Em uma pesquisa com 5.000 gerentes de TI distribuídos em 26 países, 51% dos respondentes disseram ter sido atingidos por ransomwares no ano passado. Em 73% desses incidentes, os criminosos tiveram êxito na criptografia dos dados. E mais: o custo médio global para remediar os ataques foram estonteantes US$ 761.106,00.
Um dos métodos mais eficazes de proteção contra ataques de ransomware é através de uma solução de proteção de endpoint configurada de modo apropriado. Neste documento técnico, discutiremos como os ataques de ransomware funcionam, como podem ser detidos e as melhores práticas para configurar sua solução de endpoint para que lhe ofereça a melhor proteção possível.
Como os ataques de ransomware são lançados
Nos últimos anos, constatou-se uma tendência à diminuição de ataques de ransomware de força bruta e em larga escala, e ao aumento de ataques concentrados, planejados e executados manualmente, os quais são muito mais difíceis de ser detectados e bloqueados. Vejamos como as diferentes formas de ransomware operam e o que sua organização deve fazer para minimizar sua vulnerabilidade a um ataque.
Ataques direcionados de ransomware
Ataques de ransomware são bastante manuais, normalmente focam em uma única vítima por vez e frequentemente demandam resgates de altíssimo valor. Os invasores acessam a rede e se movem lateralmente em seu espaço interno, identificando os grandes sistemas de valor durante o processo. Com o intuito de afetar o máximo possível de sistemas simultaneamente, esses ataques são frequentemente lançados nos piores momentos possíveis para combatê-los: à noite, nos fins de semana e nos feriados. Eles também se utilizam de várias técnicas de ataque para escapar dos recursos de proteção em camadas, o que os torna particularmente eficientes. Um típico ataque direcionado de ransomware apresenta uma estrutura semelhante a esta
As consequências de ser uma vítima desses ataques podem ser graves. Os hackers estão ficando mais ousados, chegando a exigir pagamentos na casa dos seis dígitos. Nossa pesquisa também revelou que pagar um resgate na verdade duplica o custo da negociação, chegando ao cúmulo dos US$ 1,4 milhão de dólares em média globalmente.
Remote Desktop Protocol ou Ransomware Deployment Protocol?
O protocolo RDP (Remote Desktop Protocol) e outras ferramentas de compartilhamento de área de trabalho, como VNC (Virtual Network Computing), são recursos legítimos e altamente úteis que permitem aos administradores acessar e gerenciar sistemas remotamente. Infelizmente, sem proteções adequadas, essas ferramentas também oferecem uma via de acesso conveniente para os invasores e são comumente exploradas por ransomware direcionado.
Não proteger adequadamente o RDP e outros protocolos de gerenciamento remoto semelhantes por trás de uma rede virtual privada (VPN) ou ao menos restringir quais endereços IP podem se conectar através do RDP pode deixar você totalmente aberto a ataques. Geralmente os invasores usam ferramentas de hacking de força bruta que tentam centenas de milhares de combinações de nome de usuário e senha até encontrarem a correta e comprometerem sua rede.
Práticas gerais para ficar protegido contra ransomware
Manter-se seguro contra ransomware não é só apenas ter as mais modernas soluções de segurança. As boas práticas de segurança em TI, incluindo treinamento regular para os funcionários, são componentes essenciais em toda e qualquer configuração de segurança.
Assegure-se de que estas 10 práticas sejam seguidas:
1. Aplique os patches cedo, e sempre, em geral, o malware se embrenha nas falhas de segurança em aplicativos populares. Quanto mais cedo você instalar patches em seus endpoints, servidores, dispositivos móveis e aplicativos, menos vulnerabilidades haverá para explorar.
2. Faça backups regulares e mantenha cópias recentes offline e contingentes, 56% dos gerentes que tiveram seus dados criptografados conseguiram reavê-los através de backups. Criptografe seus dados de backup e mantenha-os em uma localidade externa, assim você não precisará se preocupar com a possibilidade de seus backups na nuvem ou em dispositivos de armazenamento caírem em mãos erradas. Além disso, implemente um plano de recuperação de desastre que cubra a restauração de dados.
3. Habilite extensões de arquivo No Windows, a configuração padrão oculta a extensão dos arquivos, ou seja, você tem que confiar nas miniaturas e ícones dos arquivos para identificá-los. Habilitar extensões facilita imensamente distinguir entre os tipos de arquivo que, normalmente, não seriam enviados a você nem a seus usuários, como arquivos JavaScript.
4. Abra arquivos JavaScript (.JS) em Notepad, abrir um arquivo JavaScript em Notepad impede a execução de scripts mal-intencionados e permite que você examine o conteúdo do arquivo.
5. Não habilite macros em anexos de documentos recebidos por e-mail, como medida de segurança, há muitos anos a Microsoft deliberadamente desativou o padrão de execução automática de macros. Muitas das infecções contam com a sua propensão a reativar a execução automática de macros, portanto não faça isso!
6. Fique atento aos anexos não solicitados, os criminosos virtuais se atêm a um dilema já consagrado: você só deve abrir um documento uma vez que tenha certeza de que ele é legítimo, mas você não tem como saber se ele é malicioso até que o abra. No caso de dúvida, deixe o arquivo de lado.
7. Monitore os direitos de administrador Examine, constantemente os direitos de admin locais e no domínio. Saiba quem os têm e remova-os daqueles que não necessitam deles. Não fique conectado usando suas credenciais de login de administrador por mais tempo do que o necessário, e evite navegar, abrir documentos e outras atividades rotineiras de trabalho enquanto estiver conectado usando direitos de admin.
8. Mantenha-se atualizado com os novos recursos de segurança em seus aplicativos de negócios, por exemplo, o Office 2016 inclui agora um controle chamado “Bloquear macros impedindo sua execução em arquivos do Office da Internet”, que o ajuda a se proteger contra um conteúdo externo malicioso sem impedir o uso de macros internamente.
9. Regularize o acesso a redes externas, não abra suas portas para o mundo. Bloqueie o acesso RDP na sua organização e outros protocolos de gerenciamento remoto. Use também autenticação de dois fatores e assegure que seus usuários remotos façam a autenticação por VPN.
10. Use senhas fortes Soa banal, mas não é, uma senha fraca e previsível pode dar aos hackers o acesso a toda a sua rede em questão de segundos. Recomendamos que você exija que sejam impessoais, com 12 caracteres no mínimo, usando um misto de maiúsculas e minúsculas e que incluam um caractere especial para dar um último toque: Bem.De5SEJei1o!
Melhores práticas para a sua solução de proteção de endpoint Acompanhado de um firewall next-gen, um dos métodos mais eficazes de proteção contra ataques de ransomware é utilizar uma solução de proteção de endpoint. Contudo, sua solução precisa ser configurada corretamente para proporcionar a proteção certa.
Apesar de ser uma ameaça cibernética perene, o ransomware continuará simplesmente evoluindo. Ainda que nunca sejamos capazes de erradicar os ransomwares completamente, seguir as melhores práticas de proteção de endpoint descritas neste documento dará à sua organização as melhores chances de se manter protegida contra ameaças recentes.
Em resumo:
1. Ative todas as políticas e assegure que todos os recursos estejam habilitados
2.Revise regularmente suas exclusões
3.Ative MFA no painel de segurança
4.Certifique-se de que seus endpoints estejam protegidos e atualizados
5. Mantenha a higiene de TI
6.Saia no encalço de possíveis ameaças na sua rede
7. Feche a lacuna com a intervenção humana: lembre-se, o ransomware é só o fim do jogo
E conte comigo https://www.antoniofernandes.com.br/contato Para colaborar em aumentar o nível de maturidade da segurança de sua organização.
.
Comments