Tecnologia
A cibersegurança é uma das grandes preocupações de qualquer empresa. No turismo, é especialmente importante ter protocolos claros. Acima de tudo, para proteger informações confidenciais dos hóspedes.
25-08-2022 . Por TecnoHotel Portugal
Caso contrário, pode perder a confiança e também enfrentar grandes multas. É por isso que é tão interessante estar atento aos principais grupos de ransomware. Desta forma, os trabalhadores podem lidar com este tipo de malware que sequestra ficheiros e sistemas pessoais de uma empresa e depois pede um resgate.
A equipa de Inteligência de Ameaças da Kaspersky realizou uma análise das táticas, técnicas e procedimentos mais comuns (TTPs). Pelo menos, dos oito grupos de ransomware mais ativos durante os seus ataques. A pesquisa revela que os diferentes grupos partilham mais de metade da chamada "cadeia de ciber-morte". Além disso, executam as fases centrais dos ataques de forma idêntica. Chegou-se a estas conclusões depois de ter analisado Conti/Ryuk, Pysa, Clop (TA505), Hive, Lockbit2.0, RagnarLocker, BlackByte e BlackCat.
Não podemos perder de vista o facto de que, embora estes grupos tenham agido principalmente nos Estados Unidos, na Grã-Bretanha e na Alemanha, já atacaram mais de 500 organizações. Além disso, aconteceu entre março de 2021 e março de 2022. É por isso que, ao longo de 150 páginas, o Guia Pratico, explica as fases da implementação do ransomware, ou como os cibercriminosos usam as suas ferramentas preferidas ou os objetivos que esperam alcançar. Por sua vez, inclui dicas sobre como se defender contra ataques e conhecer as regras de deteção da SIGMA, que podem ser usadas para desenvolver medidas preventivas.
Conheça o padrão de ataques
A Kaspersky analisou a forma como os grupos de ransomware utilizaram as técnicas e táticas descritas no MITRE ATT&CK. Assim, encontraram muitas semelhanças entre os seus TTPs ao longo da "cadeia de ciber-morte". As formas de ataque revelaram-se bastante previsíveis, com o ransomware a seguir um padrão que inclui a rede corporativa ou o computador da vítima.
Também a entrega de malware, a descoberta subsequente, o acesso às credenciais, a eliminação dos backups e, finalmente, a realização dos seus objetivos. Os analistas também explicam algumas razões pelas quais existe esta semelhança entre os ataques:
• O surgimento de um fenômeno chamado “Ransomware-as-a-Service” (RaaS), no qual grupos de ransomware não entregam malware, mas apenas fornecem serviços de criptografia de dados. Remetentes de arquivos maliciosos salvam "trabalho" usando métodos de entrega de modelos ou ferramentas de automação para obter acesso.
• Reutilizar ferramentas antigas e similares facilita a vida aos atacantes e reduz o tempo para se prepararem para um ataque.
• Reutilizar TTPs comuns facilita a hacking. Embora seja possível detetar estas técnicas, é muito mais difícil fazê-lo preventivamente em todos os vetores de ameaça possíveis.
• Instalação lenta de atualizações e correções entre as vítimas.
Como lidar com ransomware
• A sistematização dos vários TTPs utilizados pelos atacantes levou à formação de um conjunto geral de regras SIGMA de acordo com o MITRE ATT&CK que ajuda a prevenir tais ataques. Nikita Nazarov, team lead da equipa de Inteligência de Ameaças da Kaspersky, disse: "Nos últimos anos, o ransomware tornou-se um pesadelo para toda a indústria de cibersegurança.
• "É um desafio para especialistas em cibersegurança e um enorme investimento de tempo para estudar cada grupo de ransomware. Há muito tempo que seguimos a atividade de vários grupos, e este relatório representa os resultados de um grande trabalho analítico. O seu objetivo é servir de guia para profissionais de cibersegurança que trabalham em todos os tipos de organizações, facilitando o seu trabalho", disse.
Principais conselhos para as empresas
Para que as empresas se protejam destes ataques de ransomware, a Kaspersky recomenda:
—Não exponha serviços de ambientes de trabalho remotos (como RDP) a redes públicas. A menos que seja absolutamente necessário, além de usar sempre senhas fortes para eles.
—Instale rapidamente patches disponíveis para soluções VPN comerciais que ofereçam acesso a funcionários remotos.
—Mantenha sempre o software atualizado em todos os dispositivos. Isto impede o ransomware de explorar vulnerabilidades
—Concentre a estratégia de defesa na deteção de movimentos laterais e exfiltração de dados para a Internet. Preste também especial atenção ao tráfego de saída para detetar as ligações de cibercriminosos.
—Faça o back-up de dados regularmente. Certifique-se de que pode aceder rapidamente a eles em caso de emergência.
—Formar colaboradores para proteger o ambiente corporativo.
—Utilize soluções como ajudar a identificar e parar o ataque nas fases iniciais, antes que os cibercriminosos atinjam os seus alvos finais. Também aposte numa solução de segurança fiável para os pontos finais.
—Use as informações mais recentes sobre a Inteligência de Ameaças para ficar no topo dos TTPs reais utilizados pelos atores das ameaças