Escolar Documentos
Profissional Documentos
Cultura Documentos
O ransomware, uma das ameaças cibernéticas mais persistentes e generalizadas, continua evoluindo, e sua forma mais recente
apresenta uma nova ameaça para as organizações em todo o mundo. A evolução do ransomware não envolve novos avanços
na tecnologia. Em vez disso, envolve um novo modelo de negócios: ransomware como serviço (RaaS).
O ransomware como serviço (RaaS) é um arranjo entre um operador, que desenvolve e mantém as ferramentas para capacitar
operações de extorsão, e um afiliado, que implanta a carga de ransomware. Quando o afiliado realiza um ataque bem-sucedido
de ransomware e extorsão, ambas as partes lucram.
O modelo de RaaS reduz a barreira de entrada para os invasores que podem não ter a habilidade ou os recursos técnicos para
desenvolver suas próprias ferramentas, mas podem gerenciar testes de penetração prontos e ferramentas do sysadmin para
executar ataques. Esses criminosos de nível inferior também podem simplesmente comprar o acesso à rede de um grupo
criminoso mais sofisticado que já violou um perímetro.
Embora os afiliados de RaaS usem cargas de ransomware fornecidas por operadores mais sofisticados, eles não fazem parte
da mesma "gangue" de ransomware. Na verdade, eles têm suas próprias operações distintas atuando na economia global de
crimes cibernéticos.
Para serem bem-sucedidos, os invasores precisam de credenciais. As credenciais comprometidas são tão importantes para
esses ataques que, quando os criminosos cibernéticos vendem o acesso à rede, em muitos casos, o preço inclui uma conta
de administrador garantida.
O que os criminosos fazem com o acesso depois de obtê-lo pode variar muito, dependendo dos grupos e seus workloads ou
motivações. Portanto, o tempo entre o acesso inicial e uma implantação de acesso ao teclado pode variar de minutos a dias ou
mais, mas quando as circunstâncias assim permitem, os danos podem ser causados a uma velocidade vertiginosa. Na verdade,
foi observado que o tempo entre o acesso inicial e o resgate completo (incluindo a entrega de um corretor de acesso a um
afiliado de RaaS) leva menos de uma hora.
A entrega que transcorre entre diferentes invasores à medida que ocorrem transições na economia de criminosos cibernéticos
significa que vários grupos de atividade podem persistir em um ambiente usando vários métodos diferentes das ferramentas
usadas em um ataque de ransomware. Por exemplo, o acesso inicial adquirido por um trojan bancário leva a uma implantação
do Cobalt Strike, mas o afiliado de RaaS que adquiriu o acesso pode optar por usar uma ferramenta de acesso remoto, como o
TeamViewer, para operar sua campanha.
O uso de ferramentas e configurações legítimas para persistir versus implantes de malware, como o Cobalt Strike, é uma técnica
popular entre os invasores de ransomware para evitar a detecção e permanecer residentes em uma rede por mais tempo.
Outra técnica popular de invasores é criar novas contas de usuário do backdoor, sejam elas locais ou no Active Directory, que
podem ser adicionadas a ferramentas de acesso remoto, como uma VPN (rede privada virtual) ou área de trabalho remota. Os
invasores de ransomware também foram observados editando as configurações em sistemas para habilitar a área de trabalho
remota, reduzir a segurança do protocolo e adicionar novos usuários ao grupo de usuários da área de trabalho remota.
Ransomware
A Microsoft cunhou o termo ransomware operado por humanos para definir essa categoria de ataques como uma cadeia de
atividades que culmina em uma carga de ransomware, não como um conjunto de cargas de malware a serem bloqueadas.
Embora a maioria das campanhas de acesso inicial dependa do reconhecimento automatizado, depois que o ataque passar para
a fase de acesso ao teclado, os invasores usarão seu conhecimento e habilidades para tentar derrotar os produtos de segurança
no ambiente.
Os invasores de ransomware são motivados por lucros fáceis, portanto, aumentar seus custos por meio do fortalecimento da
segurança é fundamental para interromper a economia de criminosos cibernéticos. Essa tomada de decisão humana significa
que, mesmo que os produtos de segurança detectem estágios de ataque específicos, os próprios invasores não são totalmente
expulsos. Eles tentarão continuar se não forem bloqueados por um controle de segurança. Em muitos casos, se uma ferramenta
ou carga for detectada e bloqueada por um produto antivírus, os invasores simplesmente vão recorrer a uma ferramenta
diferente ou modificar sua carga.
Os invasores também estão cientes dos tempos de resposta do centro de operações de segurança (SOC) e dos recursos e
limitações das ferramentas de detecção. No momento em que o ataque chegar ao estágio de exclusão de backups ou cópias de
sombra, ele estará a minutos da implantação do ransomware. O adversário provavelmente já terá realizado ações prejudiciais,
como a exfiltração de dados. Esse conhecimento é fundamental para os SOCs responderem ao ransomware: investigar
detecções como o Cobalt Strike antes do estágio de implantação de ransomware e executar ações rápidas de remediação
e procedimentos de resposta a incidentes (IR) são essenciais para conter um adversário humano.
Como os invasores têm várias maneiras de enganar e desabilitar os produtos de segurança e são capazes de imitar
o comportamento de administrador legítimo para se misturarem o máximo possível, as equipes de segurança
de TI e os SOCs devem apoiar seus esforços de detecção com medidas de proteção de segurança.
Os invasores de ransomware são motivados por lucros fáceis, portanto, aumentar seus custos por meio do fortalecimento
da segurança é fundamental para interromper a economia de criminosos cibernéticos.
Veja a seguir algumas etapas que as organizações podem realizar para se protegerem:
Fortalecer a nuvem:
À medida que os invasores avançam para os recursos de nuvem, é importante proteger os recursos e as identidades na nuvem,
bem como as contas na infraestrutura local. As equipes de segurança devem se concentrar no fortalecimento da infraestrutura
de identidades de segurança, na aplicação da autenticação multifatorial (MFA) em todas as contas e no tratamento de
administradores de nuvem/administradores locatários com o mesmo nível de segurança e proteção de credenciais que os
administradores de domínio.
Avaliar o perímetro:
As organizações devem identificar e proteger os sistemas do perímetro que os invasores podem usar para acessar a rede.
Interfaces de verificação públicas, como RiskIQ, podem ser usadas para aumentar os dados.
As etapas descritas acima ajudam a defender contra padrões comuns de ataque e são muito eficientes na prevenção de
ataques de ransomware. Para fortalecer ainda mais as defesas contra ransomware tradicional e operado por humanos e outras
ameaças, use ferramentas de segurança que possam fornecer visibilidade aprofundada entre domínios e recursos unificados de
investigação.
Para obter uma visão geral adicional do ransomware completo com dicas e práticas recomendadas para prevenção, detecção
e correção, consulte Proteja sua organização contra ransomware e para obter informações ainda mais aprofundadas sobre
ransomware operado por humanos, leia Ransomware como serviço: como entender a economia Gig de crimes cibernéticos
e proteger-se da pesquisadora sênior de segurança Jessica Payne.
©2022 Microsoft Corporation. Todos os direitos reservados. Este documento é fornecido "no estado em que se encontra". As informações e as opiniões expressas nele,
incluindo URLs e outras referências a sites da Internet, podem ser alteradas sem aviso prévio. Você assume o risco de utilização.