr��-los na dark web.

O acesso comprometido ao RDP comprado na dark web pode explorar uma conex?o RDP simplesmente criando um script que verifica a porta padr?o. Os hackers geralmente t��m acesso ��s mesmas ferramentas que os profissionais de seguran?a e podem verificar toda a Internet em busca de uma porta aberta em menos de um minuto.?

O ex-hacker Hector ��Sabu�� Monsegur discute o cen��rio e os desafios atuais da ciberseguran?a com Andrew Miller da Pure neste webinar sob demanda.

Criptografia

Depois que o ransomware �� instalado no sistema de destino, ele fica em espera, coletando dados silenciosamente e infectando o maior n��mero poss��vel de sistemas. Em seguida, ela rouba e/ou criptografa arquivos de sistema com os dados mais valiosos e confidenciais da empresa. Ransomware podem destruir backups ou roubar dados como parte do ataque, por isso �� importante que seus backups sejam seguros e imut��veis.

Agora, vamos dar uma olhada em alguns tipos e variantes de ransomware.

O ransomware criptogr��fico criptografa arquivos, embaralhando o conte��do e tornando-os ileg��veis. Uma chave de descriptografia �� necess��ria para restaurar os arquivos para um formato leg��vel. Os cibercriminosos ent?o emitem demandas de resgate, prometendo descriptografar dados ou liberar a chave de descriptografia assim que as demandas forem atendidas.

O ransomware do cofre n?o criptografa arquivos, mas bloqueia completamente a v��tima de seu sistema ou dispositivo. Os cibercriminosos exigem um resgate para desbloquear o dispositivo. De modo geral, �� poss��vel se recuperar ou evitar uma tentativa de ataque criptogr��fico se um bom backup estiver dispon��vel. No entanto, um ataque ransomware de cofre �� mais dif��cil e caro de se recuperar. Mesmo com dados de backup, o dispositivo deve ser totalmente substitu��do.

O objetivo b��sico de um ataque ransomware �� extorquir dinheiro, mas as organiza??es podem se recusar a pagar, especialmente quando t��m um bom sistema de backup e recupera??o implantado. Por esse motivo, os invasores usam extors?o dupla, na qual os dados s?o criptografados e extra��dos. Se a empresa se recusar a pagar, os hackers amea?am vazar as informa??es online ou vend��-las ao licitante mais alto.

E fica pior. Por mais devastador que pare?a ser o ransomware extorsivo duplo, os especialistas em seguran?a est?o alertando sobre uma amea?a maior: Os invasores exigem dinheiro de terceiros afetados, al��m de extrair dados e exigir resgate do destino inicial.

Por fim, o ransomware como servi?o (RaaS, ransomware as a service) usa o modelo padr?o de software como servi?o (SaaS, Software-as-a-Service). ? um servi?o baseado em assinatura que d�� aos assinantes acesso a ferramentas de ransomware pr��-desenvolvidas para lan?ar ataques de ransomware. Os assinantes s?o chamados de afiliados e ganham uma porcentagem de cada pagamento de resgate.?

Demandas e notas de ataques de ransomware

Depois que o ransomware �� implantado com sucesso na rede de destino, as demandas de resgate s?o feitas. Os hackers alertam a v��tima de que ocorreu um ataque e detalham o resgate necess��rio para reverter o ataque. As demandas de resgate s?o exibidas em telas de computador ou deixadas em uma nota no diret��rio com os arquivos criptografados.

As solicita??es de resgate normalmente cont��m detalhes sobre o valor do resgate, o m��todo de pagamento necess��rio e o prazo para pagamento, bem como uma promessa de retornar o acesso aos arquivos criptografados assim que o resgate for pago. Se ocorrer a exfiltra??o de dados, o hacker tamb��m pode concordar em n?o expor dados adicionais e mostrar evid��ncias de que os dados foram destru��dos. O pagamento normalmente �� solicitado em criptomoedas (por exemplo, Bitcoin ou Monero).

No entanto, mesmo que um resgate seja pago, n?o h�� garantia de que o invasor restaurar�� os dados ou cumprir�� qualquer promessa. Eles podem manter uma c��pia dos dados roubados para usar posteriormente. As chaves de descriptografia podem n?o funcionar totalmente, deixando alguns dados criptografados ou podem conter malware adicional n?o detectado que o invasor pode usar no futuro.

A negocia??o: Pagar ou n?o pagar?

A decis?o de pagar ou n?o pagar uma demanda de resgate pode ser complicada e depender de v��rios fatores:

Qual �� a import?ncia do impacto da viola??o nas opera??es comerciais?
Os funcion��rios n?o trabalhar?o? Quantos e por quanto tempo?
Qual �� o tamanho do risco de exposi??o de dados?

Para ver mais de perto os pr��s e os contras de pagar e n?o pagar, leia a publica??o do blog ��

Se seu sistema de backup e recupera??o n?o tiver sido afetado pelo ransomware, voc�� poder�� evitar pagar o resgate completamente (dependendo do tipo de ransomware que o afeta). Mas se pagar o resgate �� realmente sua ��nica op??o, �� uma boa ideia contratar uma equipe experiente de resposta a incidentes para ajudar nas negocia??es e facilitar o pagamento.?

As consequ��ncias: Restaura??o e recupera??o

O tempo m��dio de inatividade ap��s um ataque ransomware �� de . Se voc�� pagar o resgate, pode levar v��rios dias adicionais para receber a chave de descriptografia e reverter a criptografia.

Esteja ciente de que algumas variantes de ransomware identificam e destroem backups na rede comprometida. Se os backups foram destru��dos ou criptografados, o processo de recupera??o pode se tornar mais complicado. Mas mesmo que os backups sejam utiliz��veis, a recupera??o ainda pode ser um processo demorado, dependendo do tipo de sistema de backup e recupera??o que voc�� tem em vigor.

N?o importa se voc�� paga o resgate ou tenta recuperar os dados, planeje todo o processo de recupera??o para levar v��rios dias. Planeje tamb��m algum grau de perda financeira, seja na forma de pagamentos de resgate, custos de resposta a incidentes ou perda de receita devido ao tempo de inatividade.

Veja como o processo de recupera??o pode variar entre duas organiza??es hipot��ticas com diferentes recursos de recupera??o no artigo ��

Esteja pronto para responder a um ataque

Um ataque ransomware �� um risco para o qual voc�� n?o pode se dar ao luxo de n?o estar preparado. Voc�� pode achar que est�� fazendo todas as coisas certas para se manter seguro, mas confiar em arquiteturas de backup legadas n?o o proteger�� contra ataques modernos.

A melhor maneira de responder a um ataque? Somente solu??es modernas, como snapshots do SafeMode da ɫ�ش�ý ? e do FlashBlade//S (S) com restaura??o r��pida , que oferece desempenho de recupera??o de petabytes em grande escala, podem levar sua estrat��gia de seguran?a a um novo patamar.

O quanto voc�� est�� pronto para um ataque Ransomware?

Fa?a a avalia??o gratuita

Confira os principais recursos e eventos

EXPOSI??ES ITINERANTES da PURE//ACCELERATE

Estamos chegando a uma cidade perto de voc��. Descubra onde.

Descubra o que a plataforma de armazenamento de dados mais avan?ada do mundo e uma nuvem de dados corporativa podem fazer por voc��.

Registre-se agora

Ver todos os eventos

V?DEO

Assista: O valor de um Enterprise Data Cloud.

Charlie Giancarlo sobre o por que de gerenciar dados �� e n?o o armazenamento �� o futuro. Descubra como uma abordagem unificada transforma as opera??es de TI corporativas.

Assista agora

RECURSO

O armazenamento legado n?o pode potencializar o futuro.

Cargas de trabalho avan?adas exigem velocidade, seguran?a e escala compat��veis com a IA. Sua pilha est�� pronta?

Fa?a a avalia??o

DEMONSTRA??ES do PURE360

Explore, conhe?a e teste a ɫ�ش�ý.

Acesse v��deos e demonstra??es sob demanda para ver do que a ɫ�ش�ý �� capaz.

Assista ��s demonstra??es

Seu navegador n?o �� mais compat��vel.

Navegadores antigos normalmente representam riscos de seguran?a. Para oferecer a melhor experi��ncia poss��vel ao usar nosso site, atualize para qualquer um destes navegadores mais atualizados.

ɫ�ش�ý