Escolar Documentos
Profissional Documentos
Cultura Documentos
Contra os ataques
de Ransomware
Índice
1. Resumo executivo 3
2. Contexto 4
2
GUIA CONTRA OS ATAQUES DE RANSOMWARE
1. Resumo executivo
Bilhões de reais são gastos todos os anos em tecnologia de segurança cibernética. Garantir a saúde das empresas e que consigam
combater os riscos cibernéticos requer um esforço mais exaustivo, sistemático e constante. Neste documento analisaremos o que
devemos incluir nos planos de defesa contra um ransomware e, como conclusão, as implicações que um responsável de TI/Segurança
tem dentro de uma empresa.
Para dar conta das expectativas de proteção contra ameaças ações em resposta a um ataque de ransomware:
cibernéticas, as empresas estão complementando e
estendendo o serviço de segurança cibernética, reduzindo - Realizar uma avaliação completa dos riscos cibernéticos
o tempo de crise e fortalecendo-se através de: e sua correção, incluindo: análises de vulnerabilidades de
testes de invasão.
- Acesso rápido a especialistas em resposta, análise forense e
malware. - Analisar a Arquitetura de Segurança Cibernética atual e
apresentar cenários de evolução da maturidade em segurança
- Capacidades de análise de ameaça digital (por exemplo, cibernética; melhorando a postura de proteção dos negócios e
ransomware) ou dispositivo comprometido. dados sensíveis.
Como sabemos agora, as mudanças na postura de segurança cibernética podem desempenhar um papel muito maior em uma empresa.
Com a crescente pandemia de ransomware, a pressão por transformação digital e gestão de riscos, as empresas estão explorando
a terceirização, operação automatizada para rápida resposta na detecção e resposta à incidentes cibernéticos e promovendo
redução do risco operacional e risco reputacional.
3
GUIA CONTRA OS ATAQUES DE RANSOMWARE
2. Contexto
2.1 Cibersegurança hoje
Bilhões de reais são gastos todos os anos em tecnologia de - A pandemia foi explorada pelos autores das ameaças:
segurança cibernética. Uma pesquisa da International Data
Corporation, IDC, prevê que os gastos com segurança global
chegarão a US$ 174,7 bilhões até 2024 (um aumento anual de
8,1% durante 2020-2024). No entanto, as empresas continuam a
falhar e serem vítimas de ataques cibernéticos, como evidenciado
pelos últimos relatórios e tendências:
O NIST (National Institute of Standards and Technology) criou uma estrutura muito abrangente que
explica como esse programa deve ser estruturado com base nos seguintes pilares:
Manutenção
Tecnologias de
proteção
4
GUIA CONTRA OS ATAQUES DE RANSOMWARE
No entanto, sua aplicação não é fácil. De fato, estima-se que o mercado de MSS da Colonial Pipeline e da JBS ilustraram
Mesmo grandes multinacionais em setores chegue a US$ 41 bilhões até 2022, com esse ponto. Como consequência, a JBS
pagou um resgate de US$ 11 milhões em
regulados, com experiência relevante em crescimento anual de 16,6%.
bitcoins aos autores do
gestão de riscos e na criação ataque cibernético que
de capacidades internas interrompeu temporariamente
em cibersegurança, estão o funcionamento de algumas
de suas fábricas.
lutando com a complexidade
e os custos envolvidos. Tendências no aumento dos
Portanto, o quadro para
As empresas dependem agora, mais ataques cibernéticos como
empresas menores é ainda do que nunca, de fornecedores a epidemia de ataques de
mais preocupante. de Serviços de Segurança ransomware que temos
experimentado nos últimos
As empresas dependem
Gerenciado (MSS), buscando meses, maior adoção da
nuvem e mudanças nos
agora, mais do que nunca, terceirizar os esforços de SecOps padrões de compra passaram
de fornecedores de Serviços por meio de modelos operacionais por quebras e foram
aceleradas em um curto
de Segurança Gerenciado híbridos. espaço de tempo. Este novo
(MSS), buscando terceirizar cenário combinado com as
os esforços de SecOps por mudanças na infraestrutura
meio de modelos operacionais de rede trazidas pela
pandemia nos coloca diante
híbridos, bem como soluções
de um ambiente de negócios
abrangentes e de consultoria, reiventado, principalmente
para construir seu programa de segurança a Os sinais de mudança estão aí e não em detecção e resposta rápidas aos
partir do início de suas operações. podemos ignorá-los. A recente paralisação incidentes cibernéticos.
5
GUIA CONTRA OS ATAQUES DE RANSOMWARE
6
GUIA CONTRA OS ATAQUES DE RANSOMWARE
Em inglês, “ransom” significa “resgate”. Os cibercriminosos A criptomoeda é um dinheiro virtual que garante o
contaminam os servidores das empresas, conseguem anonimato porque não é depositado em banco e nem requer
criptografar dados, geralmente sensíveis, e só liberam informações pessoais. Sendo assim, trata-se de uma moeda
o acesso mediante pagamento de um resgate em atraente para o crime - e um obstáculo para quem atua no
criptomoedas — é como um sequestro digital. rastreamento dos cibercriminosos.
O primeiro estágio é distribuir e instalar Uma vez na máquina da vítima, é realizado A fase de teste é onde o ransomware executa
o ransomware. Durante este estágio, o download de um arquivo .exe ou outro vários itens de manutenção para garantir
as vítimas são induzidas por e-mail executável camuflado, conectando-se seu funcionamento. O ransomware se
a realizar o download do software a uma lista predefinida de endereços moverá para uma nova pasta e então evoluirá,
malicioso. Trata-se de um ataque via IP que hospedam software malicioso. verificando a configuração local e as chaves
phishing ou e-mail falso. Esse A partir desta fase, geralmente é de registro. Ele procura configurações de
tipo de ameaça é o estágio inicial copiado o executável malicioso para proxy, privilégios de usuário, acessibilidade
2.3.1 de uma ameaça muito maior e um diretório local, como uma a pasta e outras informações potencialmente
mais séria que está por vir. Temp. Finalmente, o script significativas. O ransomware também executa
é finalizado, removido e o uma inicialização no modo de recuperação,
2.3.2 ransomware é executado. que o desativa o modo de recuperação.
O ransomware também se comunica com
o servidor de controle neste estágio para
realizar o reconhecimento no usuário/sistema
usando ferramentas analíticas de IP online
para determinar se eles são ou não
um alvo aplicável, desativando o
2.3.3 mesmo.
7
GUIA CONTRA OS ATAQUES DE RANSOMWARE
Embora possamos categorizar e separar os agentes de ameaças, desenvolvem diferentes tipos de malware e depois os vendem a
isso não significa que eles não colaborem e não façam diferentes agentes de ameaças, como cibercriminosos ou grupos.
negócios entre si. Nos últimos anos, começamos a ver como o
ecossistema dos cibercriminosos evoluiu para um modelo de O MaaS é um dos pilares do que hoje se chama CaaS (Cybercrime-
negócios maduro no qual fornecedores e clientes podem realizar as-a-Service). É um setor que cresceu exponencialmente nos
transações comerciais seguras. últimos anos e é hoje uma das atividades criminosas mais prolíficas,
sustentada por um modelo de negócios moderno e consolidado,
É normal ver desenvolvedores de malware no que é comumente onde vendedores e clientes podem realizar transações comerciais
conhecido como Malware-as-a-Service (MaaS), que geralmente em um ambiente de confiança.
8
GUIA CONTRA ATAQUES DE RANSOMWARE
Modelo de Negócio
de Ameaça
Como vimos, o
ecossistema de autores
de ameaças é vasto e
complexo.
Geralmente, é assim
que a indústria de
ransomware opera:
9
GUIA CONTRA OS ATAQUES DE RANSOMWARE
10
GUIA CONTRA OS ATAQUES DE RANSOMWARE
11
GUIA CONTRA ATAQUES DE RANSOMWARE
com um incidente
Qual foi o problema relatado e por quem?
cibernético envolve
identificá-lo. Quais serviços, aplicativos e/ou hardware não estão
funcionando?
Situações que podem indicar um incidente cibernético incluem: Quais informações (se houver) foram divulgadas para
partes não autorizadas, excluídas ou corrompidas?
- Computadores funcionando lentamente.
Seus clientes notaram algum problema? Eles podem
usar/acessar seus serviços?
- Contas de usuários bloqueadas.
Quem projetou o sistema afetado e quem o mantém?
- Usuários incapazes de acessar documentos.
Quando o problema ocorreu ou chamou a sua atenção pela
- Mensagens exigindo resgate pela liberação de seus primeira vez?
arquivos.
Qual é o escopo do problema, quais áreas da empresa
- Pessoas informando sobre e-mails estranhos vindos de seu foram afetadas?
domínio.
Houve algum sinal de que o problema ocorreu
- Pesquisas redirecionadas da internet. internamente em sua empresa ou externamente por
meio de sua cadeia de suprimentos?
- Pedidos de pagamentos não autorizados.
Qual é o potencial impacto comercial do incidente
- Atividade incomum da conta de acesso. cibernético?
12
GUIA CONTRA ATAQUES DE RANSOMWARE
Monitoramento de contas de
acesso privilegiadas
Identifique e monitore as contas com acesso privilegiado, por
exemplo: administradores do ambiente computacional,
contas para gerenciamento dos serviços em cloud, contas
utilizadas por fornecedores terceirizados para administrar
a infraestrutura ou aplicação da sua empresa etc.
13
GUIA CONTRA OS ATAQUES DE RANSOMWARE
14
GUIA CONTRA OS ATAQUES DE RANSOMWARE
15
GUIA CONTRA OS ATAQUES DE RANSOMWARE
16
GUIA CONTRA ATAQUES DE RANSOMWARE
Em contrapartida, os principais provedores de MDR podem fornecer visibilidade global de ameaças entre indústrias e áreas geográficas,
e ao contrário da maioria das empresas, altos custos fixos podem ser permitidos através de economias de escala. Grandes bases
de clientes permitem que eles apoiem altos custos de pessoal (aluguel, treinamento, rotação, retenção de especialistas nível 3, etc.).
Além disso, se realizam grandes investimentos em padronização, automação e análise que lhes permitem reduzir os custos de Nível 1,
para as operações com baixo valor agregado. O alcance global dos principais fornecedores permite estabelecer relações estratégicas
com os principais provedores de tecnologia, ganhando vantagens competitivas, como preços baseados em volume e programas de
suporte premium.
Os fundamentos de
uma prática robusta de
segurança estão dispostos
no inventário de ativos, nas
avaliações de segurança e De fato, de acordo com um estudo
da Ponemon, 60% das
na priorização da gestão
de vulnerabilidades
pelo risco ao negócio,
contexto organizacional e vulnerabilidades em
informações disponíveis
sobre as atividades das
2019 afetaram um software
ameaças. desatualizado.
Um gerenciamento eficaz
de vulnerabilidades pode
reduzir drasticamente
a carga de operações de
detecção e resposta e, na maioria dos casos, até mesmo evitar
invasões e vazamentos de dados.
17