Grupos de ransomware usam ferramentas de Red Teaming contra empresas

Estatísticas indicam que nos primeiros meses de 2022 milhares de brasileiros foram vítimas de tentativas de ataques a partir dessas novas ferramentas

Compartilhar:

A Kaspersky bloqueou, de janeiro a maio de 2022, uma média de 11 mil ataques de ransomware por dia ao redor do mundo. No mapa de localização das tentativas de ataques, o Brasil está no segundo grupo (com 5.600 a 13 mil usúarios afetados) mais afetado, atrás apenas de Rússia e Irã. A análise mostra ainda que esses grupos especializados estão usando ferramentas como CobaltStrike, Metasploit e outras para realizar as infecções — programas usados pelos times de segurança (Red Teaming) para avaliar o nível de proteção da empresa.

 

Para entender melhor a relevância da informação, é importante saber que um ataque de ransomware tem algumas etapas. A primeira é o estudo da vítima (potencial em pagar o resgate e o valor potencial para ele) e a entrada do criminoso na rede corporativa da vítima — além do reconhecimento do “terreno” (localização dos ativos — informações confidenciais).

Depois, o cibercriminoso se move na rede, buscando garantir permissões de administrador para realizar o roubo dos dados e poder executar o comando de bloqueio de maneira automatizada em todas as máquinas. Após a conclusão da copia dos dados, é feito o bloqueio das informações na rede da vítima — o que paraliza a operação da organização — e a mensagem de resgate é apresentada.

A novidade nesse processo é que os grupos especializados em ransomware estão usando os própios programas de red teaming das vítimas para garantir os acessos privilegiados e realizar o roubo das informações. Os Red Teaming são funcionários da empresa que trabalham na área de segurança e tem a função de avaliar a eficácia da segurança corporativa, realizando tentativas de invasão para isso, como testes de penetração (pentesters).

“O uso dessas ferramentas em ataques cibernéticos é uma tendência, pois a atividade maliciosa não é detectada por algumas soluções de segurança. O fato de programas de invasão pertencerem a empresa-vítima apenas adiciona maior complexidade ao ataque, pois é possível interpretar uma atividade como um “teste prático”. Esse detalhe mostra que uma segurança de qualidade é muito mais que a instalação de um programa. É necessário unir esforços humanos e ter processos claros para garantir que uma atividade maliciosa difarçada com certa legitimidade não será um risco para a operação das empresas”, explica Fabio Assolini, diretor da Equipe de Pesquisa e Análise da Kaspersky na América Latina.

Para evitar este tipo de ataque, os especialistas da Kaspersky oferecem as seguintes recomendações:

 

• Ransomware não deve ser medido pelo número de ataques, mas pelo impacto que causa. Ao trabalhar em um modelo de ameaça, esse é o principal fator a ser considerado, e não a probabilidade de ser atacado;

 

• Para criar um modelo de proteção eficaz, é necessário focar nos estágios de detecção precoce. Por exemplo, a exploração de vulnerabilidades de rede, movimentos laterais e exfiltração de dados;

 

• Recomenda-se que todos possam trabalhar em diferentes PlayBooks ou ter um plano de ação ou estratégia para cada operador de Ransomware;

 

• Por fim, os exercícios de Purple Teaming, (metodologia em que as equipes de ataque (Red Team) e defesa (Blue Team) de uma empresa trabalham juntos e compartilham conhecimento para maximizar os recursos de defesa cibernética) podem ajudar as empresas a medir seus verdadeiros recursos de detecção.

Conteúdos Relacionados

Security Report | Overview

Integração com ChatGPT Enterprise pode auxiliar na governança e conformidade de dados?

Netskope ampliou o gerenciamento de riscos ao compliance do chatbot da OpenAI com controles de API visando controlar dados confidenciais
Security Report | Overview

Telecomunicações não foram afetadas por Apagão Cibernético, diz Anatel

Para o órgão de fiscalização, o evento ilustra que, à medida que os diversos setores econômicos passaram por transformação digital,...
Security Report | Overview

Pesquisadores identificam ataque de controle de contas direcionado a organizações brasileiras

Os especialistas da Proofpoint indicaram que o agente hostil usa, desde junho, a criação de regras de caixa de e-mail...
Security Report | Overview

Azul e Visa formam parceria para reduzir fraudes em e-commerce

Iniciativa tem o objetivo de permitir uma experiência de aprovação de compra segura e confiável para os Clientes da companhia