No último post falamos sobre a ascensão do ransomware e a necessidade de adicionar essa praga à lista de preocupações da equipe de segurança da informação.
Um dos maiores debates sobre o ransomware é se a vítima deve ou não pagar o resgate para ter seus dados de volta. Entender qual é o tipo de ransomware que atingiu a máquina é a melhor maneira de tomar essa decisão.
Veja a seguir os três tipos principais de ransomware identificados por pesquisadores:
Entre os ransomwares de criptografia mais populares estão o CryptoLocker e o CryptoWall. Ao se instalarem em uma máquina, esse tipo de malware criptografa dados para que se tornem ilegíveis e, para ter acesso a eles, é preciso ter as chaves para descriptografá-los.
Nessa variante, os hackers ameaçam a vítima dizendo que, se elas tentarem descriptografar algo, perderão tudo, ou, caso não paguem, terão todos os arquivos excluídos. Entre os exemplos mais populares estão o Gpcode e o FileCoder.
Nesse caso, quando os dados são apagados do disco, muitos permanecem salvos porque os hackers são preguiçosos e geralmente escolhem o caminho mais fácil, tornando possível uma recuperação.
Com um bloqueio, os hackers criam uma nova tela de login ou página de HTML para simular que uma agência governamental se apossou do computador. Eles então mostram um aviso dizendo que o usuário quebrou alguma lei (de direitos autorais, por exemplo). Entre os exemplos estão o Winlock e o Urausy. Os dados estão bloqueados, mas continuam lá.
Todas as variantes de ransomware se comportam de forma semelhante quando conseguem penetrar as defesas da rede. Veja algumas formas de mitigar essa ameaça:
Quando está sob ataque, o sistema sofre mudanças significativas, como um grande número de deleções. Ao monitorar os logs e configurar uma solução de monitoramento para emitir alertas quando esse comportamento é observado, é possível detectar a criação, a criptografia e a deleção de arquivos.
O User Behaviour Analytics (UBA) se tornou essencial na prevenção de ransomwares. Os hackers conseguem facilmente ultrapassar o perímetro e invadir a rede por meio de portas legítimas, como e-mail e credenciais, para ganhar acesso como usuários.
Quando estão dentro, fica fácil implementar um ataque por ransomware sem serem flagrados por um software de antivírus. De fato, para um administrador de TI que está apenas monitorando as atividades do sistema, a presença do hacker parece apenas a de um usuário qualquer.
O UBA cria um padrão de atividades normais do usuário, identifica variações e as relata em tempo real. Um administrador pode, por exemplo, configurar uma regra para identificar milhares de modificações em um curto período de tempo.
Com Varonis
The post O que você precisa saber sobre o ransomware – Parte 2 appeared first on Varonis Brazil.