Este artigo é sobre Tecnologia

Ransomware o virus que "sequestra" dados da sua empresa

Qintess

Qintess

Publicado em
06 de Agosto de 2021

Se você tem uma empresa deve se preocupar com a sua segurança! Veja dicas de como se prevenir de vírus como o Ransomware que "sequestram" dados.

Um vírus chamado “ransomware” tem sido um problema contínuo para as empresas e vem recebendo uma cobertura crescente da mídia nos últimos tempos.

Embora existam notícias recentes sobre o ataque a grandes empresas como Colonial Pipeline e Scripps Health, esse vírus já existe há algum tempo e veio mudando ao longo dos anos. 

Assim, o ransomware evoluiu de atacar computadores individuais para, mais recentemente, bloquear os arquivos de empresas inteiras e exigir resgates multimilionários que, na maioria das vezes, são pagos.

Nesse sentido, o ransomware tornou-se um dos principais interesses de empresas criminosas, criando-se assim uma espécie de “indústria de suporte” em seu entorno. 

Essa indústria oferece acesso a grandes corporações, vende credenciais para ferramentas de acesso remoto e faz lavagem de criptomoedas. 

Os operadores do ransomware frequentemente participam de fóruns criminosos e grupos de Telegram, onde analistas de ameaças à segurança cibernética frequentemente monitoram suas discussões, ofertas e disputas, em busca de informações que sejam úteis para entender como funciona essa operação.

Diante desse todo esse cenário, proteger-se contra ataques no mundo online se tornou uma estratégia essencial para qualquer negócio.

Quer saber como funciona o ransomware e como é possível se proteger desse ataque que pode custar milhões para a sua empresa? Siga lendo essa postagem!

Como o ransomware ataca?

As primeiras formas de ransomware foram inicialmente introduzidas usando uma cadeia que envolve a exploração das vulnerabilidades de navegadores da Web e de plugins instalados, usando os chamados “kits de exploração”

Embora esses kits de exploração ainda existam hoje, seu uso se tornou menos frequente já que o número de novas vulnerabilidades disponíveis não é alta o suficiente para valer o esforço: o patch automatizado em sistemas de navegadores e o sandboxing, por exemplo, tornam mais difícil encontrá-las.

Hoje, o ransomware é introduzido em máquinas vítimas principalmente através de malwares em documentos do Microsoft Office ou manualmente por alguém através de uma máquina que tenha tido um acesso remoto ativado, como o protocolo de desktop remoto (RDP) ou credenciais Citrix adivinhadas ou comprometidas através de um ataque de força bruta. 

A disponibilidade de contas RDP em particular é muito significativa, e mercados criminosos como o UAS tornam simples encontrar e comprar essas credenciais para servidores em qualquer lugar do mundo, custando de 20 a 25 dólares.

Figura 1: Print Screen do UAS - mercado criminoso online

Uma vez estabelecida a base no computador de uma vítima, os criminosos afiliados ao ransomware exploram a rede para listar todos os recursos disponíveis. Se eles encontram dados potencialmente sensíveis em compartilhamentos de arquivos, esses dados podem ser vazados para um serviço em nuvem. 

Em muitos ataques, famílias adicionais de malwares também são usadas, incluindo Trickbot, Cobalt Strike e várias ferramentas multiuso, como programas de recuperação de senhas. 

Uma das etapas finais é normalmente criar um script de automação que implantará o ransomware no maior número possível de máquinas ao redor

Muitas famílias de malware trabalham totalmente offline, de modo que o vírus, a nota de resgate e as instruções de comunicação são pré-configuradas antes da inserção do ransomware na rede da vítima. Isso deixa menos oportunidades de interrupção e prevenção por parte das empresas.

Como posso proteger minha empresa do ransomware?

Com o objetivo de ajudar a evitar que os operadores do ransomware instalem suas bases em seu sistema e sequestrem seus arquivos, existem algumas precauções que podem ser tomadas. Confira abaixo quais são elas:

1)  Controle o Microsoft Office Macros 

Muitas das operações de ransomware bem-sucedidas fazem o uso de um padrão conhecido, começando com a entrega de documentos maliciosos do Microsoft Office contendo macros que seduzem o destinatário a permitir o conteúdo que descarrega o malware. 

Essa carga maliciosa pode coletar dados sobre a máquina, reportar a um domínio de comando e controle (C2) e, em seguida, baixar e executar módulos adicionais de malware. 

Impedir a execução de macros maliciosos no Office é uma abordagem eficaz para evitar a introdução de muitas famílias de malware que levam ao ransomware. As empresas que usam o Microsoft Office podem configurá-lo para que as macros baixadas da internet ou de um anexo de e-mail não possam ser executadas. 

Outra prática recomendada para empresas preocupadas com malwares é não deixar a decisão de executar ou não macros para o usuário.

2) Estabeleça autenticação multifatorial para RDP, Citrix e VPN

Muitas empresas que se tornaram vítimas de ransomware foram comprometidas porque deixaram RDP ou Citrix expostas à internet. Assim, os criminosos têm acesso a elas seja comprando a conta em um mercado criminoso ou forçando as credenciais.

Dessa forma, ferramentas de acesso remoto como RDP, Citrix e VPNs não devem ser expostas sem autenticação multifatorial (MFA). O RDP e o Citrix podem ser configurados através de um firewall que limita o acesso a faixas de IP pertencentes a parceiros de negócios designados.

3) Backup, Backup, Backup!

Um problema que acomete as vítimas do ransomware é que, de fato, elas haviam backups de seus dados para restaurar. Mas o processo para recuperá-los seria tão demorado que a escolha mais rápida seria pagar o resgate. 

Estar preparado para desastres é ser consciente e sempre considerar a possibilidade de um ataque por ransomware. E dessa forma, trabalhar para conseguir recuperar um backup rápido o suficiente para evitar dar milhões a criminosos.

4) Valide sua cadeia de suprimentos

Um caminho menos comum de ataque vem de contas comprometidas em ferramentas de gerenciamento de nuvem frequentemente usadas por provedores de serviços gerenciados (MSPs). 

Qualquer serviço ou sistema que forneça um acesso contínuo como esse deve exigir autenticação de vários fatores (leia este artigo do Brian Krebs para entender o que pode dar errado).

5) Monitore mercados criminosos e suas infraestruturas

Os criminosos que realizam os ataques precisam organizar a infraestrutura de comando e controle, bem como intermediar o acesso nos mercados criminosos. Uma inteligência de ameaças pode fornecer insights sobre o que os criminosos estão organizando e quais credenciais podem estar em jogo. 

Monitorar esses mercados do crime para uma potencial exposição a violações antes da venda de acesso permite que as empresas evitem um possível ataque.

6) DNS para Visibilidade e Bloqueio de Comando e Comunicação de Controle

Uma comunidade de muitos ataques de ransomware envolve comunicação externa usando o sistema de nome de domínio (DNS) para procurar/resolver um destino C2. O malware precisa frequentemente se comunicar com um domínio C2 para receber comandos do autor das ameaças, como baixar ferramentas maliciosas adicionais ou vazar dados. 

Todo esse tráfego utiliza DNS, e isso representa uma fonte valiosa de inteligência de ameaças. Para a maioria das empresas, entretanto, esse tráfego de DNS é uma fonte subestimada e subutilizada.

Esteja um passo à frente dos invasores: conheça o HYAS Protect

Pensando na segurança da sua empresa e em fornecer uma proteção 100% completa contra o ransomware, a Qintess estabeleceu uma parceria com a HYAS, a maior autoridade mundial em conhecer a fundo o funcionamento de ataques cibernéticos.

À medida que o ransomware se comunica com seu comando e controle, o tráfego de rede DNS fornece um ponto de estrangulamento onde a comunicação para destinos maliciosos pode ser bloqueada

É por isso que o HYAS Protect é uma solução de DNS que fornece um salto substancial em termos de proteção. Utilizando um conhecimento profundo da infraestrutura dos invasores, ele protege proativamente as organizações contra qualquer ataque cibernético. 

Assim, o HYAS Protect é implantado como uma solução de segurança de DNS baseada em nuvem ou através da integração de API com suas soluções de segurança já existentes, bloqueando conexões do malware precursor que leva ao ransomware.

Ataques cibernéticos podem custar milhões para a sua empresa. Esteja 100% protegido!

Entenda como você pode combater o ransomware com a ajuda do HYAS Protect e aproveitando o tráfego de DNS já existente da sua organização: fale conosco agora!https://qintess.com/pt_br/contato

Este artigo é sobre Tecnologia

Fale conosco

Entre em contato conosco e saiba como podemos apoiar a sua empresa no caminho rumo à transformação digital

manage cookies