色控传媒

? medida que os criminosos cibernéticos de hoje se tornam mais sofisticados, eles têm mais formas de ransomware e mais vetores para renderizar ataques às organiza??es do que nunca. Mesmo que as empresas desenvolvam contramedidas mais eficazes, os criminosos ajustam táticas e ferramentas para contornar seus esfor?os.

Embora os ataques ransomware possam parecer um pouco misteriosos, eles normalmente seguem a mesma estrutura básica. Depois de entender como esses ataques funcionam, você pode preparar uma estratégia de mitiga??o mais abrangente que aumentará sua resiliência cibernética e, com sorte, anulará ou diminuirá os efeitos de um ataque.

Veja aqui uma análise mais detalhada da anatomia de um ataque ransomware, incluindo como o invasor obtém acesso e infecta um sistema.

Vetores de infec??o e distribui??o

Ransomware é um tipo de malware usado para criptografar arquivos importantes de computador ou dados confidenciais para resgate. As infec??es ocorrem quando o malware ransomware é baixado e instalado em dispositivos na rede de uma organiza??o.

Ransomware pode obter acesso ao sistema de destino de várias maneiras. Em 2023, os avan?os tecnológicos aumentaram. As plataformas de inteligência artificial e ransomware como servi?o simplificaram a capacidade dos hackers de executar ataques de ransomware. A engenharia social, os ataques patrocinados pelo estado e os ataques internos est?o em ascens?o, mas os e-mails de baixa higiene do sistema e phishing continuam sendo os vetores de ataque mais comuns.

Os e-mails de phishing normalmente contêm um link para um site comprometido ou um anexo com malware incorporado a ele. Quando o usuário clica no link ou anexo, o malware é baixado e executado no sistema de computador.

O protocolo de desktop remoto (RDP, Remote Desktop Protocol) é outro vetor comum de ataque de ransomware porque é fácil de usar e pode dar a um invasor acesso de alto nível se ele conseguir acessar credenciais legítimas. Os agentes de amea?as podem usar , incluindo ataques de for?a bruta, preenchimento de credenciais ou comprá-los na dark web.

O acesso comprometido ao RDP comprado na dark web pode explorar uma conex?o RDP simplesmente criando um script que verifica a porta padr?o. Os hackers geralmente têm acesso às mesmas ferramentas que os profissionais de seguran?a e podem verificar toda a Internet em busca de uma porta aberta em menos de um minuto.?

O ex-hacker Hector “Sabu” Monsegur discute o cenário e os desafios atuais da ciberseguran?a com Andrew Miller da Pure neste webinar sob demanda.

Criptografia

Depois que o ransomware é instalado no sistema de destino, ele fica em espera, coletando dados silenciosamente e infectando o maior número possível de sistemas. Em seguida, ela rouba e/ou criptografa arquivos de sistema com os dados mais valiosos e confidenciais da empresa. Ransomware podem destruir backups ou roubar dados como parte do ataque, por isso é importante que seus backups sejam seguros e imutáveis.

Agora, vamos dar uma olhada em alguns tipos e variantes de ransomware.

O ransomware criptográfico criptografa arquivos, embaralhando o conteúdo e tornando-os ilegíveis. Uma chave de descriptografia é necessária para restaurar os arquivos para um formato legível. Os cibercriminosos ent?o emitem demandas de resgate, prometendo descriptografar dados ou liberar a chave de descriptografia assim que as demandas forem atendidas.

O ransomware do cofre n?o criptografa arquivos, mas bloqueia completamente a vítima de seu sistema ou dispositivo. Os cibercriminosos exigem um resgate para desbloquear o dispositivo. De modo geral, é possível se recuperar ou evitar uma tentativa de ataque criptográfico se um bom backup estiver disponível. No entanto, um ataque ransomware de cofre é mais difícil e caro de se recuperar. Mesmo com dados de backup, o dispositivo deve ser totalmente substituído.

O objetivo básico de um ataque ransomware é extorquir dinheiro, mas as organiza??es podem se recusar a pagar, especialmente quando têm um bom sistema de backup e recupera??o implantado. Por esse motivo, os invasores usam extors?o dupla, na qual os dados s?o criptografados e extraídos. Se a empresa se recusar a pagar, os hackers amea?am vazar as informa??es online ou vendê-las ao licitante mais alto.

E fica pior. Por mais devastador que pare?a ser o ransomware extorsivo duplo, os especialistas em seguran?a est?o alertando sobre uma amea?a maior: Os invasores exigem dinheiro de terceiros afetados, além de extrair dados e exigir resgate do destino inicial.

Por fim, o ransomware como servi?o (RaaS, ransomware as a service) usa o modelo padr?o de software como servi?o (SaaS, Software-as-a-Service). ? um servi?o baseado em assinatura que dá aos assinantes acesso a ferramentas de ransomware pré-desenvolvidas para lan?ar ataques de ransomware. Os assinantes s?o chamados de afiliados e ganham uma porcentagem de cada pagamento de resgate.?

Demandas e notas de ataques de ransomware

Depois que o ransomware é implantado com sucesso na rede de destino, as demandas de resgate s?o feitas. Os hackers alertam a vítima de que ocorreu um ataque e detalham o resgate necessário para reverter o ataque. As demandas de resgate s?o exibidas em telas de computador ou deixadas em uma nota no diretório com os arquivos criptografados.

As solicita??es de resgate normalmente contêm detalhes sobre o valor do resgate, o método de pagamento necessário e o prazo para pagamento, bem como uma promessa de retornar o acesso aos arquivos criptografados assim que o resgate for pago. Se ocorrer a exfiltra??o de dados, o hacker também pode concordar em n?o expor dados adicionais e mostrar evidências de que os dados foram destruídos. O pagamento normalmente é solicitado em criptomoedas (por exemplo, Bitcoin ou Monero).

No entanto, mesmo que um resgate seja pago, n?o há garantia de que o invasor restaurará os dados ou cumprirá qualquer promessa. Eles podem manter uma cópia dos dados roubados para usar posteriormente. As chaves de descriptografia podem n?o funcionar totalmente, deixando alguns dados criptografados ou podem conter malware adicional n?o detectado que o invasor pode usar no futuro.

A negocia??o: Pagar ou n?o pagar?

A decis?o de pagar ou n?o pagar uma demanda de resgate pode ser complicada e depender de vários fatores:

• Qual é a import?ncia do impacto da viola??o nas opera??es comerciais?
• Os funcionários n?o trabalhar?o? Quantos e por quanto tempo?
• Qual é o tamanho do risco de exposi??o de dados?

Para ver mais de perto os prós e os contras de pagar e n?o pagar, leia a publica??o do blog “

Se seu sistema de backup e recupera??o n?o tiver sido afetado pelo ransomware, você poderá evitar pagar o resgate completamente (dependendo do tipo de ransomware que o afeta). Mas se pagar o resgate é realmente sua única op??o, é uma boa ideia contratar uma equipe experiente de resposta a incidentes para ajudar nas negocia??es e facilitar o pagamento.?

As consequências: Restaura??o e recupera??o

O tempo médio de inatividade após um ataque ransomware é de . Se você pagar o resgate, pode levar vários dias adicionais para receber a chave de descriptografia e reverter a criptografia.

Esteja ciente de que algumas variantes de ransomware identificam e destroem backups na rede comprometida. Se os backups foram destruídos ou criptografados, o processo de recupera??o pode se tornar mais complicado. Mas mesmo que os backups sejam utilizáveis, a recupera??o ainda pode ser um processo demorado, dependendo do tipo de sistema de backup e recupera??o que você tem em vigor.

N?o importa se você paga o resgate ou tenta recuperar os dados, planeje todo o processo de recupera??o para levar vários dias. Planeje também algum grau de perda financeira, seja na forma de pagamentos de resgate, custos de resposta a incidentes ou perda de receita devido ao tempo de inatividade.

Veja como o processo de recupera??o pode variar entre duas organiza??es hipotéticas com diferentes recursos de recupera??o no artigo “

Esteja pronto para responder a um ataque

Um ataque ransomware é um risco para o qual você n?o pode se dar ao luxo de n?o estar preparado. Você pode achar que está fazendo todas as coisas certas para se manter seguro, mas confiar em arquiteturas de backup legadas n?o o protegerá contra ataques modernos.

A melhor maneira de responder a um ataque? Somente solu??es modernas, como snapshots do SafeMode da 色控传媒 ? e do FlashBlade//S (S) com restaura??o rápida , que oferece desempenho de recupera??o de petabytes em grande escala, podem levar sua estratégia de seguran?a a um novo patamar.