101 Como evitar um ataque Ransomware
Ransomware é uma ameaça crescente, e deve ser tratada com seriadade por Governos e organizações do setor privado, especialmente organizações de infraestrutura crítica como distribuição de energia, centrais de tratamento de água, setores da saúde, trânsito, segurança pública, etc.
Em síntese, um Ransomware é um malware projetado para criptografar arquivos em um dispositivo, tornando os arquivos e os sistemas que dependem deles inutilizáveis. Tradicionalmente, os atacantes exigem resgate em troca da descriptografia. Com o tempo, os atacantes ajustaram suas táticas de ransomware para serem mais destrutivas e muito mais impactantes focando cada vez mais em exfiltrar dados e ameaçar vendê-los ou transformá-los públicos – incluindo informações confidenciais ou pessoais – caso o resgate não seja pago dentro do período exigido.
Essas violações de dados podem causar perdas financeiras para a organização vítima e minar a confiança do cliente, afetando a reputação de sua marca.Todas as organizações correm o risco de se tornarem vítimas de um incidente de ransomware e são responsáveis por proteger informações confidenciais e dados pessoais armazenados em seus sistemas. As dicas a seguir constituem informações para todos os setores governamentais e organizações privadas, incluindo organizações de infraestrutura crítica, para ajudá-los na prevenção e resposta à incidentes causados por ransomware. Ações recomendadas por todos os órgãos de segurança mundiais e obviamente sugeridos aos nossos clientes:
EVITANDO ATAQUES DE RANSOMWARE
1. Manter backups de dados criptografados e offline e teste-os regularmente. Os procedimentos de backup devem ser conduzidos e verificados regularmente. É importante que os backups sejam mantidos offline, já que muitas variantes de ransomware atuais tentam localizar e excluir ou mesmo criptografar backups disponíveis.
2. Criar, manter e exercitar um plano básico de resposta à incidentes cibernéticos, plano de resiliência e os necessários planos de comunicações.
• O plano de resposta a incidentes cibernéticos deve incluir procedimentos de resposta e notificação para incidentes de ransomware.
• O plano de resiliência deve abordar como operar, que atitudes tomar se você perder o acesso ou o controle de funções críticas e suas repectivas ações envolvidas e práticas de cibersegurança.
3.Mitigar vulnerabilidades e configurações incorretas voltadas para a Internet para reduzir o risco de ataques que exploram esta superfície. Empregue as melhores práticas para o uso de Remote Desktop Protocol (RDP) e outros serviços de área de trabalho remota. As ameaças geralmente obtêm acesso inicial à uma rede por meio de serviços remotos expostos e mal protegidos e, mais tarde; propagar o ransomware.
a)Audite a rede em busca de sistemas usando RDP, portas RDP fechadas e não utilizadas, aplique bloqueios de conta após um determinado número de tentativas, aplique a autenticação multifator (MFA) e registre as tentativas de login RDP.
b)Realize varreduras de vulnerabilidades regulares para identificar e resolver vulnerabilidades, especialmente aquelas em dispositivos voltados para a Internet. A Cipher oferece vários serviços de scans e pentests, incluindo gestão de vulnerabilidades, para ajudar as organizações privadas, públicas e de infraestrutura crítica a avaliar, identificar e reduzir sua exposição à cyber ameaças, como ransomware. Apresentando relatórios desses serviços com as recomendações sobre as melhores práticas e maneiras de reduzir seus riscos e mitigar possíveis vetores de ataque.
c)Atualize software, incluindo sistemas operacionais, aplicativos e firmware, em tempo hábil. Prioritizar correções de vulnerabilidades críticas e vulnerabilidades em servidores voltados para a Internet, bem como software que processa dados da Internet, como navegadores da web, plug-ins de navegadores e leitores de documentos. Se uma ação de patching não é viável, implemente mitigações fornecidas pelo fornecedor.
d)Certifique-se de que os dispositivos estão configurados corretamente e os recursos de segurança estão ativados, por exemplo, desativar portas e protocolos depreciados e/ou que não estão sendo usados para fins comerciais.
e)Desative ou bloqueie o protocolo SMB (Server Message Block) de entrada e saída e remova ou desative versões desatualizadas do SMB.
4. Reduzir o risco de e-mails de phishing chegarem aos usuários finais:
a)Habilitar filtros de spam fortes.
b)Implementar um programa de conscientização e treinamento de usuários de cibersegurança que inclui orientações sobre como identificar e relatar atividades suspeitas (como o phishing, por exemplo) ou incidentes. Campanhas de conscientização e amadurecimento sobre segurança e responsabilidades inclusas podem ajudar muito. EDUCAR é a chave!
5. Praticar uma ‘higiene’ cibernética:
a) Garantir que o software antivírus, antimalware e certificados estejam atualizados.
b) Implementar uma lista de permissões de aplicativos.
c) Garantir que as contas de usuários e privilégios sejam limitadas por meio de políticas de uso de conta, controle de conta de usuário, e gerenciamento de contas privilegiadas.
d) Empregar MFA para todos os serviços na medida do possível, especialmente para webmail, redes virtuais privadas (VPNs) e contas que acessam sistemas críticos.
e) Implementar as melhores práticas de segurança cibernética conhecidas
Observação: as organizações que dependem de MSPs (Managed Service Providers) para gerenciamento remoto de sistemas de TI, devem levar em consideração o risco envolvido nas práticas de gestão e higiene cibernética de seu MSP. Assim, consulte sistemas de proteção contra ameaças cibernéticas, incluindo ransomware.
RESPONDENDO A INCIDENTES CAUSADOS POR RANSOMWARE
Caso sua organização seja vítima de um incidente de ransomware e/ou violação de dados, recomendadamos enfaticamente a implementação de seu plano de resposta a incidentes cibernéticos e execução das seguintes ações.
1. Proteja as operações de rede e evite a perda de dados adicionais usando a seguinte lista de verificação, passando pelas três primeiras etapas em seqüência.
Nota: Recomenda-se incluir esta lista de verificação como um anexo específico de ransomware nos planos de resposta a incidentes cibernéticos.
a) Determine quais sistemas foram afetados e isole tais sistemas imediatamente. Caso vários sistemas parecerem afetados, faça a rede off-line no nível do switch. Se tornar imediatamente a rede off-line não seja possível, localize o cabo de rede (por exemplo, Ethernet) e desconecte os dispositivos afetados da rede ou remova-os do Wi-Fi para conter a infecção.
b) Se – e somente se – os dispositivos afetados não puderem ser removidos da rede ou a rede não poderá ser desligada temporariamente, desligue os dispositivos infectados para evitar a propagação do ransomware.
Nota: esta etapa deve ser realizada apenas se necessário, pois pode resultar na perda de artefatos de infecção e as evidências potenciais do ataque armazenadas na memória volátil.
c) Triagem de sistemas impactados para restauração e recuperação. Priorize com base na criticidade.
d) Converse com sua equipe para desenvolver e documentar uma compreensão inicial do que ocorreu com base em análise preliminar.
e) Envolva suas equipes internas e externas e as partes interessadas para informá-los de como eles podem ajudá-lo a mitigar, responder e se recuperar do incidente. Considere fortemente a possibilidade de solicitar assistência de um provedor de resposta a incidentes de terceiros confiável com experiência em violações de dados.
2.Se nenhuma ação de mitigação inicial parecer possível, faça uma imagem do sistema e capture a memória de uma amostra dos dispositivos afetados. Além disso, colete todos os logs relevantes, bem como amostras de quaisquer binários de malware “precursor” e observáveis associados ou indicadores.
Nota: não destrua as evidências forenses e tome cuidado para preservar as evidências de natureza altamente volátil – ou de retenção limitada – para evitar perda ou adulteração.
3. Siga os requisitos de notificação conforme descrito em seu plano de resposta a incidentes cibernéticos. Considere:
• Se as informações pessoais armazenadas em nome de outras empresas forem roubadas, notifique essas empresas sobre a violação.
• Se a violação envolveu informações de identificação pessoal, notifique os indivíduos afetados para que eles possam tomar medidas para reduzir a chance de que suas informações sejam mal utilizadas. Diga às pessoas o tipo de informação exposta, recomende ações e forneça informações de contato relevantes.
• Se a violação envolveu informações de saúde eletrônicas, você deve notificar o CRM, Labortórios, Clínicas e profissionais da saúde envolvidos e, em alguns casos, a mídia. Consulte a Secretaria de Saúde de seu Município, Estado ou até mesmo Federal de acordo com o tamanho do ataque.
4. Denuncie o incidente à Delegacia de Ataques Cibernéticos da Polícia Civil ou Federal bem como outros órgãos pertinentes de acordo com seu negócio
ATENÇÃO: Desencorajamos fortemente o pagamento de um resgate à atacantes e criminosos. Pagando um resgate, você pode encorajar os adversários a visar organizações adicionais, encorajar outros atores criminosos a se envolver na distribuição de ransomware e/ou pode também financiar e facilitar outras atividades ilícitas. Pagar o resgate também não garante, de forma alguma; que os arquivos impactados pelo ataque serão recuperados.
REFERÊNCIAS E DICAS ADICIONAIS
- Para obter mais informações e recursos sobre proteção e resposta a ransomware, consulte Stop Ransomware | CISA
- MS-ISAC: Ransomware: As tendências de extração de dados e extorsão dupla (Ransomware: The Data Exfiltration and Double Extortion Trends (cisecurity.org))
- Segurança cibernética para pequenas empresas (Cybersecurity for Small Business | Federal Trade Commission (ftc.gov))
Fonte: Alexandre Armellini | Cipher LATAM Red-Team Coordinator
0 Comments