O ataque de ransomware à ADA é mais um indicador de uma tendência emergente entre os agentes de ransomware, a criatividade. Em vez do pedido de resgate típico para restauração de dados que se tornou comum, os cibercriminosos expandiram seu raio de ação. Eles passaram a adotar uma abordagem multifacetada, além de resgatar a vítima principal, o que deve ser uma preocupação para a ADA e seus membros. Vítimas de segunda mão, incluindo consultórios odontológicos e provedores de seguros, podem ser alvos em potencial com base nos dados obtidos no ataque primário de ransomware.
Esteja atento às repercussões
É fundamental entender quais sistemas também podem estar em risco de movimento lateral ou comprometimento da conta. As organizações que têm conexões comerciais com a ADA devem monitorar de perto quaisquer atualizações oficiais sobre o ataque.
Para estar melhor preparado para qualquer problema residual, consultórios odontológicos, seguradoras, etc., devem aderir à melhores práticas e estar atentos aos métodos usados para expandir a superfície de ataque. Para começar, fique atento a links de phishing e altere imediatamente quaisquer senhas reutilizadas que possam ter feito parte dos sistemas ADA. E o mais importante: certifique-se de que qualquer comunicação ou correspondência sobre o incidente venha de uma fonte legítima na ADA, em vez de e-mails comprometidos que podem parecer oficiais, mas são fraudulentos.
Ações necessárias
Os ciberatacantes sabem que os backups são uma opção comum para evitar pagar por dados criptografados por ransomware. Como resultado, eles trabalharão para corromper os backups que podem ser acessados como resultado do ataque original. Essa ação ressalta a necessidade de backups offline e comunicações de incidentes fora de banda, já que qualquer sistema conectado durante o incidente, como e-mail, provavelmente está comprometido e não pode ser confiável.
Com a evolução da estratégia e táticas usadas pelos agentes de ransomware, é essencial que as organizações tenham uma perspectiva geral para defesa, detecção e resposta/recuperação. A detecção precoce da presença de um invasor e a tentativa de filtração exigem a compreensão do comportamento “normal” no ambiente para estabelecer uma linha de base que alerta contra quaisquer anomalias, para que possam ser sinalizadas e investigadas com mais detalhes.
Embora essa abordagem de linha de base pareça simples, esconde uma complexidade. Alcançar essa visão do seu ambiente requer contexto em tempo real e a capacidade de avaliar o risco dinâmico à medida que novos dispositivos entram na rede, funcionários integrados/desconectados e o surgimento de novas vulnerabilidades.
A recuperação deve ir além de “limpar e refazer a imagem” para incluir verificações completas que possam identificar sinais residuais de comprometimento e, sempre que possível, determinar claramente os pontos de acesso iniciais para evitar a reintrodução do vetor de ataque durante os esforços de recuperação.
