Os ransomware’s combinam com as defesas cibernéticas automatizadas

ramsonware

Um ponto positivo dos hackers, se é que podemos chamar assim, é que, mesmo sob ataque sua empresa ainda consegue trabalhar e gerar receita. Já os responsáveis por ataques de ransomware não são tão “bonzinhos”. O malware utilizado por eles bloqueia sistemas e impede que as empresas operem normalmente, causando ainda mais prejuízos.

E os ataques não param. Em 2019, houve um aumento de 500% em relação ao ano anterior e as vítimas incluem mais de 700 empresas de saúde, 100 agências governamentais e 80 universidades e faculdades. Uma empresa norueguesa, do setor de alumínio, sofreu um ataque maciço que criptografou arquivos de mais 20 mil computadores no começo de 2020.

Infectado pelo LockerGoga, o sistema da empresa foi interrompido e seus 35 mil funcionários tiveram que trabalhar manualmente. Em outras palavras, uma indústria do século 21 teve que trabalhar como se estivesse no século 19.

Há alguns anos, porém, as gangues cibernéticas atuavam em uma escala muito menor. No início, eles pensavam em invadir redes WiFi mal protegidas para roubar números de cartões de crédito para vendê-los na Darkweb. Hoje, a gangue por trás do Sodinokibi, uma variedade devastadora de ransomware, infecta empresas em escala mundial. Eles trabalham de maneira corporativa e ganham dinheiro com um modelo de ransomware como serviço. A “empresa” recebe uma parcela do valor dos resgates, em Bitcoin, de cada golpe efetuado por seus “afiliados”, ladrões menores que iniciam uma infecção real.

Eles mantêm, até um call center 24 horas por dia, 7 dias por semana, para lidar com dúvidas das vítimas. Embora boa parte dos pagamentos envolvam valores pequenos, acredita-se que esses “afiliados” consigam gerar cerca de 1 bilhão de dólares em receita. Além disso, assim que a carga útil do ransomware estiver no sistema – normalmente após um e-mail de phishing ou ataque de força bruta – os criminosos podem esperar tranquilos, o Sodinokibi é completamente automatizado.

O Sodinokibi busca por vulnerabilidades conhecidas e que ainda não foram corrigidas para explorar privilégios de nível superior. Em seguida, gera suas próprias chaves e criptografa todos os arquivos encontrados localmente e na rede, explorando completamente os recursos de vários threads dos núcleos do processador para acelerar o ataque. Depois que o pedido de resgate é exibido nos computadores dos usuários, a “empresa” está pronta para processar os pagamentos.

Lutando contra ataques automatizados


E ainda há mais notícias desanimadoras. As defesas são insuficientes, os dados corporativos continuam a crescer, e a TI, com frequência, tem uma mentalidade pré-industrial quando se trata de abordar esses criminosos. Os ladrões cibernéticos do século 21 contam com orçamentos de pesquisa e desenvolvimento próprios, e estão sempre aprimorando o seu “produto”, tornando-o mais rápido, furtivo e inteligente em relação às defesas.

A TI precisa ficar mais eficiente ao detectar e-mails de phishing, melhorar a segurança de senhas e educar os funcionários sobre ataques de engenharia social. Embora seja importante dificultar a obtenção de um ponto de apoio para o ransomware, ele não trata do problema principal de gerenciar permissões de arquivo fracas ou excessivas que tornam possível para o ransomware criptografar grandes segmentos do sistema de arquivos.

Nossas pesquisas de segurança de dados mostram que as empresas têm quase 1,5 milhão de arquivos por terabyte (TB) de dados. Desses, mais de 350 mil arquivos têm acesso global, disponível para qualquer pessoa na rede, incluindo invasores. Em outras palavras, um ataque de ransomware pode não precisar ter permissões elevadas para ter sucesso.

A TI enfrenta um enorme desafio de configurar permissões de arquivo adequadas em sistemas com vários terabytes de informações. O primeiro passo é implementar práticas automatizadas de governança de dados: software para varrer sistemas de arquivos com eficiência, determinar padrões de acesso dos funcionários e definir permissões que limitam o acesso apenas para realmente precisa.

O Varonis Data Classification Engine ajuda a TI a combater os criminosos cibernéticos. Ele automatiza o processo de localização de dados confidenciais ocultos no seu sistema de arquivos.

Além disso, a solução classifica dados corporativos para encontrar informações confidenciais e bloquear esses arquivos com permissões especiais restritas a muitos poucos funcionários. Novamente, em milhões de arquivos, isso não pode ser realizado manualmente ou por meio de ferramentas de TI domésticas.

Detectar furtividade requer automação e inteligência de máquina


Implementar uma boa governança de dados por meio de técnicas automatizadas limita o risco total quando um incidente acontece. No entanto, é preciso detectar e tentar interromper um ataque antes que ele avance.

Infelizmente, o malware moderno é projetado para ser difícil de ser detectado por meio de técnicas convencionais, como um antivírus. Um dos motivos é que o malware tira proveito de falhas do Windows, principalmente do PowerShell e de outros utilitários padrão. Assim, para a TI, o malware pode parecer um usuário comum, executando scripts comuns quando, na verdade, está desativando as defesas, pesquisando dados e os roubando.

Como identificar esse malware? Automatizando a detecção de ameaças e encontrando o ransomware antes que ele possa invadir e bloquear o sistema. É necessário usar técnicas avançadas, que coincidem com a inteligência dos invasores. Por exemplo, não adianta buscar por assinaturas óbvias no próprio malware, mas se concentrar no que ele faz.

No caso do ransomware, por exemplo, podemos esperar leituras e gravações rápidas de arquivos em um diretório, entre outras atividades incomuns. Usando técnicas de aprendizado de máquina para treinar softwares, as empresas têm uma abordagem muito mais rápida e confiável para descobrir malwares, mantendo ao mínimo os falsos positivos.

O caminho da segurança à frente


Encontrar dados confidenciais em milhões de arquivos, ajustar permissões e monitorar ameaças está além dos recursos da maioria das equipes de TI, a menos que tenham ajuda significativa da automação. Isso não significa que a intervenção humana não seja necessária. Modernas ferramentas de segurança baseadas em IA podem exibir informações de segurança por meio de painéis para que os profissionais de segurança analisem o alerta.

A IA permite que as equipes de TI se concentrem nas áreas em que suas decisões fazem a diferença, enquanto filtram e lidam com ameaças que se encaixam mais facilmente em padrões bem compreendidos que podem ser gerenciados por meio da automação. Deseja saber mais? Solicite uma demonstração ao vivo com um engenheiro comercial Varonis.