Os ransomware’s combinam com as defesas cibernéticas automatizadas

Ferramentas modernas de segurança baseadas em IA automatizam a detecção de ameaças e emitem alertas para a equipe de segurança de TI
Emilia Bertolli
3 minuto de leitura
Ultima atualização 11 de Fevereiro de 2022

Um ponto positivo dos hackers, se é que podemos chamar assim, é que, mesmo sob ataque sua empresa ainda consegue trabalhar e gerar receita. Já os responsáveis por ataques de ransomware não são tão “bonzinhos”. O malware utilizado por eles bloqueia sistemas e impede que as empresas operem normalmente, causando ainda mais prejuízos.

E os ataques não param. Em 2019, houve um aumento de 500% em relação ao ano anterior e as vítimas incluem mais de 700 empresas de saúde, 100 agências governamentais e 80 universidades e faculdades. Uma empresa norueguesa, do setor de alumínio, sofreu um ataque maciço que criptografou arquivos de mais 20 mil computadores no começo de 2020.

Infectado pelo LockerGoga, o sistema da empresa foi interrompido e seus 35 mil funcionários tiveram que trabalhar manualmente. Em outras palavras, uma indústria do século 21 teve que trabalhar como se estivesse no século 19.

Há alguns anos, porém, as gangues cibernéticas atuavam em uma escala muito menor. No início, eles pensavam em invadir redes WiFi mal protegidas para roubar números de cartões de crédito para vendê-los na Darkweb. Hoje, a gangue por trás do Sodinokibi, uma variedade devastadora de ransomware, infecta empresas em escala mundial. Eles trabalham de maneira corporativa e ganham dinheiro com um modelo de ransomware como serviço. A “empresa” recebe uma parcela do valor dos resgates, em Bitcoin, de cada golpe efetuado por seus “afiliados”, ladrões menores que iniciam uma infecção real.

Eles mantêm, até um call center 24 horas por dia, 7 dias por semana, para lidar com dúvidas das vítimas. Embora boa parte dos pagamentos envolvam valores pequenos, acredita-se que esses “afiliados” consigam gerar cerca de 1 bilhão de dólares em receita. Além disso, assim que a carga útil do ransomware estiver no sistema – normalmente após um e-mail de phishing ou ataque de força bruta – os criminosos podem esperar tranquilos, o Sodinokibi é completamente automatizado.

O Sodinokibi busca por vulnerabilidades conhecidas e que ainda não foram corrigidas para explorar privilégios de nível superior. Em seguida, gera suas próprias chaves e criptografa todos os arquivos encontrados localmente e na rede, explorando completamente os recursos de vários threads dos núcleos do processador para acelerar o ataque. Depois que o pedido de resgate é exibido nos computadores dos usuários, a “empresa” está pronta para processar os pagamentos.

Lutando contra ataques automatizados


E ainda há mais notícias desanimadoras. As defesas são insuficientes, os dados corporativos continuam a crescer, e a TI, com frequência, tem uma mentalidade pré-industrial quando se trata de abordar esses criminosos. Os ladrões cibernéticos do século 21 contam com orçamentos de pesquisa e desenvolvimento próprios, e estão sempre aprimorando o seu “produto”, tornando-o mais rápido, furtivo e inteligente em relação às defesas.

A TI precisa ficar mais eficiente ao detectar e-mails de phishing, melhorar a segurança de senhas e educar os funcionários sobre ataques de engenharia social. Embora seja importante dificultar a obtenção de um ponto de apoio para o ransomware, ele não trata do problema principal de gerenciar permissões de arquivo fracas ou excessivas que tornam possível para o ransomware criptografar grandes segmentos do sistema de arquivos.

Nossas pesquisas de segurança de dados mostram que as empresas têm quase 1,5 milhão de arquivos por terabyte (TB) de dados. Desses, mais de 350 mil arquivos têm acesso global, disponível para qualquer pessoa na rede, incluindo invasores. Em outras palavras, um ataque de ransomware pode não precisar ter permissões elevadas para ter sucesso.

A TI enfrenta um enorme desafio de configurar permissões de arquivo adequadas em sistemas com vários terabytes de informações. O primeiro passo é implementar práticas automatizadas de governança de dados: software para varrer sistemas de arquivos com eficiência, determinar padrões de acesso dos funcionários e definir permissões que limitam o acesso apenas para realmente precisa.

O Varonis Data Classification Engine ajuda a TI a combater os criminosos cibernéticos. Ele automatiza o processo de localização de dados confidenciais ocultos no seu sistema de arquivos.

Além disso, a solução classifica dados corporativos para encontrar informações confidenciais e bloquear esses arquivos com permissões especiais restritas a muitos poucos funcionários. Novamente, em milhões de arquivos, isso não pode ser realizado manualmente ou por meio de ferramentas de TI domésticas.

Detectar furtividade requer automação e inteligência de máquina


Implementar uma boa governança de dados por meio de técnicas automatizadas limita o risco total quando um incidente acontece. No entanto, é preciso detectar e tentar interromper um ataque antes que ele avance.

Infelizmente, o malware moderno é projetado para ser difícil de ser detectado por meio de técnicas convencionais, como um antivírus. Um dos motivos é que o malware tira proveito de falhas do Windows, principalmente do PowerShell e de outros utilitários padrão. Assim, para a TI, o malware pode parecer um usuário comum, executando scripts comuns quando, na verdade, está desativando as defesas, pesquisando dados e os roubando.

Como identificar esse malware? Automatizando a detecção de ameaças e encontrando o ransomware antes que ele possa invadir e bloquear o sistema. É necessário usar técnicas avançadas, que coincidem com a inteligência dos invasores. Por exemplo, não adianta buscar por assinaturas óbvias no próprio malware, mas se concentrar no que ele faz.

No caso do ransomware, por exemplo, podemos esperar leituras e gravações rápidas de arquivos em um diretório, entre outras atividades incomuns. Usando técnicas de aprendizado de máquina para treinar softwares, as empresas têm uma abordagem muito mais rápida e confiável para descobrir malwares, mantendo ao mínimo os falsos positivos.

O caminho da segurança à frente


Encontrar dados confidenciais em milhões de arquivos, ajustar permissões e monitorar ameaças está além dos recursos da maioria das equipes de TI, a menos que tenham ajuda significativa da automação. Isso não significa que a intervenção humana não seja necessária. Modernas ferramentas de segurança baseadas em IA podem exibir informações de segurança por meio de painéis para que os profissionais de segurança analisem o alerta.

A IA permite que as equipes de TI se concentrem nas áreas em que suas decisões fazem a diferença, enquanto filtram e lidam com ameaças que se encaixam mais facilmente em padrões bem compreendidos que podem ser gerenciados por meio da automação. Deseja saber mais? Solicite uma demonstração ao vivo com um engenheiro comercial Varonis.

O que devo fazer agora?

Listamos abaixo três recomendações para reduzir os riscos de dados na sua organização:

1

Agende uma demonstração conosco: Veja a usabilidade de Varonis em uma sessão personalizada com base nas necessidades de segurança de dados da sua organização. Responderemos a todas as suas perguntas.

2

Veja um exemplo do nosso Relatório de Risco de Dados: Conheça as ameaças que podem permanecer no seu ambiente. O Relatório da Varonis é gratuito e demonstra claramente como realizar a remediação automatizada.

3

Siga-nos no LinkedIn, YouTube e X (Twitter): Obtenha insights detalhados sobre todos os aspectos da segurança de dados, incluindo DSPM, detecção de ameaças, segurança de IA, entre outros.

Experimente Varonis gratuitamente.

Obtenha um relatório detalhado de risco de dados com base nos dados da sua empresa.
Implanta em minutos.

Keep reading

Varonis tackles hundreds of use cases, making it the ultimate platform to stop data breaches and ensure compliance.

ataques-de-ransomware-estão-aumentando-com-trabalho-híbrido
Ataques de ransomware estão aumentando com trabalho híbrido
Com a adoção do trabalho híbrido as empresas se viram obrigadas a rever suas estratégias de segurança e investir na resiliência cibernética 
ataques-de-ransomware-impactam-setor-financeiro
Ataques de Ransomware impactam setor financeiro
Um dos setores mais visados por grupos de ransomware, o setor financeiro precisa implementar práticas de segurança para reduzir riscos de ataques 
entenda-o-que-é-sspm-e-sua-importância-para-a-segurança-saas
Entenda o que é SSPM e sua importância para a segurança SaaS
O SSPM visa fortalecer a postura de segurança de uma empresa usando ferramentas tecnológicas e automação 
adylkuzz:-como-o-ransomware-wannacry-alertou-o-mundo-para-ameaças-piores
Adylkuzz: Como o ransomware WannaCry alertou o mundo para ameaças piores
A variedade de ransomwares no seu ambiente é um indício que anuncia, rudemente, porém, felizmente, problemas maiores de segurança: ameaças internas e ataques cibernéticos que tiram vantagem do excesso de arquivos aos quais seus funcionários têm acesso.