Grupos de ransomware usam ferramentas de Red Teaming contra empresas

Estatísticas indicam que nos primeiros meses de 2022 milhares de brasileiros foram vítimas de tentativas de ataques a partir dessas novas ferramentas

Compartilhar:

A Kaspersky bloqueou, de janeiro a maio de 2022, uma média de 11 mil ataques de ransomware por dia ao redor do mundo. No mapa de localização das tentativas de ataques, o Brasil está no segundo grupo (com 5.600 a 13 mil usúarios afetados) mais afetado, atrás apenas de Rússia e Irã. A análise mostra ainda que esses grupos especializados estão usando ferramentas como CobaltStrike, Metasploit e outras para realizar as infecções — programas usados pelos times de segurança (Red Teaming) para avaliar o nível de proteção da empresa.

 

Para entender melhor a relevância da informação, é importante saber que um ataque de ransomware tem algumas etapas. A primeira é o estudo da vítima (potencial em pagar o resgate e o valor potencial para ele) e a entrada do criminoso na rede corporativa da vítima — além do reconhecimento do “terreno” (localização dos ativos — informações confidenciais).

Depois, o cibercriminoso se move na rede, buscando garantir permissões de administrador para realizar o roubo dos dados e poder executar o comando de bloqueio de maneira automatizada em todas as máquinas. Após a conclusão da copia dos dados, é feito o bloqueio das informações na rede da vítima — o que paraliza a operação da organização — e a mensagem de resgate é apresentada.

A novidade nesse processo é que os grupos especializados em ransomware estão usando os própios programas de red teaming das vítimas para garantir os acessos privilegiados e realizar o roubo das informações. Os Red Teaming são funcionários da empresa que trabalham na área de segurança e tem a função de avaliar a eficácia da segurança corporativa, realizando tentativas de invasão para isso, como testes de penetração (pentesters).

“O uso dessas ferramentas em ataques cibernéticos é uma tendência, pois a atividade maliciosa não é detectada por algumas soluções de segurança. O fato de programas de invasão pertencerem a empresa-vítima apenas adiciona maior complexidade ao ataque, pois é possível interpretar uma atividade como um “teste prático”. Esse detalhe mostra que uma segurança de qualidade é muito mais que a instalação de um programa. É necessário unir esforços humanos e ter processos claros para garantir que uma atividade maliciosa difarçada com certa legitimidade não será um risco para a operação das empresas”, explica Fabio Assolini, diretor da Equipe de Pesquisa e Análise da Kaspersky na América Latina.

Para evitar este tipo de ataque, os especialistas da Kaspersky oferecem as seguintes recomendações:

 

• Ransomware não deve ser medido pelo número de ataques, mas pelo impacto que causa. Ao trabalhar em um modelo de ameaça, esse é o principal fator a ser considerado, e não a probabilidade de ser atacado;

 

• Para criar um modelo de proteção eficaz, é necessário focar nos estágios de detecção precoce. Por exemplo, a exploração de vulnerabilidades de rede, movimentos laterais e exfiltração de dados;

 

• Recomenda-se que todos possam trabalhar em diferentes PlayBooks ou ter um plano de ação ou estratégia para cada operador de Ransomware;

 

• Por fim, os exercícios de Purple Teaming, (metodologia em que as equipes de ataque (Red Team) e defesa (Blue Team) de uma empresa trabalham juntos e compartilham conhecimento para maximizar os recursos de defesa cibernética) podem ajudar as empresas a medir seus verdadeiros recursos de detecção.

Conteúdos Relacionados

Security Report | Overview

Girona F.C. forma nova parceria de Cibersegurança em seus sistemas

O clube espanhol de futebol, Girona FC, adota a arquitetura de cibersegurança para proteger seus ambientes digitais
Security Report | Overview

Tentativas de fraudes online atingem quase 60% dos brasileiros, revela pesquisa

Pesquisa revela que mais da metade dos brasileiros caem em golpes; Compras online e Pix concentram a maior quantidade de...
Security Report | Overview

IA agêntica exige CIOs com visão de RH

Artigo trata que IA agêntica surge como “nova colega de trabalho” nas empresas, exigindo dos CIOs uma gestão semelhante à...
Security Report | Overview

Setor de Educação mostra fortalecimento contra o ransomware em estudo

97% da vítimas do segmento recuperaram dados criptografados e pagamentos de resgate caíram drasticamente