O que é ransomware?

Na prática, um ataque de ransomware bloqueia o acesso aos seus dados até que um resgate seja pago.

Na verdade, ransomware é um tipo de ataque de segurança cibernética de malware ou phishing que destrói ou criptografa arquivos e pastas em um computador, servidor ou dispositivo.

Assim que os dispositivos ou ficheiros são bloqueados ou encriptados, os cibercriminosos podem extorquir dinheiro à empresa ou ao proprietário do dispositivo em troca de uma chave para desbloquear os dados encriptados. Mas, mesmo quando pagos, os cibercriminosos podem nunca dar a chave ao proprietário da empresa ou do dispositivo e interromper o acesso permanentemente.

Como funcionam os ataques de ransomware?

O ransomware pode ser automatizado ou envolver mãos humanas num teclado - um ataque operado por humanos, tal como visto em ataques recentes que utilizam o ransomware LockBit.

Os ataques de ransomware operados por humanos envolvem as seguintes etapas:

1. Compromisso inicial - O agente de ameaça primeiro ganha acesso a um sistema ou ambiente após um período de reconhecimento para identificar fraquezas na defesa.

2. Persistência e evasão de defesa - O agente de ameaças estabelece uma base no sistema ou ambiente usando um backdoor ou outro mecanismo que opera furtivamente para evitar a deteção por equipes de resposta a incidentes.

3. Movimento lateral - O agente de ameaças usa o ponto de entrada inicial para migrar para outros sistemas conectados ao dispositivo comprometido ou ambiente de rede.

4. Acesso a credenciais - O agente de ameaças usa uma página de login falsa para coletar credenciais de usuário ou sistema.

5. Roubo de dados - O agente de ameaças rouba dados financeiros ou outros de usuários ou sistemas comprometidos.

6. Impacto - O usuário ou organização afetada pode sofrer danos materiais ou de reputação.

Malware comum usado em campanhas de ransomware

• Qakbot – Usa phishing para espalhar links maliciosos, anexos maliciosos ou, mais recentemente, imagens incorporadas
• Ryuk – Encriptador de dados tipicamente direcionado para o Windows
• Trickbot – Tem como alvo aplicações da Microsoft como Excel e Word. O Trickbot era normalmente entregue através de campanhas de e-mail que usavam eventos atuais ou iscas financeiras para atrair os utilizadores a abrir anexos de ficheiros maliciosos ou clicar em links para sites que alojam os ficheiros maliciosos. Desde 2022, a mitigação de campanhas da Microsoft usando esse malware parece ter interrompido sua utilidade.

Agentes de ameaças prevalentes associados a campanhas de ransomware

• LockBit – Campanha de ransomware como serviço (RaaS) motivada financeiramente e agente de ameaça de ransomware mais prolífico no período de 2023-24
• Black Basta – Obtém acesso por meio de e-mails de spear-phishing e usa o PowerShell para iniciar uma carga útil de criptografia

Ataques automatizados de ransomware

Os ataques de ransomware de mercadorias são frequentemente automatizados. Esses ataques cibernéticos podem se espalhar como um vírus, infetar dispositivos por meio de métodos como phishing por e-mail e entrega de malware, e exigir remediação de malware.

Portanto, você pode proteger seu sistema de email usando o Microsoft Defender para Office 365 que protege contra malware e entrega de phishing. O Microsoft Defender for Endpoint funciona em conjunto com o Defender for Office 365 para detetar e bloquear automaticamente atividades suspeitas em seus dispositivos, enquanto o Microsoft Defender XDR deteta malware e tentativas de phishing antecipadamente.

Ataques de ransomware operados por humanos

O ransomware operado por humanos é o resultado de um ataque ativo de cibercriminosos que se infiltram na infraestrutura de TI local ou na nuvem de uma organização, elevam seus privilégios e implantam ransomware em dados críticos.

Esses ataques "hands-on-keyboard" geralmente têm como alvo organizações em vez de um único dispositivo.

Operado por humanos também significa que há um agente de ameaça humano usando suas perceções sobre configurações incorretas comuns do sistema e da segurança. Pretendem infiltrar-se na organização, navegar na rede e adaptar-se ao ambiente e às suas fraquezas.

As características desses ataques de ransomware operados por humanos geralmente incluem roubo de credenciais e movimentação lateral com uma elevação dos privilégios em contas roubadas.

As atividades podem ocorrer durante as janelas de manutenção e envolver falhas de configuração de segurança descobertas por cibercriminosos. O objetivo é a implantação de uma carga útil de ransomware para quaisquer recursos de alto impacto nos negócios que os agentes de ameaças escolham.

Importante

Esses ataques podem ser catastróficos para as operações de negócios e são difíceis de limpar, exigindo a remoção completa do adversário para proteger contra ataques futuros. Ao contrário do ransomware de mercadoria que geralmente requer apenas a correção de malware, o ransomware operado por humanos continuará a ameaçar suas operações de negócios após o encontro inicial.

O impacto e a probabilidade de que os ataques de ransomware operados por humanos continuem

Proteção contra ransomware para a sua organização

Primeiro, evite phishing e entrega de malware com o Microsoft Defender para Office 365 para proteger contra malware e entrega de phishing, o Microsoft Defender for Endpoint para detetar e bloquear automaticamente atividades suspeitas em seus dispositivos e o Microsoft Defender XDR para detetar tentativas de malware e phishing antecipadamente.

Para obter uma visão abrangente de ransomware e extorsão e como proteger sua organização, use as informações na apresentação em PowerPoint do Plano do Projeto de Mitigação de Ransomware Operado por Humanos.

Aqui está um resumo das orientações:

O resumo das orientações no Plano do Projeto de Mitigação de Ransomware Operado por Humanos

• Os riscos de ataques baseados em ransomware e extorsão são altos.
• No entanto, os ataques têm fraquezas que podem reduzir a sua probabilidade de ser atacado.
• Há três etapas para configurar sua infraestrutura para explorar fraquezas de ataque.

Para conhecer as três etapas para explorar os pontos fracos do ataque, consulte a solução Proteja sua organização contra ransomware e extorsão para configurar rapidamente sua infraestrutura de TI para obter a melhor proteção:

1. Prepare a sua organização para recuperar de um ataque sem ter de pagar o resgate.
2. Limite o alcance dos danos de um ataque de ransomware protegendo funções privilegiadas.
3. Dificulte o acesso de um agente de ameaças ao seu ambiente, removendo riscos de forma incremental.

Faça o download do cartaz Proteja sua organização contra ransomware para obter uma visão geral das três fases como camadas de proteção contra ataques de ransomware.

Recursos adicionais de prevenção de ransomware

Principais informações da Microsoft:

• As últimas tendências de ransomware da Microsoft, blog de ransomware mais recente da Microsoft
• Proteja-se rapidamente contra ransomware e extorsão
• Relatório de Defesa Digital da Microsoft 2023
• Ransomware: Um relatório de análise de ameaças generalizado e contínuo no portal Microsoft Defender
• Abordagem de ransomware da equipe de resposta a incidentes da Microsoft (anteriormente DART) e práticas recomendadas e estudo de caso

Microsoft 365:

• Implantar proteção contra ransomware para seu locatário do Microsoft 365
• Maximize a resiliência do ransomware com o Azure e o Microsoft 365
• Recupere-se de um ataque de ransomware
• Proteção contra malware e ransomware
• Proteja o seu PC Windows 10 contra ransomware
• Lidar com ransomware no SharePoint Online
• Relatórios de análise de ameaças para ransomware no portal Microsoft Defender XDR

Microsoft Defender XDR:

• Encontre ransomware com caça avançada

Aplicativos do Microsoft Defender para nuvem:

• Criar políticas de deteção de anomalias no Defender for Cloud Apps

Microsoft Azure:

• Azure Defenses for Ransomware Attack
• Maximize a resiliência do ransomware com o Azure e o Microsoft 365
• Plano de backup e restauração para proteger contra ransomware
• Ajude a proteger contra ransomware com o Backup do Microsoft Azure (vídeo de 26 minutos)
• Recuperando-se do comprometimento sistêmico da identidade
• Deteção avançada de ataques em várias fases no Microsoft Sentinel
• Fusion Detection para Ransomware no Microsoft Sentinel

Microsoft Copilot para Segurança:

• Defenda-se contra ataques de ransomware operados por humanos com o Microsoft Copilot for Security

Recursos de mitigação do ransomware Microsoft Security:

Veja a lista mais recente de artigos sobre ransomware no Blog de Segurança da Microsoft.

• Proteja a sua organização contra ransomware (maio de 2024)

• Interrupção automática de ataques operados por humanos através da contenção de contas de usuário comprometidas (outubro de 2023)

• Ransomware como serviço: Entendendo a gig economy do cibercrime e como se proteger (maio de 2022)

  Principais passos sobre como a equipa de Resposta a Incidentes da Microsoft (anteriormente DART/CRSP) conduz investigações de incidentes de ransomware.

• Determinar o processo de recuperação de ataques de ransomware (maio de 2024)

  Recomendações e melhores práticas

• Navegando por ameaças recentes de ransomware (junho de 2024)