Táticas e procedimentos dos oito grupos de ransomware mais comuns

Uma análise profunda dos modernos criptografadores de ransomware permite que você implemente métodos universais para combatê-los

Compartilhar:

Os especialistas da Kaspersky realizaram uma análise aprofundada das táticas, técnicas e procedimentos dos oito grupos de ransomware mais comuns — Conti/Ryuk, Pysa, Clop, Hive, Lockbit2.0, RagnarLocker, BlackByte e BlackCat. Comparando os métodos e ferramentas dos invasores em diferentes estágios do ataque, eles concluíram que muitos grupos operam de acordo com esquemas muito próximos. Isso permite criar contramedidas universais eficazes que podem proteger a infraestrutura da empresa contra ransomware.

 

Detalhes do estudo com análises detalhadas de cada técnica e exemplos de seu uso na natureza podem ser encontrados no relatório TTPs Comuns de Grupos de Ransomware Modernos. O documento também contém regras para detectar técnicas maliciosas no formato SIGMA.

 

O relatório destina-se principalmente a analistas de Centros de Operação de Segurança, especialistas em Threat Hunting e Threat Intelligence e experts em resposta a incidentes e investigação. No entanto, nossos pesquisadores também coletaram as melhores práticas para combater ransomwares em várias fontes no relatório. Seria útil repetir as principais recomendações práticas para proteger a infraestrutura corporativa na etapa de prevenção aqui em nosso blog.

 

Prevenção contra intrusos

 

A opção ideal é interromper o ataque de ransomware antes que a ameaça esteja no perímetro corporativo. As seguintes medidas ajudarão a reduzir o risco de intrusão:

 

• Filtragem do tráfego de entrada. As políticas de filtragem devem ser implementadas em todas as pontas dos dispositivos— roteadores, firewalls, sistemas IDS. Não se esqueça da filtragem de e-mail de spam e phishing. É aconselhável usar uma sandbox para validar anexos de e-mail;

 

• Bloqueio de sites maliciosos. Restrinja o acesso a sites maliciosos conhecidos. Por exemplo, implemente servidores proxy de interceptação. Também vale a pena usar feeds sobre dados de inteligência contra ameaças para manter listas atualizadas de ciberameaças;

 

• Uso de Deep Packet Inspection (DPI). Uma solução de classe DPI no nível do gateway permitirá que você verifique se há malware no tráfego;

 

• Bloqueio de código malicioso. Use assinaturas para bloquear malwares;

 

• Proteção RDP. Desative o RDP sempre que possível. Se, por algum motivo, você não conseguir parar de usá-lo, coloque sistemas com uma porta RDP aberta (3389) atrás de um firewall e permita o acesso a eles apenas por meio de uma VPN;

 

• Autenticação multifator. Use autenticação multifator, senhas fortes e políticas de bloqueio automático de conta em todos os pontos que podem ser acessados ​​remotamente;

 

• Listas de conexões permitidas. Crie uma lista de permissão de IPs usando hardwares de firewall;

 

• Corrija vulnerabilidades conhecidas. Instale em tempo hábil patches para correção de vulnerabilidades em sistemas e dispositivos de acesso remoto com conexão direta à Internet.

 

relatório também contém conselhos práticos sobre proteção contra exploração e movimentação lateral, bem como recomendações para combater vazamentos de dados e se preparar para um incidente.

 

 

Conteúdos Relacionados

Security Report | Overview

Segurança na Saúde: custo médio de ciberataques atinge 5,3 milhões de dólares

No Brasil, Líder em ataques cibernéticos na América Latina e um dos cinco países mais visados no mundo, o setor...
Security Report | Overview

Segurança democratizada será uma das tendências de 2025, diz estudo

Gerenciar riscos cibernéticos em todos os níveis da força de trabalho – e não restringí-los apenas aos níveis mais altos...
Security Report | Overview

Como as mudanças anunciadas pela Meta podem impactar a Cibersegurança?

Políticas refeitas da plataforma representam um novo cenário em termos de cuidados contra golpes e riscos de segurança cibernética, alerta...
Security Report | Overview

Relatório aponta vulnerabilidades críticas em sistemas Microsoft, Cisco e Windows

A Redbelt Security também emitiu um alerta sobre o aumento de campanhas de phishing que utilizam táticas inovadoras para contornar...