Táticas para proteger empresas de Ransomwares

Desde que a primeira variante de ransomware foi disseminada por disquetes em 1989, os ataques desse tipo tornaram-se muito mais sofisticados. Os ataques WannaCry, por exemplo, que ocorreram em maio deste ano, usaram um malware worm para infectar computadores conectados a uma mesma rede, causando impactos a mais de 150 países e em diversas verticais, como agências de governo e fábricas.

O ransomware foi classificado como o malware mais rentável de todos, somando cerca de US$ 1 bilhão em lucros em 2016, de acordo com o FBI. Diversas outras pesquisas confirmam que o ransomware está crescendo, justamente porque os cibercriminosos aproveitam a enorme rentabilidade que ele traz.

A principal razão por trás do sucesso do ransomware é que as empresas estão, em grande parte, despreparadas para um ataque. Os ataques do WannaCry se espalharam rapidamente através de suas capacidades de autopropagação aproveitando principalmente hardware e software desatualizados de infraestruturas de rede de muitas organizações. Os prejuízos podem ser altos – desde o custo financeiro da parada do sistema, assim como danos à reputação e perda da confiança do público. Esses últimos tendem a ser danos de longo prazo.

Assim, a defesa em profundidade, apesar de não ser um conceito novo, ainda se traduz como a melhor forma de proteção contra o ransomware e outros tipos de ciberataques. Trata-se de uma abordagem de segurança em várias camadas, que envolve desde o conhecimento do que os atacantes estão trabalhando na deep web até o treinamento dos usuários finais para proteção contra ataques de phishing.

Algumas táticas desse princípio são:

Além de scans frequentes de vulnerabilidade e testes de penetração para determinar se a empresa possui as estratégias de defesa corretas para se proteger contra o ransomware, ferramentas podem ser usadas para observar o comportamento de um ataque. Um exemplo são os feeds de inteligências de ameaças, que monitoram ataques em outros locais a fim de alertar as empresas sobre as ameaças emergentes antes que elas atinjam a rede corporativa. Provedores de inteligência de ameaças analisam esses feeds constantemente, filtrando insights para fortalecer os sistemas de segurança.

Ferramentas de Gestão de Identidade e Acesso (IAM) e Controle de Acesso à Rede (NAC) são essenciais para identificar os dispositivos da empresa e garantir que eles estejam de acordo com as políticas de segurança de TI. Todos os endpoints devem ter uma proteção adequada que previne explorações de vulnerabilidade em todos os sistemas operacionais (Windows, Android, Mac OS, iOS). Além disso, firewalls de próxima geração (NGFW) adicionam uma camada extra de varredura antimalware para arquivos maliciosos já conhecidos, e sandboxing baseado na nuvem para malwares ainda desconhecidos. Soluções de segurança para e-mails, DNS e web também contribuem para níveis mais profundos de proteção.

Caso um malware tenha infiltrado os dispositivos ou a rede, as tecnologias devem estar em ordem para detectar anomalias e os analistas de segurança devem monitorar de perto a rede. Ferramentas de detecção de tráfego malicioso baseadas em inteligência artificial podem ajudar a automatizar a detecção antes que um ataque piore. Além delas, tecnologias de detecção de brechas como ferramentas de engano e serviços de monitoramento de ameaças 24/7 podem ser implementadas em locais estratégicos para saber se um ransomware está se propagando, oferecendo assim alertas prévios.

Esses são apenas alguns exemplos de táticas para construir uma boa defesa contra ransomware e outros malwares. Onde e como construir as defesas são considerações críticas para reduzir os riscos e mitigar as vulnerabilidades. Enfim, uma estratégia de processos, pessoas e tecnologia deve ser colocada em prática e ser constantemente melhorada para garantir a resiliência da empresa em casos de ciberataques e a continuidade dos negócios.

Fonte: IDG Now!

Conheça as principais táticas de ciberespionagem

cibercrimeDe acordo com especialistas da Kapersky Lab existe uma nova tendência em ataques de ciberespionagem patrocinados por governos. Ao que tudo indica, eles estão mais sofisticados e direcionados a usuários cuidadosamente definidos, utilizando ferramentas focadas em aumentar o número de componentes, com o intuito de reduzir a visibilidade e aumentar a descrição.

Para Costin Raiu, diretor do GReAT, Time Global de Análise e Pesquisa da Kaspersky Lab, os responsáveis pelos ataques estão concentrados na criação de frameworks para embalar códigos, para que possam ser personalizados em sistemas vivos e forneçam uma maneira confiável de armazenar todos os componentes e dados de forma criptografada, inacessível para os usuários comuns.

Ainda na visão dos especialistas, existem outras táticas de ataques patrocinados por governos daquelas de cibercriminosos tradicionais. Veja quais são:

Escala. Cibercriminosos tradicionais distribuem e-mails em massa com anexos maliciosos ou infectam sites em larga escala, enquanto agentes de governos preferem direcionar cuidadosamente seus ataques, infectando apenas alguns usuários selecionados a dedo.

Abordagem individual. Enquanto os cibercriminosos tradicionais tipicamente reutilizam códigos-fonte, como o infame Zeus ou Trojans Carberb, os agentes de governos constroem malware original, personalizado, e até mesmo implementam restrições que impedem a descriptografia e a execução fora do computador de destino.

Extração de informações valiosas. Os cibercriminosos em geral tentam infectar o maior número possível de usuários. No entanto, eles não têm tempo e espaço de armazenamento para verificar manualmente todas as máquinas que infectam e analisar quem os possui, que dados estão armazenados neles e qual software utilizam – e, em seguida, transferir e armazenar todos os dados potencialmente interessantes.

Os atacantes patrocinados por governos têm recursos para armazenar tantos dados quanto quiserem. Para desviarem da atenção e se manterem invisíveis para o software de segurança, eles tentam evitar infectar usuários aleatórios, preferindo recorrer a uma ferramenta de gerenciamento de sistema remoto genérico que pode copiar qualquer informação que possa precisar e em quaisquer volumes. Isso poderia, no entanto, trabalhar contra eles, como movendo um grande volume de dados pode desacelerar a conexão de rede e levantar suspeitas.

Agradecemos ao Davi, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: ITForum