Cinco recomendações para enfrentar os crescentes ataques de Clop Ransomware 

Compartilhar:

De acordo com os especialistas da Lumu, ressurgimento da ameaça tem preocupado organizações de todo o mundo

Ativo desde o começo de 2019, o Clop Ransomware nasceu com foco na criptografia de arquivos individuais. Com o tempo, o ataque passou a mirar empresas e redes inteiras, com novos recursos capazes de exfiltrar dados de grandes corporações em todo o mundo, inclusive na América Latina.

Mesmo com diversas tentativas de remoção, a ameaça sobreviveu e tem ressurgido com frequência neste ano – supostamente 130 organizações foram violadas somente em fevereiro. De acordo com especialistas da Lumu Technologies, a tendência é que as invasões do tipo continuem a ocorrer. 

“Isso porque o Clop tem sido um dos ransomware como serviço (RaaS) mais ativos nos últimos anos, visando quase qualquer tipo de organização. Ele foi conectado a ataques que afetam organizações públicas e privadas de diferentes setores, como manufatura, saúde, educação e energia. Ou seja, é muito versátil”, pontua German Patiño, vice-presidente de vendas da Lumu Technologies para América Latina. 

“Apenas para dar uma noção da escala do impacto, nossa equipe de inteligência de ameaças descobriu que, no final de março, o buscador Shodan mostrava 1.264 instâncias do software de transferência de arquivos GoAnywhere expostas à internet – embora nem todas sejam vulneráveis, elas são visíveis para os invasores”, completa Patiño. 

De acordo com o executivo, entre os fatores que potencializam a ameaça do Clop Ransomware estão sua aparência legítima, a capacidade de eliminar processos e criptografia, o fato de desativar recursos de reparo do Windows para que o sistema não possa ser facilmente restaurado, além de oferecer risco de extorsão dupla e se movimentar lateralmente pelas redes das organizações atingidas. 

Entre as principais iniciativas que podem ser tomadas a fim de mitigar o ataque, os especialistas da Lumu destacam:

1) Manter os sistemas atualizados: as atualizações para Windows devem ser aplicadas o mais rápido possível para evitar qualquer tipo de comprometimento do sistema. 

2) Procurar intencionalmente por conexões com servidor de comando e controle [C&C]: depois de fechar a porta publicamente conhecida para os invasores, é importante detectar se eles conseguiram entrar na organização. A melhor maneira de fazer isso é intencionalmente, por meio da análise dos metadados da rede.

3) Ficar atento aos movimentos laterais: caso os atacantes estejam dentro da organização, eles vão tentar se espalhar pela rede, infectando o máximo de endpoints que puderem. Desta forma, é fundamental ter visibilidade desse comportamento anômalo.

4) Atualizar as credenciais de acesso: como o objetivo final dos invasores é controlar o console do administrador, eles sempre tentam comprometer as credenciais de acesso, por isso é preciso evitar o risco de ter qualquer um dos painéis de administração – qualquer que seja o sistema integrado – acessíveis aos adversários.

5) Limitar a superfície de ataque: o que deve ser feito por meio da implementação de controles de mitigação de riscos e inspeção de qualquer instalação recente de aplicativos aparentemente legítimos. É importante ter atenção à criação de usuários incomuns e à eventual desativação do sistema de servidor de licenciamento integrado.


Conteúdos Relacionados

Security Report | Overview

AI Act: Quais novos padrões globais podem ser definidos com a lei europeia?

Lei de IA da União Europeia sinaliza tendência regulatória que pode impactar o Brasil e outros países
Security Report | Overview

Identidade comprometida responde por 90% do acesso inicial à infraestrutura crítica

Relatório da Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) reforça fragilidade da gestão e da segurança em...
Security Report | Overview

Aurora Coop otimiza cibersegurança em 30% com projeto de resposta a incidentes

Empresa colhe os frutos da adoção bem-sucedida de tecnologia da CrowdStrike, que aprimorou a visibilidade do ambiente e o tempo...
Security Report | Overview

Gartner: 75% das empresas vão priorizar backup de aplicativos SaaS até 2028

Risco de interrupções de TI destaca a necessidade de cópia e de sistemas contínuos de recuperação de dados críticos empresariai