Essa ameaça emergente e brutal pode ter impactos significativos nos recursos de uma empresa, finanças e reputação, mas ela tem solução.

Desde 2015, o mercado está observando um grande crescimento e impacto de incidentes de post-intrusion ransomware. Nesses ataques, um atacante ganha acesso a uma rede comprometida, move-se lateralmente para outros sistemas e redes, localiza ativos críticos do negócio e então escolhe uma data (pode ser alguns dias, ou até meses depois do acesso inicial) para implementar o ransomware que irá encriptar os arquivos. Em meados de 2019, os criminosos perceberam que poderiam ganhar uma vantagem a mais sobre as empresas ao roubar os dados antes de encriptá-los, chantageando a empresa de divulgação pública.

Backups segregados são importantes, mas eles não podem mitigar os ataques cada vez mais agressivos e que acabam envolvendo chantagem. Mesmo com backups, a restauração acaba impactando o negócio ao provocar downtime. Prevenir brechas de rede antes que elas possam ser usadas para implantar um ransomware é a melhor solução. Se a prevenção falha, é importante detectar rapidamente a melhor solução. Se a prevenção falha, é importante detectar e responder às ameaças.

A Real Protect já auxiliou empresas a se recuperar de ataques de post-intrusion ransomware, quando a detecção e contenção falharam. O caminho para a recuperação é longo e difícil, e deixa a liderança da empresa com a mentalidade de “não vamos deixar isso acontecer nunca mais”. Essa disrupção causada pelo ataque leva a empresa a priorizar a cybersecurity, e alocar recursos para prevenir a história de se repetir. As empresas em geral seguem uma de duas abordagens principais nesse ponto crítico de decisão.

A primeira abordagem é investir forte em novas tecnologias. Isso pode ser tentador, comprar uma caixa nova, ou um serviço cheio de promessas de que pode ser integrado facilmente, oferecendo proteção imediata.

Mas, a realidade é que a defesa de rede é difícil, e um novo produto não vai resolver todos os problemas. As empresas atingidas de forma severa por ransomware tipicamente possuem fraquezas sistêmicas em sua rede, que acabaram por permitir o ataque. As técnicas usadas pelos atacantes no post-intrusion ransomware não são tão sofisticadas assim. Contudo, eles são brutalmente eficientes em identificar e explorar fraquezas sistêmicas. O acesso inicial do atacante pode levar a ransomware generalizado na empresa em questão de dias.

A segunda abordagem, que é a que funciona na prática, é resolver essas fraquezas sistêmicas. Essa abordagem requer que os defensores da rede conheçam o ambiente de TI. Quais são os ativos da empresa e onde eles estão? A equipe de segurança pode enumerar os domínios do Active Directory e as relações que eles possuem? Saber o que deve ser protegido é um passo inicial fundamental para o sucesso.

Após a equipe entender o que precisa ser defendido, como podemos prevenir um ataque? Tipicamente, um atacante segue um desses três cenários:

  • Utiliza uma infecção pré-existente e não tratada de malware, acessa o ambiente comprometido e faz o download do ransomware e das ferramentas de extração de dados.
  • Explora uma vulnerabilidade conhecida, mas sem o devido patch em um sistema aberto para a internet, como uma VPN ou um servidor web.
  • Compra ou faz phishing de credenciais e as usa em soluções de acesso remoto, que requerem apenas um usuário e senha.

 

Todos esses cenários são preveníveis! Essas técnicas não são exclusivas de ataques de ransomware, então remover esses vetores de ataque ajuda a proteger uma gama variada de ameaças.

Mesmo com esses passos preveníveis, as equipes de defesa de rede devem assumir que o atacante pode penetrar um perímetro bem defendido. Os criminosos podem tentar roubar credenciais, escalar privilégios, e pivotar para controles de domain. Eles então podem comprometer a rede, construir uma lista de hosts alvo e então se preparar para implantar o ransomware.

Os controles de segurança podem detectar roubo de credenciais, ou movimento lateral suspeito entre as partes de uma rede? As contas de serviço e o administrador local estão sendo gerenciadas proativamente para evitar que contas com muitos privilégios tenham problemas de senhas fracas ou falta de 2FA? Os defensores de rede podem detectar ferramentas rodando no ambiente, ou atacantes baixando arquivos em pastas recém criadas ou controladores de domínio?

Uma empresa atacada pode ter menos de 5 dias entre a primeira atividade maliciosa e o deploy do ransomware. Essa é a janela de detecção. Geralmente é tarde para interromper o ataque quando o ransomware foi detectado nos servidores e estações de trabalho.

 

Torne-se um “Alvo Difícil”

Muitas empresas sofreram problemas financeiros severos e danos à reputação decorrentes de ataques de post-intrusion ransomware. Os atacantes que se utilizam de ransomware são oportunistas e vão buscar o menor esforço possível para monetizar suas atividades. As equipes de segurança devem proteger seu ambiente até chegar ao ponto em que os atacantes concluem que é mais fácil buscar outras empresas. Isso pode ser feito.

  • Tenha uma compreensão dos ativos da empresa. Faça auditorias regularmente para manter essa compreensão.
  • Reduza a superfície de ataque. Conduza exercícios periódicos para detectar e remediar vulnerabilidades e exposições do perímetro de rede antes que os atacantes explorem.
  • Use Autenticação de Múltiplos Fatores (MFA).
  • Implemente controles de segurança que interceptem emails maliciosos, e use filtro web para detectar comunicações de malware.
  • Aplique updates de segurança, especialmente updates que remediam vulnerabilidades conhecidas.
  • Gerencie proativamente credenciais com privilégio de acesso. O objetivo é prevenir que um problema ocorrido em um único usuário final possa ser escalado para o controle total do controlador de domínio.
  • Recolha e correlacione informações de todos os dispositivos na rede, plataformas de nuvem e ativos em tempo real. Aplique inteligência a essas informações na forma de medidas técnicas para detectar os ataques antes que danos significativos ocorram.

 

Comece auditando os controles de segurança da empresa contra essas proteções chave. Então, faça um roadmap para implementar os que estão faltando. Essas proteções vão ajudar a empresa a prevenir ou detectar essas intrusões. Ao rapidamente reagir a um incidente, uma empresa pode se resguardar de um evento catastrófico de ransomware.