Quais são os 3 elementos da análise de ransomware?

Com a evolução da estratégia e táticas usadas pelos cibercriminosos, é essencial que as organizações tenham uma perspectiva geral para defesa, detecção, resposta e recuperação. Felipe Nascimento, diretor de engenharia de soluções da Tanium para América Latina, explica como realizar esse processo e mostra o exemplo da investigação à ADA

Compartilhar:

O ataque de ransomware à ADA é mais um indicador de uma tendência emergente entre os agentes de ransomware, a criatividade. Em vez do pedido de resgate típico para restauração de dados que se tornou comum, os cibercriminosos expandiram seu raio de ação. Eles passaram a adotar uma abordagem multifacetada, além de resgatar a vítima principal, o que deve ser uma preocupação para a ADA e seus membros. Vítimas de segunda mão, incluindo consultórios odontológicos e provedores de seguros, podem ser alvos em potencial com base nos dados obtidos no ataque primário de ransomware. 

 

Esteja atento às repercussões 

 

É fundamental entender quais sistemas também podem estar em risco de movimento lateral ou comprometimento da conta. As organizações que têm conexões comerciais com a ADA devem monitorar de perto quaisquer atualizações oficiais sobre o ataque. 

 

Para estar melhor preparado para qualquer problema residual, consultórios odontológicos, seguradoras, etc., devem aderir à melhores práticas e estar atentos aos métodos usados ​​para expandir a superfície de ataque. Para começar, fique atento a links de phishing e altere imediatamente quaisquer senhas reutilizadas que possam ter feito parte dos sistemas ADA. E o mais importante: certifique-se de que qualquer comunicação ou correspondência sobre o incidente venha de uma fonte legítima na ADA, em vez de e-mails comprometidos que podem parecer oficiais, mas são fraudulentos. 

 

Ações necessárias 

 

Os ciberatacantes sabem que os backups são uma opção comum para evitar pagar por dados criptografados por ransomware. Como resultado, eles trabalharão para corromper os backups que podem ser acessados ​​como resultado do ataque original. Essa ação ressalta a necessidade de backups offline e comunicações de incidentes fora de banda, já que qualquer sistema conectado durante o incidente, como e-mail, provavelmente está comprometido e não pode ser confiável. 

 

Com a evolução da estratégia e táticas usadas pelos agentes de ransomware, é essencial que as organizações tenham uma perspectiva geral para defesa, detecção e resposta/recuperação. A detecção precoce da presença de um invasor e a tentativa de filtração exigem a compreensão do comportamento “normal” no ambiente para estabelecer uma linha de base que alerta contra quaisquer anomalias, para que possam ser sinalizadas e investigadas com mais detalhes. 

 

Embora essa abordagem de linha de base pareça simples, esconde uma complexidade. Alcançar essa visão do seu ambiente requer contexto em tempo real e a capacidade de avaliar o risco dinâmico à medida que novos dispositivos entram na rede, funcionários integrados/desconectados e o surgimento de novas vulnerabilidades.

 

A recuperação deve ir além de “limpar e refazer a imagem” para incluir verificações completas que possam identificar sinais residuais de comprometimento e, sempre que possível, determinar claramente os pontos de acesso iniciais para evitar a reintrodução do vetor de ataque durante os esforços de recuperação. 

Conteúdos Relacionados

Security Report | Destaques

AT&T comunica acesso indevido aos dados dos clientes

Registros de chamadas telefônicas e mensagens de texto de quase todos os clientes foram baixados ilegalmente. Em nota, a companhia...
Security Report | Destaques

“Transparência é o fator-chave da relação entre SI e empresa”, afirma Gil Vega, CISO da Veeam

O atual líder de Segurança da Informação da vendor falou com exclusividade à Security Report sobre sua trajetória em diversos...
Security Report | Destaques

BRASPRESS retoma funcionamento do site oficial após ataque de ransomware

Incidente que causou a parada de diversos sistemas operacionais da companhia se deu ainda no começo dessa semana, e forçou...
Security Report | Destaques

Problemas técnicos causam perda de dados de 39 mil chaves Pix da 99Pay

Incidente ocorrido entre 26 de junho e 2 de julho desse ano foi revelado pelo próprio Banco Central do Brasil...