Insights > Blog

101 Como evitar um ataque Ransomware

Ransomware é uma ameaça crescente, e deve ser tratada com seriadade por Governos e organizações do setor privado, especialmente organizações de infraestrutura crítica como distribuição de energia, centrais de tratamento de água, setores da saúde, trânsito, segurança pública, etc.

Em síntese, um Ransomware é um malware projetado para criptografar arquivos em um dispositivo, tornando os arquivos e os sistemas que dependem deles inutilizáveis. Tradicionalmente, os atacantes exigem resgate em troca da descriptografia. Com o tempo, os atacantes ajustaram suas táticas de ransomware para serem mais destrutivas e muito mais impactantes focando cada vez mais em exfiltrar dados e ameaçar vendê-los ou transformá-los públicos – incluindo informações confidenciais ou pessoais – caso o resgate não seja pago dentro do período exigido.

Essas violações de dados podem causar perdas financeiras para a organização vítima e minar a confiança do cliente, afetando a reputação de sua marca.Todas as organizações correm o risco de se tornarem vítimas de um incidente de ransomware e são responsáveis por proteger informações confidenciais e dados pessoais armazenados em seus sistemas. As dicas a seguir constituem informações para todos os setores governamentais e organizações privadas, incluindo organizações de infraestrutura crítica, para ajudá-los na prevenção e resposta à incidentes causados por ransomware. Ações recomendadas por todos os órgãos de segurança mundiais e obviamente sugeridos aos nossos clientes:

EVITANDO ATAQUES DE RANSOMWARE

1. Manter backups de dados criptografados e offline e teste-os regularmente. Os procedimentos de backup devem ser conduzidos e verificados regularmente. É importante que os backups sejam mantidos offline, já que muitas variantes de ransomware atuais tentam localizar e excluir ou mesmo criptografar backups disponíveis.
2. Criar, manter e exercitar um plano básico de resposta à incidentes cibernéticos, plano de resiliência e os necessários planos de comunicações.

• O plano de resposta a incidentes cibernéticos deve incluir procedimentos de resposta e notificação para incidentes de ransomware.
• O plano de resiliência deve abordar como operar, que atitudes tomar se você perder o acesso ou o controle de funções críticas e suas repectivas ações envolvidas e práticas de cibersegurança.

3.Mitigar vulnerabilidades e configurações incorretas voltadas para a Internet para reduzir o risco de ataques que exploram esta superfície. Empregue as melhores práticas para o uso de Remote Desktop Protocol (RDP) e outros serviços de área de trabalho remota. As ameaças geralmente obtêm acesso inicial à uma rede por meio de serviços remotos expostos e mal protegidos e, mais tarde; propagar o ransomware.

a)Audite a rede em busca de sistemas usando RDP, portas RDP fechadas e não utilizadas, aplique bloqueios de conta após um determinado número de tentativas, aplique a autenticação multifator (MFA) e registre as tentativas de login RDP.

b)Realize varreduras de vulnerabilidades regulares para identificar e resolver vulnerabilidades, especialmente aquelas em dispositivos voltados para a Internet. A Cipher oferece vários serviços de scans e pentests, incluindo gestão de vulnerabilidades, para ajudar as organizações privadas, públicas e de infraestrutura crítica a avaliar, identificar e reduzir sua exposição à cyber ameaças, como ransomware. Apresentando relatórios desses serviços com as recomendações sobre as melhores práticas e maneiras de reduzir seus riscos e mitigar possíveis vetores de ataque.

c)Atualize software, incluindo sistemas operacionais, aplicativos e firmware, em tempo hábil. Prioritizar correções de vulnerabilidades críticas e vulnerabilidades em servidores voltados para a Internet, bem como software que processa dados da Internet, como navegadores da web, plug-ins de navegadores e leitores de documentos. Se uma ação de patching não é viável, implemente mitigações fornecidas pelo fornecedor.

d)Certifique-se de que os dispositivos estão configurados corretamente e os recursos de segurança estão ativados, por exemplo, desativar portas e protocolos depreciados e/ou que não estão sendo usados para fins comerciais.

e)Desative ou bloqueie o protocolo SMB (Server Message Block) de entrada e saída e remova ou desative versões desatualizadas do SMB.

4. Reduzir o risco de e-mails de phishing chegarem aos usuários finais:

a)Habilitar filtros de spam fortes.

b)Implementar um programa de conscientização e treinamento de usuários de cibersegurança que inclui orientações sobre como identificar e relatar atividades suspeitas (como o phishing, por exemplo) ou incidentes. Campanhas de conscientização e amadurecimento sobre segurança e responsabilidades inclusas podem ajudar muito. EDUCAR é a chave!

5. Praticar uma ‘higiene’ cibernética:

a) Garantir que o software antivírus, antimalware e certificados estejam atualizados.

b) Implementar uma lista de permissões de aplicativos.

c) Garantir que as contas de usuários e privilégios sejam limitadas por meio de políticas de uso de conta, controle de conta de usuário, e gerenciamento de contas privilegiadas.

d) Empregar MFA para todos os serviços na medida do possível, especialmente para webmail, redes virtuais privadas (VPNs) e contas que acessam sistemas críticos.

e) Implementar as melhores práticas de segurança cibernética conhecidas

Observação: as organizações que dependem de MSPs (Managed Service Providers) para gerenciamento remoto de sistemas de TI, devem levar em consideração o risco envolvido nas práticas de gestão e higiene cibernética de seu MSP. Assim, consulte sistemas de proteção contra ameaças cibernéticas, incluindo ransomware.

RESPONDENDO A INCIDENTES CAUSADOS POR RANSOMWARE

Caso sua organização seja vítima de um incidente de ransomware e/ou violação de dados, recomendadamos enfaticamente a implementação de seu plano de resposta a incidentes cibernéticos e execução das seguintes ações.

1. Proteja as operações de rede e evite a perda de dados adicionais usando a seguinte lista de verificação, passando pelas três primeiras etapas em seqüência.

Nota: Recomenda-se incluir esta lista de verificação como um anexo específico de ransomware nos planos de resposta a incidentes cibernéticos.

a) Determine quais sistemas foram afetados e isole tais sistemas imediatamente. Caso vários sistemas parecerem afetados, faça a rede off-line no nível do switch. Se tornar imediatamente a rede off-line não seja possível, localize o cabo de rede (por exemplo, Ethernet) e desconecte os dispositivos afetados da rede ou remova-os do Wi-Fi para conter a infecção.

b) Se – e somente se – os dispositivos afetados não puderem ser removidos da rede ou a rede não poderá ser desligada temporariamente, desligue os dispositivos infectados para evitar a propagação do ransomware.

Nota: esta etapa deve ser realizada apenas se necessário, pois pode resultar na perda de artefatos de infecção e as evidências potenciais do ataque armazenadas na memória volátil.

c) Triagem de sistemas impactados para restauração e recuperação. Priorize com base na criticidade.

d) Converse com sua equipe para desenvolver e documentar uma compreensão inicial do que ocorreu com base em análise preliminar.

e) Envolva suas equipes internas e externas e as partes interessadas para informá-los de como eles podem ajudá-lo a mitigar, responder e se recuperar do incidente. Considere fortemente a possibilidade de solicitar assistência de um provedor de resposta a incidentes de terceiros confiável com experiência em violações de dados.

2.Se nenhuma ação de mitigação inicial parecer possível, faça uma imagem do sistema e capture a memória de uma amostra dos dispositivos afetados. Além disso, colete todos os logs relevantes, bem como amostras de quaisquer binários de malware “precursor” e observáveis associados ou indicadores.

Nota: não destrua as evidências forenses e tome cuidado para preservar as evidências de natureza altamente volátil – ou de retenção limitada – para evitar perda ou adulteração.

3. Siga os requisitos de notificação conforme descrito em seu plano de resposta a incidentes cibernéticos. Considere:

• Se as informações pessoais armazenadas em nome de outras empresas forem roubadas, notifique essas empresas sobre a violação.
• Se a violação envolveu informações de identificação pessoal, notifique os indivíduos afetados para que eles possam tomar medidas para reduzir a chance de que suas informações sejam mal utilizadas. Diga às pessoas o tipo de informação exposta, recomende ações e forneça informações de contato relevantes.
• Se a violação envolveu informações de saúde eletrônicas, você deve notificar o CRM, Labortórios, Clínicas e profissionais da saúde envolvidos e, em alguns casos, a mídia. Consulte a Secretaria de Saúde de seu Município, Estado ou até mesmo Federal de acordo com o tamanho do ataque.

4. Denuncie o incidente à Delegacia de Ataques Cibernéticos da Polícia Civil ou Federal bem como outros órgãos pertinentes de acordo com seu negócio

ATENÇÃO: Desencorajamos fortemente o pagamento de um resgate à atacantes e criminosos. Pagando um resgate, você pode encorajar os adversários a visar organizações adicionais, encorajar outros atores criminosos a se envolver na distribuição de ransomware e/ou pode também financiar e facilitar outras atividades ilícitas. Pagar o resgate também não garante, de forma alguma; que os arquivos impactados pelo ataque serão recuperados.

REFERÊNCIAS E DICAS ADICIONAIS

Para obter mais informações e recursos sobre proteção e resposta a ransomware, consulte Stop Ransomware | CISA
MS-ISAC: Ransomware: As tendências de extração de dados e extorsão dupla (Ransomware: The Data Exfiltration and Double Extortion Trends (cisecurity.org))
Segurança cibernética para pequenas empresas (Cybersecurity for Small Business | Federal Trade Commission (ftc.gov))

Fonte: Alexandre Armellini | Cipher LATAM Red-Team Coordinator

0 Comments

Submit a Comment Cancel reply

RECEBA NOSSAS NOTÍCIAS!

Information Security Maturity Self-Assessment Survey

Saiba mais

• Whitepapers
• E-books
• Checklists
• Self-Assessments
• Webcasts
• Infographics

Cookie	Duração	Descrição
__hssrc	sessão	O Hubspot define este cookie cada vez que o cookie da sessão muda. O cookie __hssrc ajustado a 1 indica que o utilizador reiniciou o navegador, e se o cookie não existir, assume-se que se trata de uma nova sessão.
_GRECAPTCHA	5 meses 27 dias	Este cookie é definido pelo Google. Além de certos cookies padrão do Google, o reCAPTCHA define um cookie necessário (_GRECAPTCHA) quando executado com o objetivo de fornecer sua análise de risco.
viewed_cookie_policy	1 ano	Este cookie é definido pelo suplemento de consentimento de cookies da GDPR e é utilizado para armazenar se o utilizador consentiu ou não na utilização de cookies. Não armazena quaisquer dados pessoais.

Cookie	Duração	Descrição
AnalyticsSyncHistory	1 mês	Sem descrição
li_gc	2 anos	Não há descrição disponível.
UserMatchHistory	1 mês	Linkedin - Usado para localizar visitantes em múltiplos sítios web, a fim de apresentar anúncios relevantes com base nas preferências dos visitantes.

Cookie	Duração	Descrição
bscookie	2 anos	Este cookie é um cookie de identificação do navegador definido por Botões de partilha Linked e etiquetas de anúncios.
IDE	1 ano 24 dias	Os cookies IDE Google DoubleClick são utilizados para armazenar informação sobre a forma como o utilizador utiliza o sítio web a fim de apresentar ao utilizador anúncios relevantes e direccionados.
test_cookie	15 minutos	O cookie test_cookie é definido por doubleclick.net e é utilizado para determinar se o navegador do utilizador suporta cookies.
VISITOR_INFO1_LIVE	5 meses 27 dias	Um cookie definido pelo Youtube para medir a largura de banda que determina se o utilizador recebe a nova ou a antiga interface do leitor.
YSC	sessão	O cookie do YSC é definido pelo YouTube e é utilizado para acompanhar as visualizações de vídeos incorporados nas páginas do YouTube.
yt-remote-connected-devices	nunca expira	O YouTube define este cookie para armazenar as preferências de vídeo do utilizador que utiliza o vídeo do YouTube incorporado.
yt-remote-device-id	nunca expira	O YouTube define este cookie para armazenar as preferências de vídeo do utilizador utilizando o vídeo do YouTube incorporado.

Cookie	Duração	Descrição
__hstc	1 ano 24 dias	Este é o cookie principal criado pelo Hubspot, para rastreio de visitantes. Contém o domínio, o carimbo temporal inicial (primeira visita), o último carimbo temporal (última visita), o carimbo temporal actual (esta visita) e o número de sessão (incrementado para cada sessão subsequente).
_ga	2 anos	O cookie _ga, definido pelo Google Analytics, calcula os dados do visitante, da sessão e da campanha e também rastreia a utilização do site para relatórios de análise do site. O cookie armazena informação anonimamente e atribui um número gerado aleatoriamente para reconhecer visitantes únicos.
_gat_gtag_UA_86671402_1	1 minuto	Este cookie é definido pelo Google e é utilizado para distinguir os utilizadores.
_gcl_au	3 meses	Fornecido pelo Google Tag Manager para testar a eficácia da publicidade dos sítios web que utilizam os seus serviços.
_gid	1 dia	Definido pelo Google Analytics, o cookie _gid armazena informações sobre como os visitantes utilizam um sítio web, enquanto cria um relatório analítico do desempenho do sítio. Alguns dos dados recolhidos incluem o número de visitantes, de onde provêm e as páginas que visitam anonimamente.
CONSENT	16 anos 3 meses 14 dias 7 horas	Estes cookies são definidos através de vídeos YouTube incorporados. Gravam dados estatísticos anónimos sobre, por exemplo, o número de vezes que o vídeo é visto e as definições utilizadas para a reprodução. Os dados sensíveis não são recolhidos a menos que esteja ligado à sua conta Google, caso em que as suas escolhas estão ligadas à sua conta, por exemplo, se clicar em "gostar" num vídeo.
hubspotutk	1 ano 24 dias	Este cookie é utilizado pela HubSpot para localizar os visitantes do website. Este cookie é passado ao Hubspot em formulários e é utilizado quando se deduplicam contactos.

Cookie	Duração	Descrição
__cf_bm	30 minutos	Este cookie, definido pelo Cloudflare, é utilizado para apoiar a Gestão de Botões Cloudflare.
__hssc	30 minutos	HubSpot define este cookie para acompanhar as sessões e para determinar se o HubSpot deve aumentar o número de sessões e os carimbos temporais no cookie __hstc.
bcookie	2 anos	O LinkedIn define este cookie de botões de partilha e etiquetas de anúncios do LinkedIn para reconhecer o ID do navegador.
lang	sessão	Este cookie é utilizado para armazenar as preferências linguísticas de um utilizador, a fim de exibir o conteúdo nessa língua armazenada na próxima vez que o utilizador visitar o website.
lidc	1 dia	O cookie lidc é colocado pelo LinkedIn para facilitar a selecção do centro de dados.

Insights > Blog

101 Como evitar um ataque Ransomware

0 Comments

Submit a Comment Cancel reply

RECEBA NOSSAS NOTÍCIAS!

Information Security Maturity Self-Assessment Survey

Saiba mais

Social Media

LinkedIn

Powered by Juicer

LinkedIn

Social Media

Twitter

Twitter feed is not available at the moment.

Social Media

Facebook

Insights

Whitepaper

Dig into the details of cybersecurity and regulations by reading our exclusive white papers. Each paper is written by an expert at Cipher and full of insight and advice.

Saber mais