Como se prevenir contra ataques de ransomware: 10 dicas avançadas

Ransomware é um tipo de malware que bloqueia o acesso a arquivos importantes ou ao seu dispositivo até que um resgate seja pago. Geralmente, um ataque de ransomware é conduzido por meio de engenharia social, como um ataque de phishing, que convence a vítima a clicar em um anexo malicioso em um e-mail. O anexo malicioso baixa o ransomware no dispositivo e criptografa os arquivos da vítima.

A CrowdStrike escreveu sobre uma série de controles e práticas de segurança muito eficazes que podem ser implementados para reduzir drasticamente o risco de uma infecção por ransomware.

Quais são as 10 dicas avançadas para evitar ransomware?

As dicas a seguir são baseadas em tudo que a CrowdStrike descobriu para prevenir e combater ransomware com sucesso:

1. Pratique uma boa higiene de TI
2. Aumente a resiliência de aplicações voltadas para a internet
3. Implemente e aprimore a segurança de e-mail
4. InfraestruturaEndurecimento de endpoints
5. Dados à prova de ransomware com backups off-line
6. Restrinja o acesso à infraestrutura de gestão de virtualização
7. Implemente arquitetura Zero Trust
8. Desenvolva e teste sob pressão um plano de resposta a incidentes (IR)
9. Implemente um programa abrangente de treinamento em cibersegurança
10. Saiba quando pedir ajuda

1. Pratique uma boa higiene de TI

Minimizar a área de ataque é essencial para todas as organizações — é crucial que você tenha visibilidade de cada endpoint e workload em execução no seu ambiente e mantenha todas as áreas vulneráveis a ataques atualizadas e protegidas.

O principal benefício da higiene de TI é oferecer total transparência à rede. Essa perspectiva proporciona uma visão ampla e o poder de analisar detalhadamente e limpar seu ambiente de forma proativa. Quando você atinge esse nível de transparência, a compreensão de “quem, o quê e onde” que a higiene de TI proporciona traz enormes benefícios para sua organização.

2. Aumente a resiliência de aplicações voltadas para a internet

A CrowdStrike observou que atores de ameaças de e-crimes exploram a autenticação de fator único e aplicações voltadas para a Internet não corrigidas. BOSS SPIDER, um dos primeiros atores de ameaças de ransomware de Big Game Hunting (BGH) que rotineiramente visava sistemas com Protocolo RDP (Remote Desktop Protocol) acessíveis pela Internet. Atores de ameaças menos sofisticados que operam variantes de ransomware, como Dharma, Phobos e GlobeImposter, frequentemente obtêm acesso por meio de ataque de força bruta RDP.

3. Implementar e aprimorar a segurança de e-mail

Obter uma base de apoio inicial em uma organização vítima por meio de um e-mail de phishing é a tática mais comum para grupos que utilizam ransomware de Big Game Hunting (BGH). Em geral, tais e-mails suspeitos contêm um link malicioso ou URL que entrega a payload do ransomware à estação de trabalho do destinatário.

A CrowdStrike recomenda implementar uma solução de segurança de e-mail que execute filtragem de URL e sandbox de anexos. Para agilizar esses esforços, uma capacidade de resposta automatizada pode ser usada para permitir a quarentena retroativa de e-mails entregues antes que o usuário interaja com eles. Além disso, as organizações podem querer impedir que os usuários recebam arquivos zip protegidos por senha, executáveis, javascripts ou arquivos de pacotes do instalador do Windows, a menos que haja uma necessidade comercial legítima. Adicionar uma tag “[Externa]” aos e-mails que venham de fora da organização e uma mensagem de aviso na parte superior do corpo do e-mail pode ajudar a lembrar os usuários de usar discrição ao lidar com esses e-mails.

4. Endureça endpoints

Em todo o ciclo de vida de um ataque que culmina com a implantação de um ransomware, os atores de ameaças geralmente utilizam várias técnicas de exploração de endpoints. Essas técnicas de exploração variam desde a exploração de configurações fracas do AD até a utilização de explorações disponíveis publicamente contra sistemas ou aplicações não corrigidas.

A lista abaixo inclui algumas ações importantes de reforço do sistema para os defensores implementarem. É importante observar que não se trata de uma lista exaustiva e que o reforço do sistema deve ser um processo iterativo.

• Garanta cobertura total em todos os endpoints da sua rede para produtos de segurança de endpoint e para a plataforma de EDR (Endpoint Detection and Response, Detecção e Resposta de Endpoint). Cada plataforma de segurança de endpoint deve ter proteções rigorosas contra adulteração e alertas implementados caso um sensor fique off-line ou seja desinstalado.
• Desenvolva um programa de gerenciamento de correções e vulnerabilidades. Ao fazer isso, você garantirá que todas as aplicações de endpoint e todos os sistemas operacionais sejam mantidos atualizados. Atores de ransomware aproveitam as vulnerabilidades de endpoint para muitos propósitos, incluindo, entre outros, elevação de privilégios e movimento lateral. Os clientes Falcon atuais podem aproveitar o gerenciamento de vulnerabilidades do CrowdStrike Falcon Spotlight™ para obter uma maneira quase em tempo real de entender a exposição a uma vulnerabilidade específica em todo o ambiente, sem a necessidade de implementar agentes e ferramentas de segurança adicionais.
• Siga as melhores práticas de segurança do Active Directory com base em algumas das falhas mais comuns do AD observadas pelos Serviços CrowdStrike durante ataques de ransomware.

5. Dados à prova de ransomware com backups off-line

Nos últimos anos, e desde o surgimento do ransomware como um dos principais métodos de monetização de ataques, os desenvolvedores por trás de códigos maliciosos se tornaram muito eficazes em garantir que vítimas e pesquisadores de segurança não consigam descriptografar dados afetados sem pagar o resgate pela chave de descriptografia. Além disso, ao desenvolver uma infraestrutura de backup à prova de ransomware, a ideia mais importante a considerar é se os atores de ameaças visaram backups on-line antes de implementar o ransomware no ambiente.

Por essas razões, a única maneira segura de recuperar dados durante um ataque de ransomware é por meio de backups à prova de ransomware. Por exemplo, manter backups off-line de seus dados permite uma recuperação mais rápida em emergências. Os seguintes pontos devem ser considerados ao desenvolver uma infraestrutura de backup off-line à prova de ransomware:

• Os backups off-line, bem como os índices (que descrevem quais volumes contêm quais dados) devem ser mantidos completamente separados do restante da infraestrutura.
• O acesso a essas redes deve ser controlado por meio de listas de controle de acesso (ACLs) rigorosas, e todas as autenticações devem ser realizadas usando autenticação multifatorial (MFA).
• Administradores com acesso a infraestruturas off-line e on-line devem evitar reutilizar senhas de contas e usar um jump box ao acessar a infraestrutura de backup off-line.
• Os serviços de armazenamento em nuvem, com ACLs e regras rígidas, também podem servir como infraestrutura de backup off-line.
• Situações de emergência, como um ataque de ransomware, devem ser o único momento em que a infraestrutura off-line pode se conectar à rede ativa.

6. Restrinja o acesso à infraestrutura de gerenciamento de virtualização

Como mencionado anteriormente, os atores de ameaças envolvidos em campanhas de ransomware de Big Game Hunting (BGH) estão continuamente inovando para aumentar a eficácia de seus ataques. O acontecimento mais recente inclui a possibilidade de atacar infraestruturas virtualizadas diretamente. Essa abordagem permite atacar hipervisores que implementam e armazenam máquinas virtuais (VMDK). Como resultado disso, os produtos de segurança de endpoint instalados nas máquinas virtualizadas ficam cegos para as ações mal-intencionadas realizadas no hipervisor.

7. Implemente uma arquitetura Zero Trust robusta

Organizações podem melhorar suas posturas de segurança implementando uma arquitetura Zero Trust robusta. Ao habilitar um modelo de segurança Zero Trust, usuários dentro e fora da organização precisam ser autenticados e autorizados antes de receber acesso à sua rede e dados. Como parte da arquitetura, você pode implementar um programa  de gerenciamento de acesso de identidade (IAM). Isso permite que as equipes de TI controlem o acesso a todos os sistemas e aplicações com base na identidade de cada usuário.

Há diversas  ferramentas de proteção de identidade que ajudam a entender a higiene do armazenamento de identidades no local e na nuvem (por exemplo, Active Directory, Entra ID). Verifique lacunas e analise comportamentos e desvios para cada conta de força de trabalho (usuários humanos, contas privilegiadas, contas de serviço), detecte movimento lateral e implemente acesso condicional baseado em risco para detectar e interromper ameaças de ransomware.

8. Desenvolva e teste sob pressão um plano de resposta a incidentes (IR)

As organizações às vezes tomam conhecimento da atividade de atores de ameaças em seu ambiente, mas não têm a visibilidade necessária para abordar o problema ou a inteligência necessária para entender a natureza da ameaça. Reconhecer a ameaça e responder de forma rápida e eficaz pode ser a diferença entre um incidente grave e escapar por pouco.

Os planos de resposta a incidentes (IR) e os playbooks ajudam a facilitar essa tomada rápida de decisões. Os planos devem cobrir todas as partes das ações de resposta, em toda a organização. Para a equipe de segurança, eles devem fornecer auxílios para a tomada de decisões, para que a equipe da linha de frente não deixe passar detalhes importantes durante a triagem dos alertas. Eles também devem descrever a extensão da autoridade da equipe de segurança para tomar ações decisivas — como encerrar serviços essenciais aos negócios — caso um ataque de ransomware pareça iminente.

9. Implemente um programa abrangente de treinamento em cibersegurança

Uma das principais ideias por trás da instalação de um programa abrangente de treinamento em cibersegurança em sua organização é proteger contra ciberameaças como ransomware. Funcionários deverão adotar uma abordagem proativa ao executar tarefas de rotina, como verificar um e-mail em busca de uma tentativa de phishing ou usar VPN ao efetuar login na rede da organização a partir de um Wi-Fi público. O programa de treinamento também deve incluir uma lista de políticas relacionadas à cibersegurança e demonstrar que é essencial que todas as partes interessadas as sigam.

10. Saiba quando pedir ajuda

Caso você acredite que sua organização possa ter sido afetada por um ransomware, entrar em contato com especialistas para ajudar a investigar, entender e melhorar a situação pode fazer a diferença entre um pequeno incidente e um grande ataque. Em alguns casos, as organizações tomam conhecimento da atividade de atores de ameaças em seu ambiente, mas podem não ter a visibilidade necessária para abordar o problema ou as informações necessárias para entender a natureza da ameaça. Informar-se sobre as ameaças mais recentes e buscar ajuda ativando uma equipe de resposta a incidentes (IR) ou um agente de retenção, como os oferecidos pelos Serviços CrowdStrike, pode permitir a detecção e a remediação antes que o ator de ameaças consiga implementar o ransomware ou exfiltrar dados do ambiente.

É melhor buscar ajuda especializada antes que você realmente precise dela. Uma avaliação técnica pode ajudar a identificar e entender proativamente fatores sobre a rede da sua organização que podem tornar incidentes futuros de ransomware mais ou menos prováveis. Ela pode assumir diferentes formas, dependendo de suas necessidades atuais e níveis de segurança. Por exemplo, se você se deparar com uma invasão que foi limitada a um segmento de rede específico ou a uma unidade de negócios específica, uma avaliação de comprometimento em toda a empresa poderá dar confiança de que o invasor não entrou em partes do ambiente que estavam além do escopo da investigação inicial. Alternativamente, uma avaliação de higiene de TI pode identificar senhas fracas, configurações do Active Directory ou correções perdidas que podem abrir a porta para o próximo invasor.