À medida que os operadores de ransomware aumentam seus arsenais de armas, as empresas correm um risco, cada vez maior, de sofrer graves consequências desses ataques. Organizações que são afetadas por ransomware normalmente têm perdas financeiras na ordem de milhões, além de experimentarem a inacessibilidade e até mesmo a exposição de dados confidenciais.
A maioria dos ataques recentes utilizou técnicas de dupla extorsão, em que os
hackers criptografam os arquivos de uma empresa e vazam seus dados para o
público. Tudo leva a crer que em 2021 os ataques do tipo ransomware serão uma
ameaça ainda mais preocupante, à medida que se tornarão mais direcionados.
Os cibercriminosos também continuarão a usar ferramentas legítimas para
facilitar e aumentar os ataques de ransomware. Por si só, essas ferramentas não
são maliciosas. Muito pelo contrário, elas ajudam na pesquisa de segurança ou
aumento da eficiência dos programas. No entanto, como muitas outras
tecnologias, os cibercriminosos encontraram uma maneira de explorá-las,
tornando-as um componente típico de campanhas de ransomware e de outros ataques
cibernéticos. O Centro Nacional de Segurança Cibernética do Reino Unido (NCSC)
publicou uma lista dessas ferramentas em um relatório.
O uso de ferramentas legítimas para campanhas de ransomware é atraente por várias
razões. Primeiro, como não são maliciosas em si, elas podem escapar da
detecção. Outro fator é que essas ferramentas são de código aberto e, portanto,
podem ser acessadas e usadas pelo público, gratuitamente. E, por último, são
como uma faca de dois gumes, já que ao mesmo tempo que beneficiam os analistas
de segurança com seus recursos, são usadas pelos cibercriminosos, como
vantajosas armas de ataque.
A presença de ferramentas legítimas “amadas” deve ser detectada para que as
equipes de segurança possam interromper uma campanha de ransomware e resgatar
os seus rastros. No entanto, isso é mais fácil de dizer do que fazer, pois
essas ferramentas podem se disfarçar de várias maneiras. Uma delas é por meio
de recursos usados para implementar as técnicas de evasão. Cibercriminosos
também podem alterar o código dessas ferramentas para ajustar as partes que
desencadeiam soluções antimalware.
Além disso, quando vistas a partir de um único ponto de entrada (por exemplo,
se olharmos somente a partir do endpoint), as detecções podem parecer
benignas, mesmo quando deveriam fazer o alarme soar. O que não ocorreria se
fossem vistas de uma perspectiva mais ampla e com maior contexto em relação a
outras camadas, como e-mails, servidores e workloads em nuvem.
No rastreamento de ameaças, as organizações estariam melhor protegidas se
dependessem não apenas de detecções de arquivos e hashes, mas
também do monitoramento do comportamento em camadas.
As soluções de defesa para plataformas que centralizam alertas de risco fornecem
maior visibilidade e poder de detecção porque correlacionam as diferentes
camadas (endpoints, e-mails, servidores e workloads
na nuvem), garantindo que nenhum incidente significativo passe despercebido.
Isso permite uma resposta mais rápida às ameaças antes que elas possam causar
qualquer dano real ao sistema.
Janus
Agcaoili - Threat Research Engineer da Trend Micro
Earle
Earnshaw - Threat Research Engineer da Trend Micro
Nenhum comentário:
Postar um comentário