O que é o ransomware?
Na prática, um ataque de ransomware bloqueia o acesso aos seus dados até que um resgate seja pago.
Na verdade, ransomware é um tipo de malware ou ataque de segurança cibernética de phishing que destrói ou criptografa arquivos e pastas em um computador, servidor ou dispositivo.
Depois que dispositivos ou arquivos são bloqueados ou criptografados, os cibercriminosos podem extorquir dinheiro da empresa ou do proprietário do dispositivo em troca de uma chave para desbloquear os dados criptografados. Mas, mesmo quando pagos, os cibercriminosos podem nunca dar a chave para a empresa ou para o proprietário do dispositivo e interromper o acesso permanentemente.
Como funcionam os ataques de ransomware?
O ransomware pode ser automatizado ou envolver mãos humanas em um teclado - um ataque operado por humanos, como visto em ataques recentes usando o LockBit ransomware.
Os ataques de ransomware operados por humanos envolvem os seguintes estágios:
Comprometimento inicial: O agente da ameaça obtém acesso pela primeira vez a um sistema ou ambiente após um período de reconhecimento para identificar pontos fracos na defesa.
Persistência e evasão da defesa: O agente da ameaça estabelece um ponto de apoio no sistema ou no ambiente usando um backdoor ou outro mecanismo que opera em segredo para evitar a detecção por equipes de resposta a incidentes.
Movimento lateral: O agente da ameaça usa o ponto de entrada inicial para migrar para outros sistemas conectados ao dispositivo comprometido ou ao ambiente de rede.
Acesso a credenciais: O agente da ameaça usa uma página de entrada falsa para coletar credenciais do usuário ou do sistema.
Roubo de dados: O agente da ameaça rouba dados financeiros ou outros dados de usuários ou sistemas comprometidos.
Impacto: O usuário ou a organização afetada pode sofrer danos materiais ou à reputação.
Os ataques de ransomware operados por humanos envolvem os seguintes estágios:
Comprometimento inicial: O agente da ameaça obtém acesso pela primeira vez a um sistema ou ambiente após um período de reconhecimento para identificar pontos fracos na defesa.
Persistência e evasão da defesa: O agente da ameaça estabelece um ponto de apoio no sistema ou no ambiente usando um backdoor ou outro mecanismo que opera em segredo para evitar a detecção por equipes de resposta a incidentes.
Movimento lateral: O agente da ameaça usa o ponto de entrada inicial para migrar para outros sistemas conectados ao dispositivo comprometido ou ao ambiente de rede.
Acesso a credenciais: O agente da ameaça usa uma página de entrada falsa para coletar credenciais do usuário ou do sistema.
Roubo de dados: O agente da ameaça rouba dados financeiros ou outros dados de usuários ou sistemas comprometidos.
Impacto: O usuário ou a organização afetada pode sofrer danos materiais ou à reputação.
Um malware comum usado em campanhas de ransomware
- Qakbot: usa phishing para disseminar links mal-intencionados, anexos mal-intencionados ou, mais recentemente, imagens incorporadas
- Ryuk: criptografador de dados geralmente direcionado ao Windows
- Trickbot: costuma ter como alvo os aplicativos da Microsoft, como o Excel e o Word. O Trickbot costumava ser entregue por meio de campanhas de email que usavam eventos atuais ou iscas financeiras para atrair usuários e convencê-los a abrir anexos de arquivos mal-intencionados ou clicar em links para sites que hospedam os arquivos mal-intencionados. Desde 2022, a mitigação da Microsoft para campanhas que usam esse malware parece ter perturbado sua utilidade.
Atores de ameaça predominantes associados a campanhas de ransomware
- LockBit: campanha de ransomware como serviço (RaaS) com motivação financeira e o ator de ameaças de ransomware mais prolífico no período 2023-24
- Black Basta: obtém acesso por meio de emails de spear phishing e usa o PowerShell para iniciar um conteúdo de criptografia
Ataques automatizados de ransomware
Os ataques de ransomware de commodities geralmente são automatizados. Esses ataques cibernéticos podem se espalhar como um vírus, infectar dispositivos por meio de métodos como phishing de email e entrega de malware e exigem correção de malware.
Portanto, você pode proteger seu sistema de email usando o Microsoft Defender para Office 365 que protege contra malware e entrega de phishing. O Microsoft Defender para ponto de extremidade funciona junto com o Defender para Office 365 para detectar e bloquear automaticamente atividades suspeitas em seus dispositivos, enquanto o Microsoft Defender XDR4 detecta malware e tentativas de phishing precocemente.
Ataques de ransomware operados por humanos
O ransomware operado por humanos é o resultado de um ataque ativo de cibercriminosos que se infiltram na infraestrutura de TI local ou de nuvem de uma organização, elevam seus privilégios e implantam ransomware em dados críticos.
Esses ataques "hands-on-keyboard" geralmente têm como alvo organizações em vez de um único dispositivo.
Operado por humanos também significa que há um ator de ameaça humano usando seus insights sobre sistemas comuns e configurações incorretas de segurança. Eles visam infiltrar-se na organização, navegar na rede e adaptar-se ao ambiente e às suas fraquezas.
As marcas desses ataques de ransomware operados por humanos normalmente incluem roubo de credenciais e movimento lateral com uma elevação dos privilégios em contas roubadas.
As atividades podem ocorrer durante janelas de manutenção e envolvem lacunas na configuração de segurança descobertas por cibercriminosos. O objetivo é a implantação de uma carga útil de ransomware para quaisquer recursos de alto impacto nos negócios que os atores da ameaça escolherem.
Importante
Esses ataques podem ser catastróficos para as operações comerciais e são difíceis de serem eliminados, exigindo a expulsão completa do adversário para proteger contra futuros ataques. Ao contrário do ransomware de commodities que geralmente só requer correção de malware, o ransomware operado por humanos continuará ameaçando suas operações comerciais após o encontro inicial.
O impacto e a probabilidade de que os ataques de ransomware operados por humanos continuem
Proteção contra ransomware para sua organização
Primeiro, evite a entrega de phishing e malware com oMicrosoft Defender para Office 365 para proteger contra entrega de malware e de phishing, o Microsoft Defender para Ponto de Extremidade detecta e bloqueia automaticamente atividades suspeitas nos seus dispositivos e no Microsoft Defender XDR para detectar tentativas de malware e de phishing antecipadamente.
Para obter uma visão abrangente do ransomware e da ameaça e de como proteger sua organização, use as informações na apresentação do PowerPoint Plano de Projeto de Mitigação de Ransomware Operado por Humanos .
Veja um resumo das diretrizes:
O resumo das diretrizes no Plano de Projeto de Mitigação de Ransomware Operado por Humanos
- Os riscos de ransomware e de ataques baseados em extorsão são altos.
- No entanto, os ataques têm pontos fracos que podem reduzir a probabilidade de você ser atacado.
- Há três etapas para configurar sua infraestrutura para explorar os pontos fracos de ataque.
Para obter as três etapas para explorar as fraquezas de ataque, consulte a solução Proteger sua organização contra ransomware e extorsão para configurar rapidamente sua infraestrutura de TI para obter a melhor proteção:
- Prepare a sua organização para se recuperar de um ataque sem precisar pagar o resgate.
- Limite o escopo de danos de um ataque ransomware protegendo as funções privilegiadas.
- Torne mais difícil o acesso de um agente de ameaça ao seu ambiente, removendo riscos gradativamente.
Baixe o pôster Proteja sua organização contra ransomware para obter uma visão geral das três fases como camadas de proteção contra ataques de ransomware.
Recursos adicionais de prevenção de ransomware
Informações importantes da Microsoft:
- As últimas tendências de ransomware da Microsoft, blog de ransomware mais recente da Microsoft
- Proteger-se rapidamente contra ransomware e ameaças
- Relatório de Defesa Digital da Microsoft de 2023
- Ransomware: um relatório de análise de ameaças contínua e generalizada no portal do Microsoft Defender
- Equipe de resposta a incidentes da Microsoft (anteriormente DART) ransomware abordagem e práticas recomendadas e estudo de caso
Microsoft 365:
- Implantar proteção contra ransomware no seu locatário do Microsoft 365
- Maximizar a resiliência contra ransomware com o Azure e o Microsoft 365
- Como se recuperar de um ataque de ransomware
- Proteção contra malware e ransomware
- Proteger seu computador Windows 10 de ransomware
- Lidando com o ransomware no SharePoint Online
- Relatórios de análise de ameaças de ransomware no portal do Microsoft Defender XDR
Microsoft Defender XDR:
Microsoft Defender para Aplicativos de Nuvem:
Microsoft Azure:
- Defesas do Azure contra ataque de ransomware
- Maximizar a resiliência contra ransomware com o Azure e o Microsoft 365
- Plano de backup e restauração para proteger contra ransomware
- Ajudar a proteger contra ransomware com o Backup do Microsoft Azure (vídeo de 26 minutos)
- Recuperar-se do comprometimento de identidades sistêmico
- Detecção avançada de ataques multiestágio no Microsoft Sentinel
- Detecção de fusão para ransomware no Microsoft Sentinel
Microsoft Copilot para Segurança:
Recursos de mitigação de ransomware da Segurança da Microsoft:
Veja a lista mais recente dos artigos sobre ransomware no Blog Segurança da Microsoft.
-
Principais etapas de como a equipe de Resposta a Incidentes da Microsoft (antiga DART/CRSP) conduz investigações de incidentes de ransomware.
Determinar o processo de recuperação de ataque de ransomware (maio de 2024)
Recomendações e melhores práticas
Como reagir às recentes ameaças de ransomware (junho de 2024)
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de