Brasil: Ransomware coloca o país entre a lista dos 10 mais afetados no mundo

O Brasil sofreu em 2020 mais de 3,8 milhões de ataques de ransomware, ficando somente atrás dos Estados Unidos, África do Sul, Itália, Reino Unido, Bélgica, México, Holanda e Canadá. O número exponencial de ataques foi impulsionado, claro, pelo home office – que fez com que as empresas movessem suas operações rapidamente – e sem as…
Emilia Bertolli
3 minuto de leitura
Ultima atualização 27 de Outubro de 2021

O Brasil sofreu em 2020 mais de 3,8 milhões de ataques de ransomware, ficando somente atrás dos Estados Unidos, África do Sul, Itália, Reino Unido, Bélgica, México, Holanda e Canadá. O número exponencial de ataques foi impulsionado, claro, pelo home office – que fez com que as empresas movessem suas operações rapidamente – e sem as ferramentas necessárias para garantir a proteção efetiva. 

Os dados fazem parte de um relatório da SonicWall divulgado no início de março de 2021. Com o Brasil na mira dos criminosos, novas tecnologias e abordagens precisam ser analisadas como uma alternativa viável – e uma das mais importantes delas é o UBA – User Behavior Analytics. 

Como funciona o UBA? 

Ao contrário de firewalls e software antivírus, o User Behavior Analytics ou UBA  concentra-se no que o usuário está fazendo: aplicativos iniciados, atividade de rede e, mais criticamente, arquivos acessados ​​(quando o arquivo ou e-mail foi tocado, quem o tocou, o que foi feito com e com que frequência). 

A tecnologia UBA busca padrões de uso que indiquem comportamento incomum ou anômalo — independentemente de as atividades virem de um hacker, terem sido geradas internamente, ou mesmo que a origem seja um malware. Embora o UBA não impeça que hackers ou usuários internos entrem em seu sistema, a tecnologia pode detectar rapidamente o trabalho deles e minimizar os danos. 

Os sistemas tradicionais de prevenção e detecção que protegem contra ameaças externas são amplamente ineficazes na detecção e na detecção de ameaças internas. Muitas vezes, esses sistemas são preparados para procurar indicadores de comprometimento (IoCs) que um insider simplesmente não precisa usar, como tentativas de login excessivas, irregularidades geográficas, tráfego da web com comportamento não humano ou qualquer outra tática, técnicas e procedimentos (TTPs) indicativos de ataques externos. 

O indicador mais proeminente de um ataque interno é o abuso de privilégios –fazer coisas que o funcionário não tem permissão legítima para fazer. A detecção desse comportamento requer ferramentas que examinam as ações dos usuários –especialmente aquelas pessoas com permissões elevadas, como administradores de sistemas, gerentes e executivos –e procuram comportamentos que estão fora da faixa de atividades permitidas e normais.  

Uma ferramenta UBA coleta dados anteriores e atuais, como atividades de usuários e entidades, funções e grupos de usuários e acesso a contas e permissões de serviços de diretório. A partir desses e de outros dados, a ferramenta estabelece uma linha de base das atividades normais para indivíduos e seus grupos de pares. Em seguida, big data e aprendizado de máquina são usados ​​para destacar os desvios dessas linhas de base.  

Modelos de ameaças UBA da Varonis 

Os modelos de ameaças Varonis UBA descobrem problemas de segurança rapidamente e fornecem contexto sobre metadados e o que realmente está acontecendo em seus servidores de arquivo e email, SharePoint e Active Directory. 

Os alertas comportamentais avançados da Varonis detectam atividades suspeitas em todos os estágios de uma possível violação de dados: do reconhecimento inicial à exfiltração de dados. Veja alguns comportamentos anormais que podem ocorrer – e que são detectados pela tecnologia UBA da Varonis: 

Exfiltração 

Acesso a dados confidenciais 

Pode indicar uma tentativa não autorizada de obter acesso a ativos de dados confidenciais. As ações do usuário são comparadas ao seu perfil comportamental e um alerta é criado quando um desvio é descoberto. 

Acesso a caixas de correio atípicas 

Pode indicar uma tentativa não autorizada de explorar os privilégios do serviço para obter acesso aos ativos de dados. As ações do usuário são comparadas ao seu perfil comportamental e um alerta é criado quando um desvio é descoberto. 

Intrusão 

Intrusão de criptografia 

Pode indicar a presença de Ransomware. 

Exploits 

Modificação de GPOs críticos 

Pode indicar tentativas não autorizadas de obter acesso por meio da alteração de políticas ou do uso de grupos privilegiados. Também pode indicar tentativas de negar o acesso dos usuários aos sistemas, especialmente se realizado sem levar em conta os processos de controle de mudança estabelecidos. 

Exploits na rede 

Indicando tentativas de hacking já conhecidas. 

Mudanças de permissionamento 

Pode indicar tentativa não autorizada de obter acesso por meio de grupos privilegiados ou impedir que os administradores respondam ao ataque, especialmente se realizado fora dos processos de controle de alterações estabelecidos. 

Conta administrativa ou de serviço desativada ou excluída 

Pode indicar uma tentativa não autorizada de danificar a infraestrutura, negar aos usuários o acesso aos sistemas ou ofuscar, especialmente se realizada fora dos processos de controle de alterações estabelecidos. 

Escalonamento de Privilégios 

Acesso de não administrador a arquivos contendo credenciais 

Tentativa não autorizada de extrair credenciais ou negar acesso aos sistemas. 

Vários eventos abertos em arquivos que provavelmente contêm credenciais 

Pode indicar uma tentativa não autorizada de extrair credenciais. 

Reconhecimento 

Uso de Ferramentas para varredura 

Pode indicar a presença não autorizada de ferramentas de reconhecimento que podem ser usadas para fazer a varredura da rede corporativa ou para pesquisar vulnerabilidades. 

Sem qualquer configuração, os modelos de ameaça Varonis UBA detectam os sinais de atividade de ransomware – quando os arquivos estão sendo criptografados — e, portanto, podem parar esses ataques sem ter que confiar em uma lista estática de assinaturas. 

Uma vez detectado, uma combinação de etapas automatizadas pode ser acionada para evitar que a infecção se espalhe: por exemplo, desabilitar o usuário infectado, o computador infectado, as unidades de rede na máquina infectada ou NICs. 

Saiba mais como os modelos de ameaças podem ajudar a sua empresa a se antecipar às ameaças potenciais atuais – agende uma demo aqui

O que devo fazer agora?

Listamos abaixo três recomendações para reduzir os riscos de dados na sua organização:

1

Agende uma demonstração conosco: Veja a usabilidade de Varonis em uma sessão personalizada com base nas necessidades de segurança de dados da sua organização. Responderemos a todas as suas perguntas.

2

Veja um exemplo do nosso Relatório de Risco de Dados: Conheça as ameaças que podem permanecer no seu ambiente. O Relatório da Varonis é gratuito e demonstra claramente como realizar a remediação automatizada.

3

Siga-nos no LinkedIn, YouTube e X (Twitter): Obtenha insights detalhados sobre todos os aspectos da segurança de dados, incluindo DSPM, detecção de ameaças, segurança de IA, entre outros.

Experimente Varonis gratuitamente.

Obtenha um relatório detalhado de risco de dados com base nos dados da sua empresa.
Implanta em minutos.

Keep reading

Varonis tackles hundreds of use cases, making it the ultimate platform to stop data breaches and ensure compliance.

cinco-etapas-críticas-para-se-recuperar-de-um-ataque-de-ransomware
Cinco etapas críticas para se recuperar de um ataque de ransomware
Os hackers estão usando cada vez mais o ransomware como uma forma de ataque eficiente para atacar organizações e, consequentemente, financiar atividades maliciosas.  Um relatório da SonicWall divulgado em março deste ano apontou que o Brasil foi o alvo preferencial dos criminosos cibernéticos em 2020. No ano passado, o país foi um dos que mais sofreu ataques de ransomware. Outros dados, como os…
guia-sobre-ransomware:-tipos-e-definições-de-ataques-de-ransomware
Guia sobre Ransomware: tipos e definições de ataques de ransomware
Ataques de ransomware podem resultar em perda significativa de dados, funcionalidade do sistema e recursos financeiros. Mas o que exatamente é ransomware? O ransomware pode assumir uma variedade de formas e formatos, sem mencionar que os invasores estão em constante evolução e adaptação ao longo do tempo. As organizações precisam estar bem informadas sobre os…
saiba-como-reduzir-ameaças-de-ataques-cibernéticos
Saiba como reduzir ameaças de ataques cibernéticos
Vulnerabilidades conhecidas, configurações incorretas e ataques a credenciais são os principais vetores de ataques cibernéticos 
como-mitigar-ataques-golden-ticket-com-pac-(privileged-attribute-certificate)
Como mitigar ataques Golden Ticket com PAC (Privileged Attribute Certificate)
Tentar realizar um ataque Golden Ticket, conhecido, mas muito difícil de executar, passou a fazer parte, nos últimos anos, das avaliações de segurança e cenários de ataques ao vivo das operadoras.