Ransomware – Ainda forte e sem um final à vista
A prevenção de ataques de ransomware é uma prioridade para todos, de administradores de TI, passando por diretores de segurança da informação (CISOs), CEOs à governos. Além disso, embora não seja um problema novo, uma série implacável de ataques de ransomware bem-sucedidos e devastadores chamou a atenção do mundo para eles. Simultaneamente, os agentes das ameaças tornam-se mais sofisticados diariamente, tornando mais fundamental do que nunca para as empresas desenvolver uma estratégia abrangente de prevenção e proteção — antes que danos irreparáveis sejam causados.
Em março de 2021, um ataque de ransomware no sistema de Escolas Públicas de Buffalo, em Nova York, derrubou todo o distrito escolar por uma semana. Naquele mês, um fabricante de PCs sediado em Taiwan também foi atacado e um resgate de US$ 50 milhões foi pedido pelos invasores. A CNA, uma das maiores seguradoras dos EUA, foi atingida por um ataque de ransomware e, de acordo com a Bloomberg, pagou um resgate de US$ 40 milhões aos perpetradores. Os Serviços de Saúde Pública da Irlanda desligaram os seus sistemas de TI como resultado de um ataque de ransomware, causando uma grande paralisação nos seus serviços de saúde. Essa tendência persistiu, com o ataque à Colonial Pipeline que interrompeu o fornecimento de combustível para grande parte da Costa Leste dos EUA por vários dias, e à JBS, um grande fabricante de carne bovina dos EUA, que paralisou as operações por alguns dias. A lista continua.
Em resposta a esse aumento sem precedentes nos ataques de ransomware, o governo dos EUA emitiu uma Ordem Executiva para melhorar a segurança cibernética da nação e uma força-tarefa interagências está sendo montada para desenvolver uma resposta abrangente aos ataques desenfreados de ransomware às empresas e ao governo dos EUA. A resposta inclui o desenvolvimento de capacidades para identificar, impedir, proteger, detectar e responder a ataques de ransomware. As contramedidas incluem táticas como interromper ativamente as operações criminosas cibernéticas responsáveis pelos ataques de ransomware, abordar o uso de criptomoedas para pagar resgates e exigir melhores abordagens de segurança para impedir ataques, incluindo a adoção da Arquitetura de Confiança Zero.
Como os invasores obtêm acesso inicial
Para evitar um ataque de ransomware e a maioria dos demais ataques de malware, os defensores devem evitar as tentativas dos invasores de estabelecer uma posição na rede. Dessa forma, a prevenção, detecção e remediação de segurança de terminais torna-se uma estratégia crucial.
De maneira geral, os invasores geralmente usam uma das duas táticas a seguir para obter acesso inicial a uma rede:
1) Explorar uma vulnerabilidade na rede da vítima com sucesso: Explorar uma vulnerabilidade significa encontrar um defeito ou bug de software que possa ser manipulado para implementar um código malicioso ou descobrir uma configuração incorreta que dará a um invasor um ponto de entrada para implementar o código. Essas vulnerabilidades podem ocorrer por meio da configuração incorreta de recursos de nuvem, por exemplo, ou por meio de dependências de terceiros, o que pode levar ao comprometimento de um ataque da cadeia de suprimentos.
2) Obter acesso não autorizado a uma conta válida: O acesso não autorizado a uma conta válida é obtido ao roubar as credenciais para uma conta de usuário por meio de engenharia social.
Defensores sobrecarregados com pacotes de segurança legados e estratégias do passado estão tendo dificuldades para manter seus dados seguros em um mundo onde os ataques de ransomware estão se proliferando por meio de uma acessibilidade mais fácil. Sem mudar sua abordagem, invasores engenhosos continuarão identificando vulnerabilidades para explorar e usuários para enganar.
Prevenindo o comprometimento por meio de uma abordagem em várias camadas
A proteção de identidades e de terminais baseada em IA de última geração oferece uma solução melhor contra ransomware. As soluções tradicionais da geração anterior, como autenticação baseada em senha ou proteção de terminais baseada em assinaturas de antivírus, apresentam sérias deficiências na interrupção do ransomware moderno. Como o objetivo da prevenção é impedir a infiltração inicial, vamos analisar especificamente como essas soluções de segurança modernas podem oferecer novas armas na luta contra o ransomware.
Tática Nº 1: Implementar uma autenticação de usuário resistente a ataques
Muitos ataques de ransomware bem-sucedidos obtêm sua base inicial na rede da vítima decifrando ou roubando credenciais pertencentes a uma conta válida. Para evitar isso com eficiência, credenciais de autenticação de usuário robustas são necessárias — credenciais difíceis de adivinhar, quebrar ou roubar.
No ataque bem-sucedido no início deste ano à Colonial Pipeline, por exemplo, o acesso a uma conta válida forneceu acesso inicial aos invasores. Da mesma forma, o ponto de entrada do ataque para o MAZE e outros tipos de ransomware operados por humanos geralmente é uma senha roubada para um sistema voltado para a Internet acessado por RDP ou efetuando o login em uma conta do portal web Citrix com uma senha fraca.
As abordagens tradicionais de autenticação multifator (MFA) ajudam a resolver as vulnerabilidades de segurança inerentes às senhas, mas ainda dependem fundamentalmente de algo que um usuário humano deve lembrar e saber, e as abordagens baseadas em telefone não são totalmente seguras. Ainda mais importante, a segurança adicional da MFA surge com custos significativos para possuir e operar a solução, causando uma ansiedade significativa ao usuário.
A MFA sem senha evita o roubo de credenciais e impossibilita a adivinhação de senhas para os invasores. A MFA sem senha utiliza vários fatores de autenticação, mas exclui as senhas tradicionais. Os fatores de autenticação mais usados para MFA sem senha são o dispositivo móvel registrado do usuário, juntamente com um PIN ou impressão digital do usuário por meio do sensor de impressão digital integrado do dispositivo. Ao eliminar a necessidade de senhas tradicionais, a segurança é aprimorada de maneira imediata e inerente, a experiência do usuário é simplificada e os custos são contidos.
Tática Nº 2. Detectar, colocar em quarentena e remover o ransomware imediatamente
Realisticamente, ter medidas preventivas em vigor não garante que os invasores nunca penetrem no perímetro e obtenham acesso ao dispositivo de um usuário. Sua próxima melhor linha de defesa é um mecanismo autônomo de proteção, detecção e resposta na velocidade da máquina que possa detectar e conter atividades suspeitas no nível do terminal – antes que qualquer perda de dados, perda financeira ou de investimento de tempo ocorra.
As soluções de detecção e resposta estendidas (XDR) modernas monitoram os processos locais em tempo real e analisam seus comportamentos em detalhes, possibilitando identificar códigos maliciosos com uma especificidade muito alta e tomar medidas de mitigação imediatas. Dessa forma, o ataque é interrompido quando começa — antes que os agentes das ameaças possam acessar seus alvos desejados — sejam executados da memória local ou remotamente.
Do ponto de vista técnico, as opções de mitigação variam – o sistema pode excluir a fonte do código, eliminar todos os processos relevantes, colocar arquivos suspeitos em quarentena ou desconectar completamente o terminal afetado da rede, dependendo das circunstâncias e das políticas organizacionais.
Interromper um ataque em andamento é o trabalho mais importante de qualquer solução de XDR, mas seu papel não para por aí. Após tomar medidas críticas para interromper um ataque em andamento, as equipes de TI e segurança devem obter uma visão forense detalhada, que inclui uma linha do tempo da atividade do malware, seu ponto de entrada e vetor de ataque e uma lista de todos os arquivos e redes afetados. Os administradores podem então analisar o ataque para se preparar melhor para ameaças futuras e fornecer todos os dados relevantes a seus superiores, autoridades e seguradoras.
Tática Nº 3. Reverter as alterações do ransomware
O terceiro elemento dessa abordagem em várias camadas, e talvez o mais crucial para os afetados pelo ransomware, é a capacidade de voltar no tempo e restaurar todos os ativos e configurações para o seu estado original antes do ataque. Essa etapa crítica possibilita uma recuperação rápida e garante a continuidade completa dos negócios, independentemente da amplitude e profundidade do ataque.
Alguns tipos de malware anteriormente desconhecidos ou novas táticas de ataque podem não ser detectados e bloqueados automaticamente pelo componente de detecção. Portanto, desfazer suas ações é a única proteção que resta. Além disso, o perigo não se limita a arquivos criptografados ou excluídos. O malware também pode alterar as permissões de acesso e as configurações de segurança, que podem ser aproveitadas em ataques subsequentes.
Esses ataques de várias etapas são comumente utilizados por hackers visando redes corporativas e infraestrutura pública e representam uma ameaça particularmente perigosa. Nessas campanhas de longo prazo, a primeira etapa geralmente destina-se apenas a plantar as sementes, por assim dizer, visando facilitar a execução de ataques em datas específicas, como feriados ou eventos de negócios importantes. Dessa forma, os invasores surpreendem suas vítimas e capitalizam sua falta de preparação, deixando-os sem escolha a não ser pagar o valor total do resgate.
A reversão automática de todas as alterações executadas por códigos maliciosos ou suspeitos, por menores que sejam, oferece aos administradores uma rede de segurança, protegendo-os, bem como salvaguardando todo o domínio, das terríveis consequências de ataques cibernéticos bem-sucedidos.
Uma extensa pilha de segurança para prevenção de ransomware
Em resumo, o principal objetivo dos arquitetos de segurança cibernética e defensores das redes corporativas é a prevenção e, quando se trata de ransomware, a prevenção significa negar o acesso inicial a qualquer parte da empresa aos invasores. Uma estratégia abrangente inclui tornar a autenticação do usuário resistente a ataques, detectar e remover ameaças imediatamente e, finalmente, reverter todas as ações tomadas por invasores e seu malware em ataques indetectáveis.
