Escolar Documentos
Profissional Documentos
Cultura Documentos
ransomware
Guia de orientação
Setembro, 2022
Tabela de Conteúdo
O que é um ransomware?...............................................................................................................................................3
Como um ransomware funciona?............................................................................................................................3
Você sabe o que é um APT?........................................................................................................................................4
Os principais alvos ........................................................................................................................................................4
A evolução de um ataque.........................................................................................................................................4
Primeira etapa: obter acesso ................................................................................................................................4
Segunda etapa: estabelecer um ponto fixo................................................................................................4
Terceira etapa: aprofundar o acesso .............................................................................................................4
Quarta etapa: mover-se lateralmente............................................................................................................5
Quinta etapa: observar, descobrir e esconder-se.................................................................................5
O fator humano...............................................................................................................................................................5
Uma ameaça persistente.........................................................................................................................................5
Como reagir? .........................................................................................................................................................................5
Recomendações gerais .................................................................................................................................................6
Configurações para KESB...........................................................................................................................................6
Configurar proteção por senha;.........................................................................................................................6
Configurar Behavior Detection; .........................................................................................................................7
Configurar Remediation Engine; ........................................................................................................................7
Configurar Automatic Exploit Prevention;..................................................................................................8
Configurar Host Intrusion Prevention; ...........................................................................................................9
Configurar Kaspersky Security Network......................................................................................................9
Considerações finais ......................................................................................................................................................9
Na maioria dos casos, a infecção por ransomware ocorre da seguinte maneira. O malware primeiro
ganha acesso ao dispositivo. Dependendo do tipo de ransomware, todo o sistema operacional ou
apenas arquivos individuais são criptografados. Um resgate é, então, exigido das vítimas em questão
Malware é resultado da combinação das palavras inglesas “malicious” e “software”. O termo malware,
portanto, abrange todo software malicioso que pode ser perigoso para o seu computador. Isso inclui
vírus e cavalos de Troia.
O resgate é cobrado para que a chave de descriptografia seja fornecida ou simplesmente para que os
dados não sejam publicados. Vale lembrar que atualmente a “Lei Geral da Proteção de Dados”, ou
simplesmente LGPD, aplica duras penalidades às empresas que não protegem os dados de seus
clientes.
Se uma empresa considera o pagamento do resgate, vale lembrar que estão negociando com
criminosos e que não há nenhuma garantia que eles devolverão o acesso aos arquivos ou que uma
nova chantagem não será feita no mês seguinte, além do fato que ao realizar o pagamento, a empresa
vira alvo de outros grupos de criminosos, já que o pagamento é amplamente divulgado na dark web, por
esse motivo a Kaspersky sugere que jamais seja feito o pagamento do resgate.
A infecção geralmente é feita Uma vez que a porta está Uma vez que o criminoso sabe
por Phishing ou quebra de aberta, os criminosos ganham como proceder, ele faz o
senha. Com essas credenciais o controle do ambiente e ataque cifrando os dados
o criminoso pode ter acesso passam a monitorar o que é importantes e posteriormente
aos sistemas internos, como importante para que o ataque limpando os vestígios do
o e-mail. Há ainda a infecção seja certeiro. Nesta fase é ataque, tornando quase
por um malware, que explora comum que eles reconfigurem impossível a recuperação dos
uma vulnerabilidade pra abrir seu software de segurança arquivos
uma porta aos criminosos. para não identificar o ataque
Como o nome "avançado" sugere, um ataque persistente avançado (APT) usa técnicas de invasão
contínuas, clandestinas e sofisticadas para obter acesso a um sistema e permanecer dentro dele por
um período prolongado, com consequências potencialmente destrutivas.
Os principais alvos
Devido ao nível de trabalho necessário para realizar esses ataques, as APTs geralmente são
direcionadas a alvos de grande valor, como governos e grandes corporações, com o objetivo final de
roubar informações durante um longo período, em vez de simplesmente adentrar e sair rapidamente,
como muitos cibercriminosos fazem durante ataques cibernéticos de nível inferior.
A APT é um método de ataque no qual todas as corporações devem ficar de olho. E isso não significa
que empresas de pequeno e médio porte podem ignorar esse tipo de ataque, afinal a comercialização de
“Malware como Serviço” faz com que seja possível comprar ataques sofisticados por um baixo preço,
garantindo que qualquer empresa possa ser vítima deste ataque, não importa seu tamanho, faturamento
ou representatividade.
Outro ponto é que cada vez mais comum aos invasores que utilizem APTs que visam empresas de
pequeno porte, que compõem a rede de fornecedores das grandes organizações como uma forma de
ter acesso a elas. Eles usam essas empresas pequenas, que costumam ser mais vulneráveis, como
porta de entrada.
A evolução de um ataque
Assim como um ladrão tenta abrir uma porta com um pé de cabra, em geral, os criminosos virtuais
tentam entrar através de uma rede, um arquivo infectado, lixo eletrônico ou um aplicativo vulnerável
para inserir malware na rede visada.
Os criminosos cibernéticos implantam malware que permitem a criação de uma rede de backdoors e
túneis usados para se deslocarem nos sistemas sem serem detectados. Frequentemente, o malware
emprega técnicas como reescrever códigos para ajudar os hackers a encobrir seus rastros.
Uma vez infiltrados, os criminosos usam técnicas como a quebra de senhas para obter acesso com
direitos de administrador de maneira a ter mais controle sobre o sistema e obter níveis de acesso ainda
mais elevados.
Quanto mais infiltrados no sistema com os direitos de administrador, mais os criminosos podem agir à
vontade. Eles também podem tentar acessar outros servidores e outras partes protegidas da rede.
De dentro do sistema, os hackers obtêm uma compreensão global de como ele funciona e de suas
vulnerabilidades, permitindo que coletem informações à vontade.
O fator humano
Como as defesas virtuais corporativas tendem a ser mais sofisticadas do que as de um usuário
particular, os métodos de ataque muitas vezes exigem o envolvimento ativo de alguém infiltrado para
alcançar esse momento de "adentrar" crucial e importante. Isso não significa, no entanto, que o
funcionário participe conscientemente do ataque. Normalmente, isso envolve a implementação de uma
série de técnicas de engenharia social, como “whaling” ou “spear phishing”, por um invasor.
O principal perigo de ataques de APTs é que, mesmo quando eles são descobertos e a ameaça imediata
parece ter sido controlada, os criminosos podem ter deixado várias brechas abertas que lhes permitem
retornar quando quiserem. Além disso, muitas defesas cibernéticas tradicionais, como antivírus e
firewalls, nem sempre conseguem proteger contra esses tipos de ataques.
Uma combinação de várias medidas, que vão desde soluções de segurança sofisticadas, como
o Kaspersky Enterprise Security, até uma força de trabalho treinada e ciente das técnicas de engenharia
social, deve ser implantada para maximizar as chances de uma defesa contínua eficiente.
Como reagir?
Como acabamos de ver um APT é um ataque engenhoso que na maioria das vezes usa técnicas de
ofuscação para permanecer alheio às monitorações vigentes, então é importante que a empresa tenha
mecanismos e ferramentas que buscam e relacionam eventos buscando comportamento suspeito que
possam caracterizar um ataque.
Atualmente a Kaspersky possui o Kaspersky Anti Targeted Attack Platform, que pode ajudar seu time de
NOC na árdua batalha contra os criminosos. Caso sua empresa não possua um SOC nós também
oferecemos o Kaspersky Managed Detection and Response que transfere pra Kaspersky a monitoração
de seu ambiente.
Além dessas ferramentas operacionais a Kaspersky oferece o serviço de Kaspersky Targeted Attack
Discovery que faz uma análise holística de sua rede, lhe oferecendo um relatório gerencial munido de
detalhes sobre ataques passados e presentes.
1. Garanta que as aplicações da sua empresa possuam, bem como os Sistemas operacionais,
tenham as últimas correções de segurança aplicadas. Essa gestão se chama “Patch
Management” e pode ser realizado com o Kaspersky Security Center licenciado como
Advanced ou Total;
2. Todos os servidores/serviços que precisam estar públicos na internet, devem estar em uma
DMZ e isolada da rede de produção;
3. Troque as “portas” Padrão dos serviços publicados, tais como servidores WEB e RDP;
4. Garanta que haja uma segmentação lógica entre a rede de servidores e de computadores;
5. Jamais permita que a rede “guest” de WiFi tenha acesso a sua rede corporativo;
6. Possua um plano e rotina de Backup/Restore isolado da rede corporativa;
7. Garanta que seus dispositivos de segurança como Endpoint, Anti APT, etc tenham a última
versão da base de dados de detecções aplicada em todos os computadores;
8. Garanta que o uso de nossa KSN esteja corretamente funcionando;
9. Não abra arquivos anexos de pessoas não conhecidas;
10. Utilize senhas de alta complexidade;
11. Crie pontos de restauração nos computadores;
12. Desabilite o acesso remoto dos computadores que não precisam desta funcionalidade;
13. Ative o 'Account lockout' nos servidores/estações expostos. Para o account lockout siga o
instrutivo em https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/
windows-server-2008-R2-and-2008/ff687746(v=ws.10)
14. Revise as sugestões em https://support.kaspersky.com/14742 e
https://support.kaspersky.com/10952
15. Bloqueie a execução de scripts powershell não assinados https://docs.microsoft.com/en-us/
powershell/module/microsoft.powershell.security/get-executionpolicy?
view=powershell-6
16. Execute a tarefa de Full Scan pelo menos 1 vez por semana;
17. Tenha uma proteção contra Phishing para seu sistema de e-mail, como o Kaspersky Secure Mail
Gateway;
18. Não permita que usuários Padrão tenham acesso administrativo nos computadores e que os
administradores jamais trabalhem regularmente com esse tipo de permissão;
19. Treine constantemente seus usuários. A Kaspersky pode apoiá-los com treinamentos
presenciais ou com o Kaspersky Automated Security Awareness Platform
20. Habilitar auditoria de acesso à objetos e Logon via GPO e fazer a monitoração ativa dos eventos
gerados;
21. Possuir um plano de resposta à incidentes
A proteção por senha é importante porque vários usuários com diferentes níveis de conhecimentos de
informática podem utilizar um computador. Se os usuários têm acesso sem restrições ao Kaspersky
Endpoint Security e às configurações deste, talvez haja uma redução do nível geral de proteção. A
proteção por senha permite restringir o acesso dos usuários ao Kaspersky Endpoint Security de acordo
com as permissões concedidas a eles (por exemplo, permissão para sair do aplicativo). Criar tarefa de Full
Scan Semanal;
O componente Detecção de Comportamento recebe dados sobre as ações dos aplicativos em seu
computador e fornece essas informações a outros componentes de proteção para melhorar o
desempenho.
O Mecanismo de Remediação permite que o Kaspersky Endpoint Security desfaça ações executadas
por Malware no sistema operacional.
Atividade de arquivo
• Exclui arquivos executáveis que foram criados pelo malware (em todas as mídias, exceto
unidades de rede).
• Exclui arquivos executáveis que foram criados por programas infiltrados por malware.
• Restaura arquivos que foram modificados ou excluídos pelo malware.
• O recurso de recuperação de arquivo tem algumas limitações.
Atividade de sistema
• Encerra processos que foram iniciados pelo malware.
• Encerra processos invadidos por aplicativos maliciosos.
• Não reinicia processos que foram pausados pelo malware.
Atividade de rede
• Bloqueia a atividade de rede do malware.
• Bloqueia a atividade de rede de processos que foram invadidos pelo malware.
Uma reversão das ações do malware pode ser iniciada pelo componente Proteção Contra Ameaças ao
Arquivo ou Detecção de Comportamento, ou durante uma verificação de vírus.
Quando há uma tentativa de executar um arquivo executável de um aplicativo vulnerável que não foi
realizada pelo usuário, o Kaspersky Endpoint Security bloqueia a execução do arquivo ou notifica o
usuário.
O componente Prevenção de Intrusão do Host impede que os aplicativos executem ações perigosas
para o sistema e garante o controle de acesso aos recursos do sistema operacional e aos dados
pessoais. O componente fornece proteção ao computador com a ajuda de bancos de dados antivírus e
o serviço na nuvem Kaspersky Security Network.
Para melhorar a proteção do computador, o Kaspersky Endpoint Security usa dados recebidos de
usuários em todo o mundo. A Kaspersky Security Network foi criada para obter esses dados. A
Kaspersky Security Network (KSN) é uma infraestrutura de serviços em nuvem que permite o acesso à
Base de Dados de Conhecimento on-line da Kaspersky, que contém informações sobre a reputação de
arquivos, recursos da Web e software. O uso dos dados da Kaspersky Security Network assegura
rapidez nas respostas do Kaspersky Endpoint Security a novas ameaças, melhora o desempenho de
alguns componentes de proteção e reduz a probabilidade de falsos positivos. Se você faz parte da
Kaspersky Security Network, os serviços KSN fornecem ao Kaspersky Endpoint Security informações
sobre a categoria e a reputação dos arquivos verificados, bem como informações sobre a reputação
dos endereços da Web verificados.
Considerações finais
Esperamos que este material ajude você a aumentar o nível de maturidade do ambiente, não deixe de
contar com nosso apoio e conhecer nosso portfólio que oferece ajuda desde à prevenção à remediação e
Resposta à Incidentes.
• Resposta a Incidentes
• Perícia Digital
• Serviços Profissionais
Resposta a Incidentes
Abrange todo o ciclo de investigação de incidentes para eliminar completamente a ameaça de sua
organização.
Perícia Digital
Análise de evidências digitais relacionadas ao crime virtual, resultando na criação de um relatório
abrangente com detalhes de todas as conclusões relevantes
Relatórios de Inteligência
Oferecem acesso exclusivo e proativo às investigações e insights mais recentes da Kaspersky Lab,
revelando métodos, táticas e ferramentas usados por agentes maliciosos, APTs e outros setoriais
Threat Lookup
Oferece todo o conhecimento adquirido pela Kaspersky sobre ameaças cibernéticas e seus
relacionamentos, reunidos em uma única e poderosa plataforma web-service para consultas a URLs,
domínios, endereços IP, hashes, nomes de ameaças, dados estatísticos e comportamentais, DNS e outros
ajudando a identificar ameaças e proteger sua organização, melhorando a resposta a incidentes.
Treinamentos em Cibersegurança
Uma gama de cursos que combinam recursos on-line ou presenciais para capacitação dos profissionais da
empresa, e dos profissionais de segurança em todas as áreas incluindo Resposta a Incidentes, Análise de
Malware, Perícia, Técnicas YARA, e Cibersegurança em geral.
Health Check
Auditar e analisar a integridade atual de sua segurança e seu status de conformidade, oferecendo
orientação sobre os problemas e recomendações. Pode ser agnóstico para todo ambiente de TI, ou pode
ser específico para assegurar a melhor utilização possível dos produtos Kaspersky.
Links:
https://www.kaspersky.com.br/enterprise-security/cybersecurity-services#ent-overview2
https://www.kaspersky.com.br/enterprise-security/professional-services