Insights > Blog

101 Como evitar um ataque Ransomware

 

Ransomware é uma ameaça crescente, e deve ser tratada com seriadade por Governos e organizações do setor privado, especialmente organizações de infraestrutura crítica como distribuição de energia, centrais de tratamento de água, setores da saúde, trânsito, segurança pública, etc.

Em síntese, um Ransomware é um malware projetado para criptografar arquivos em um dispositivo, tornando os arquivos e os sistemas que dependem deles inutilizáveis. Tradicionalmente, os atacantes exigem resgate em troca da descriptografia. Com o tempo, os atacantes ajustaram suas táticas de ransomware para serem mais destrutivas e muito mais impactantes focando cada vez mais em exfiltrar dados e ameaçar vendê-los ou transformá-los públicos – incluindo informações confidenciais ou pessoais – caso o resgate não seja pago dentro do período exigido.

Essas violações de dados podem causar perdas financeiras para a organização vítima e minar a confiança do cliente, afetando a reputação de sua marca.Todas as organizações correm o risco de se tornarem vítimas de um incidente de ransomware e são responsáveis ​​por proteger informações confidenciais e dados pessoais armazenados em seus sistemas. As dicas a seguir constituem informações para todos os setores governamentais e organizações privadas, incluindo organizações de infraestrutura crítica, para ajudá-los na prevenção e resposta à incidentes causados ​​por ransomware. Ações recomendadas por todos os órgãos de segurança mundiais e obviamente sugeridos aos nossos clientes:

EVITANDO ATAQUES DE RANSOMWARE

1. Manter backups de dados criptografados e offline e teste-os regularmente. Os procedimentos de backup devem ser conduzidos e verificados regularmente. É importante que os backups sejam mantidos offline, já que muitas variantes de ransomware atuais tentam localizar e excluir ou mesmo criptografar backups disponíveis.
2. Criar, manter e exercitar um plano básico de resposta à incidentes cibernéticos, plano de resiliência e os necessários planos de comunicações.

• O plano de resposta a incidentes cibernéticos deve incluir procedimentos de resposta e notificação para incidentes de ransomware.
• O plano de resiliência deve abordar como operar, que atitudes tomar se você perder o acesso ou o controle de funções críticas e suas repectivas ações envolvidas e práticas de cibersegurança.

3.Mitigar vulnerabilidades e configurações incorretas voltadas para a Internet para reduzir o risco de ataques que exploram esta superfície. Empregue as melhores práticas para o uso de Remote Desktop Protocol (RDP) e outros serviços de área de trabalho remota. As ameaças geralmente obtêm acesso inicial à uma rede por meio de serviços remotos expostos e mal protegidos e, mais tarde; propagar o ransomware.

a)Audite a rede em busca de sistemas usando RDP, portas RDP fechadas e não utilizadas, aplique bloqueios de conta após um determinado número de tentativas, aplique a autenticação multifator (MFA) e registre as tentativas de login RDP.

b)Realize varreduras de vulnerabilidades regulares para identificar e resolver vulnerabilidades, especialmente aquelas em dispositivos voltados para a Internet. A Cipher oferece vários serviços de scans e pentests, incluindo gestão de vulnerabilidades, para ajudar as organizações privadas, públicas e de infraestrutura crítica a avaliar, identificar e reduzir sua exposição à cyber ameaças, como ransomware. Apresentando relatórios desses serviços com as recomendações sobre as melhores práticas e maneiras de reduzir seus riscos e mitigar possíveis vetores de ataque.

c)Atualize software, incluindo sistemas operacionais, aplicativos e firmware, em tempo hábil. Prioritizar correções de vulnerabilidades críticas e vulnerabilidades em servidores voltados para a Internet, bem como software que processa dados da Internet, como navegadores da web, plug-ins de navegadores e leitores de documentos. Se uma ação de patching não é viável, implemente mitigações fornecidas pelo fornecedor.

d)Certifique-se de que os dispositivos estão configurados corretamente e os recursos de segurança estão ativados, por exemplo, desativar portas e protocolos depreciados e/ou que não estão sendo usados ​​para fins comerciais.

e)Desative ou bloqueie o protocolo SMB (Server Message Block) de entrada e saída e remova ou desative versões desatualizadas do SMB.

4. Reduzir o risco de e-mails de phishing chegarem aos usuários finais:

a)Habilitar filtros de spam fortes.

b)Implementar um programa de conscientização e treinamento de usuários de cibersegurança que inclui orientações sobre como identificar e relatar atividades suspeitas (como o phishing, por exemplo) ou incidentes. Campanhas de conscientização e amadurecimento sobre segurança e responsabilidades inclusas podem ajudar muito. EDUCAR é a chave!

5. Praticar uma ‘higiene’ cibernética:

a) Garantir que o software antivírus, antimalware e certificados estejam atualizados.

b) Implementar uma lista de permissões de aplicativos.

c) Garantir que as contas de usuários e privilégios sejam limitadas por meio de políticas de uso de conta, controle de conta de usuário, e gerenciamento de contas privilegiadas.

d) Empregar MFA para todos os serviços na medida do possível, especialmente para webmail, redes virtuais privadas (VPNs) e contas que acessam sistemas críticos.

e) Implementar as melhores práticas de segurança cibernética conhecidas

Observação: as organizações que dependem de MSPs (Managed Service Providers) para gerenciamento remoto de sistemas de TI, devem levar em consideração o risco envolvido nas práticas de gestão e higiene cibernética de seu MSP. Assim, consulte sistemas de proteção contra ameaças cibernéticas, incluindo ransomware.

RESPONDENDO A INCIDENTES CAUSADOS POR RANSOMWARE

Caso sua organização seja vítima de um incidente de ransomware e/ou violação de dados, recomendadamos enfaticamente a implementação de seu plano de resposta a incidentes cibernéticos e execução das seguintes ações.

1. Proteja as operações de rede e evite a perda de dados adicionais usando a seguinte lista de verificação, passando pelas três primeiras etapas em seqüência.

Nota: Recomenda-se incluir esta lista de verificação como um anexo específico de ransomware nos planos de resposta a incidentes cibernéticos.

a) Determine quais sistemas foram afetados e isole tais sistemas imediatamente. Caso vários sistemas parecerem afetados, faça a rede off-line no nível do switch. Se tornar imediatamente a rede off-line não seja possível, localize o cabo de rede (por exemplo, Ethernet) e desconecte os dispositivos afetados da rede ou remova-os do Wi-Fi para conter a infecção.

b) Se – e somente se – os dispositivos afetados não puderem ser removidos da rede ou a rede não poderá ser desligada temporariamente, desligue os dispositivos infectados para evitar a propagação do ransomware.

Nota: esta etapa deve ser realizada apenas se necessário, pois pode resultar na perda de artefatos de infecção e as evidências potenciais do ataque armazenadas na memória volátil.

c) Triagem de sistemas impactados para restauração e recuperação. Priorize com base na criticidade.

d) Converse com sua equipe para desenvolver e documentar uma compreensão inicial do que ocorreu com base em análise preliminar.

e) Envolva suas equipes internas e externas e as partes interessadas para informá-los de como eles podem ajudá-lo a mitigar, responder e se recuperar do incidente. Considere fortemente a possibilidade de solicitar assistência de um provedor de resposta a incidentes de terceiros confiável com experiência em violações de dados.

2.Se nenhuma ação de mitigação inicial parecer possível, faça uma imagem do sistema e capture a memória de uma amostra dos dispositivos afetados. Além disso, colete todos os logs relevantes, bem como amostras de quaisquer binários de malware “precursor” e observáveis ​​associados ou indicadores.

Nota: não destrua as evidências forenses e tome cuidado para preservar as evidências de natureza altamente volátil – ou de retenção limitada – para evitar perda ou adulteração.

3. Siga os requisitos de notificação conforme descrito em seu plano de resposta a incidentes cibernéticos. Considere:

• Se as informações pessoais armazenadas em nome de outras empresas forem roubadas, notifique essas empresas sobre a violação.
• Se a violação envolveu informações de identificação pessoal, notifique os indivíduos afetados para que eles possam tomar medidas para reduzir a chance de que suas informações sejam mal utilizadas. Diga às pessoas o tipo de informação exposta, recomende ações e forneça informações de contato relevantes.
• Se a violação envolveu informações de saúde eletrônicas, você deve notificar o CRM, Labortórios, Clínicas e profissionais da saúde envolvidos e, em alguns casos, a mídia. Consulte a Secretaria de Saúde de seu Município, Estado ou até mesmo Federal de acordo com o tamanho do ataque.

4. Denuncie o incidente à Delegacia de Ataques Cibernéticos da Polícia Civil ou Federal bem como outros órgãos pertinentes de acordo com seu negócio

ATENÇÃO: Desencorajamos fortemente o pagamento de um resgate à atacantes e criminosos. Pagando um resgate, você pode encorajar os adversários a visar organizações adicionais, encorajar outros atores criminosos a se envolver na distribuição de ransomware e/ou pode também financiar e facilitar outras atividades ilícitas. Pagar o resgate também não garante, de forma alguma; que os arquivos impactados pelo ataque serão recuperados.

REFERÊNCIAS E DICAS ADICIONAIS 

Fonte: Alexandre Armellini | Cipher LATAM Red-Team Coordinator 

 

 

0 Comments

Submit a Comment

Your email address will not be published. Required fields are marked *

RECEBA NOSSAS NOTÍCIAS!

Information Security Maturity Self-Assessment Survey

Saiba mais

•  Whitepapers
•  E-books
•  Checklists
•  Self-Assessments
•  Webcasts
•  Infographics