©2022 - Todos os Direitos Reservados
Polìtica de Privacidade
Entrar em contato
Ataques ransomwares

Pare os Ataques Ransomware: guia completo da CISA

Equipe EcoTrust

9 min read
Pare os Ataques Ransomware: guia completo da CISA

Os ataques ransomware correspondem a uma das formas de malware que mais vem crescendo e preocupando gestores de tecnologia em todo o mundo.

Eles buscam criptografar arquivos em um dispositivo, tornando inutilizáveis tanto os próprios arquivos quanto os sistemas que deles dependem.

Em seguida, os cibercriminosos exigem que as empresas paguem um resgate em troca da descriptografia.

Segundo um levantamento da Kaspersky, a quantidade de instituições afetadas por ataques ransomware em 2022 quase dobrou em relação ao ano anterior.

Os ataques ransomware têm se tornado mais destrutivos e impactantes, causando severos danos aos processos de negócios ao impossibilitar que as empresas acessem os dados necessários para manter suas atividades e fornecer os serviços essenciais.

Isso acarreta impactos financeiros e de reputação para o negócio e, por isso, lidar com os ataques ransomware é uma tarefa desafiadora e custosa para empresas de diversos portes.

Muitas vezes, o processo de recuperação é prolongado, com um tempo considerável de inatividade dos sistemas, que causa enormes impactos operacionais.

Além disso, é preciso considerar a perda da produtividade tanto no período de inatividade dos sistemas quanto no período imediatamente posterior, quando a equipe precisa retomar o que estava fazendo.

Os custos da recuperação podem ser altos, relacionando-se não apenas ao pagamento pelo resgate dos dados, mas também à contratação de especialistas em cibersegurança, à substituição de hardwares e softwares e à adoção de medidas de segurança adicionais.

Devem ser considerados também os custos de notificação e conformidade, além do pagamento de multas e outras penalidades previstas em leis como a LGPD.

A conscientização sobre os riscos corridos em relação aos ataques ransomware e outras estratégias do cibercrime tem aumentado entre os gestores.

Mas o grande desafio tem sido o de encontrar orientações e direcionamentos para que as empresas realmente consigam se proteger dos ataques ransomware e reagir satisfatoriamente quando eles ocorrerem.

Por isso, são muito relevantes iniciativas como a da CISA (Cybersecurity and Infrastructure Security Agency), que lançou recentemente um guia para ajudar as organizações a lidarem com ataques ransomware.

Abordaremos nos próximos tópicos os principais pontos deste guia. Continue a leitura!

O guia contra ataques ransomware disponibilizado pela CISA

O guia da CISA é a atualização de uma publicação anterior da CISA e do Multi-State Information Sharing & Analysis Center (MS-ISAC), lançada em 2020.

O objetivo é oferecer recomendações e práticas mais completas e eficazes, além de atualizadas de acordo com a evolução dos ataques ransomware.

Sendo assim, ele é dividido em duas partes:

  1. Listagem das melhores práticas de prevenção de ataques ransomware e extorsão de dados;
  2. Lista de verificação de resposta a esses incidentes.

A parte 1, na qual manteremos o foco nos próximos tópicos, fornece orientações para as organizações reduzirem o impacto e a probabilidade de ataques ransomware e extorsão de dados.

Ela inclui diversas recomendações para que a empresa se prepare, previna e mitigue esses incidentes.

Para a elaboração dessa lista, a agência se baseou em insights operacionais próprios e também do MS-ISAC, da National Security Agency (NSA) e do Federal Bureau of Investigation (FBI).

Seguir as recomendações e boas práticas expostas no guia significa ter acesso a formas eficazes e avançadas de lidar com os ataques ransomware.

Ao adicionar o FBI e a NSA como co-autores do documento, a CISA incorporou esforços relevantes e adicionou recomendações para prevenir vetores comuns de infecção inicial, incluindo credenciais comprometidas e formas avançadas de engenharia social.

As recomendações também foram atualizadas com a abordagem de backups em nuvem e arquitetura de Zero Trust.

O novo guia também expande a lista de verificação de resposta aos ataques ransomware com dicas de caça às ameaças para detecção e análise.

Pela abrangência, pela atualidade e pela eficácia, o guia #StopRansomware da CISA é uma das diretrizes mais acessíveis e recomendadas atualmente.

No próximo tópico, abordaremos as principais práticas listadas na primeira parte do guia. Confira.

Principais práticas recomendadas pela CISA para lidar com os ataques ransomware

Abordaremos em seguida os principais pontos presentes na primeira parte do guia da CISA, que é dedicada, como vimos, à enumeração das melhores práticas de preparação, prevenção e mitigação dos ataques ransomware.

Preparação para incidentes de ransomware e extorsão de dados

As práticas presentes na primeira seção do guia ajudam no gerenciamento de riscos causados pelos ataques ransomware, possibilitando uma resposta coordenada e eficiente em caso de incidentes.

Veja em seguida as principais entre elas:

  • Mantenha offline backups criptografados de dados críticos e teste regularmente a disponibilidade e integridade dos backups em cenários de recuperação de desastres para evitar ataques ransomware a backups acessíveis;
  • Mantenha e atualize regularmente as "imagens douradas" de sistemas críticos, incluindo "modelos" de imagens com um sistema operacional pré-configurado e aplicativos de software associados que podem ser rapidamente implantados para reconstruir um sistema;
  • Use infraestrutura como código (IaC) para implantar e atualizar recursos em nuvem e mantenha backups de arquivos de modelo offline para redistribuir recursos rapidamente;
  • Armazene o código-fonte ou executáveis junto com os backups offline (bem como acordos de custódia e licenças);
  • Mantenha um hardware de backup para reconstruir sistemas caso a reconstrução do sistema primário não seja preferível;
  • Considere substituir hardwares desatualizados que dificultem a restauração, pois um hardware mais antigo pode apresentar obstáculos de instalação ou compatibilidade ao reconstruir a partir de imagens;
  • Considere o uso de uma solução de várias nuvens (multi-cloud) para evitar a dependência de um único fornecedor para backups de nuvem a nuvem;
  • Use o armazenamento imutável oferecido por alguns fornecedores de nuvem com cautela, pois ele pode não atender aos critérios de conformidade de certas regulamentações e isso pode gerar custos significativos;
  • Crie, mantenha e exercite regularmente um plano básico de resposta a incidentes cibernéticos e um plano de comunicações associado que inclua procedimentos de resposta e notificação para ataques ransomware e violação de dados. Mantenha uma cópia impressa do plano e uma versão offline disponível;
  • Garanta que os procedimentos de notificação de violação de dados estejam em conformidade com as leis estaduais aplicáveis;
  • Para violações envolvendo informações pessoalmente identificáveis (PII), notifique as pessoas afetadas para que possam tomar medidas para reduzir a chance de que suas informações sejam mal utilizadas;
  • Notifique as empresas sobre uma violação se as PII armazenadas em nome de outras empresas forem roubadas;
  • Garanta que o plano de resposta a incidentes e o plano de comunicações sejam revisados e aprovados por escrito pelo CEO e que ambos sejam revisados e compreendidos pela equipe;
  • Inclua procedimentos de comunicação organizacional, bem como modelos de declarações de espera de incidentes cibernéticos no plano de comunicações;
  • Alcance um consenso sobre qual nível de detalhe é apropriado para compartilhar dentro da organização e com o público, e como a informação fluirá;
  • Implemente uma arquitetura de confiança zero (Zero Trust) para evitar o acesso não autorizado a dados e serviços.

Prevenção e mitigação de incidentes de ransomware e extorsão de dados

A segunda seção de práticas recomendadas pela CISA é dividida de acordo com os vetores comuns de acesso inicial utilizados nos ataques ransomware e extorsão de dados.

Vetor de Acesso Inicial: Vulnerabilidades e configurações incorretas voltadas para a Internet

  • Realize varreduras regulares de vulnerabilidades para identificar e corrigir vulnerabilidades, especialmente aquelas em dispositivos expostos à internet, a fim de limitar a superfície de ataque;
  • Atualize regularmente o software e os sistemas operacionais para as versões mais recentes disponíveis;
  • Dê prioridade à aplicação oportuna de patches em servidores expostos à internet, que operam software para processamento de dados da internet, como navegadores da web, plugins de navegador e leitores de documentos;
  • Garanta que todos os dispositivos locais, serviços em nuvem, dispositivos móveis e pessoais estejam configurados corretamente e que os recursos de segurança estejam habilitados;
  • Verifique rotineiramente o desvio de configuração para identificar recursos alterados ou introduzidos fora da implantação do modelo, reduzindo a probabilidade de novas lacunas de segurança e configurações incorretas serem introduzidas;
  • Utilize os serviços dos provedores de nuvem para automatizar ou facilitar a auditoria de recursos e garantir uma linha de base consistente;
  • Limite o uso de RDP e outros serviços de desktop remoto. Se o RDP for necessário, aplique as melhores práticas;
  • Atualize as VPNs, dispositivos de infraestrutura de rede e dispositivos usados para conexões remotas em ambientes de trabalho com os patches de software mais recentes e configurações de segurança;
  • Implemente a autenticação multifator em todas as conexões VPN para aumentar a segurança e exija que os trabalhadores remotos usem senhas com 15 caracteres ou mais;
  • Bloqueie ou limite o tráfego SMB interno para sistemas que exigem acesso. Isso deve limitar a movimentação lateral de intrusões em sua rede;
  • Implemente a assinatura SMB para prevenir certos ataques ransomware de adversários intermediários e de pass-the-hash;
  • Bloqueie o acesso externo ao SMB em sua rede bloqueando a porta TCP 445 e as portas UDP 137-138 relacionadas;
  • Implemente a criptografia SMB com reforço do Universal Naming Convention (UNC) para sistemas que suportam esse recurso. Isso deve limitar a possibilidade de ataques de interceptação;
  • Registre e monitore o tráfego do SMB para ajudar a identificar comportamentos potencialmente anormais.

Vetor de Acesso Inicial: Credenciais Comprometidas

  • Implemente uma autenticação multifator resistente a phishing para todos os serviços, especialmente para e-mail, VPNs e contas que acessam sistemas críticos;
  • Informe a alta administração ao descobrir sistemas que não permitem autenticação multifator, sistemas que não fazem cumpri-la e quaisquer usuários que não estejam inscritos neste modelo de autenticação;
  • Considere utilizar a autenticação multifator sem senha, que substitui senhas por dois ou mais fatores de verificação (como impressão digital, reconhecimento facial, PIN de dispositivo ou chave criptográfica);
  • Considere assinar serviços de monitoramento de credenciais que acompanham a dark web em busca de credenciais comprometidas;
  • Implemente sistemas de gerenciamento de identidade e acesso (IAM) para fornecer aos administradores as ferramentas e tecnologias para monitorar e gerenciar funções e privilégios de acesso de entidades individuais na rede, para aplicativos locais e em nuvem;
  • Implemente controle de acesso baseado em confiança zero criando políticas de acesso rigorosas para restringir o acesso do usuário aos recursos e o acesso de recurso a recurso;
  • Altere os nomes de usuário e senhas de administrador padrão;
  • Não use contas de acesso raiz para operações diárias. Crie usuários, grupos e funções para realizar tarefas;
  • Implemente políticas de senha que exijam senhas exclusivas de pelo menos 15 caracteres;
  • Faça cumprir políticas de bloqueio de conta após um certo número de tentativas de login malsucedidas;
  • Registre e monitore tentativas de login para detectar tentativas de força bruta de quebra de senhas e ataques de pulverização de senhas;
  • Armazene senhas em um banco de dados seguro e use algoritmos de hash fortes. Desative a opção de salvar senhas no navegador por meio do console de gerenciamento;
  • Implemente a solução de senha de administrador local sempre que possível, se o sistema operacional for mais antigo que o Windows Server 2019 e o Windows 10;
  • Eduque os colaboradores sobre a segurança adequada de senhas em seu treinamento anual de segurança, enfatizando a não reutilização de senhas e a não salvá-las em arquivos locais;
  • Utilize o Windows PowerShell Remoting, o Remote Credential Guard ou o RDP com o Modo de Administrador Restrito sempre que possível ao estabelecer uma conexão remota;
  • Separe as contas de administrador das contas de usuário. Permita apenas o uso de contas de administrador designadas para fins administrativos.

Vetor de Acesso Inicial: Phishing

  • Implemente um programa de conscientização e treinamento em segurança cibernética que inclua orientações sobre como identificar e relatar atividades suspeitas;
  • Implemente a marcação de emails externos nos clientes de email;
  • Implemente filtros no gateway de email para filtrar emails com indicadores maliciosos conhecidos, como assuntos maliciosos conhecidos, e bloqueie endereços IP suspeitos no firewall;
  • Habilite filtros de anexos comuns para restringir tipos de arquivos que normalmente contêm malware e não devem ser enviados por email;
  • Revise os tipos de arquivos em sua lista de filtros pelo menos semestralmente e adicione tipos de arquivos adicionais que se tornaram vetores de ataque;
  • Implemente a política e a verificação de autenticação, relatórios e conformidade baseada em domínio (DMARC) para reduzir a chance de emails falsificados ou modificados de domínios válidos;
  • Certifique-se de desativar scripts de macro para arquivos do Microsoft Office transmitidos por email;
  • Desative o Windows Script Host (WSH), que fornece um ambiente no qual os usuários podem executar scripts ou realizar tarefas.

Vetor de Acesso Inicial: Infecção por Malware Precursor

  • Utilize atualizações automáticas para o seu software de antivírus e anti-malware, bem como para as assinaturas;
  • Certifique-se de que as ferramentas estejam configuradas corretamente para alertar e indicar os sinais de alerta para notificar a equipe de segurança;
  • Utilize a lista de permissões de aplicativos e/ou soluções de detecção e resposta em endpoints (EDR) em todos os ativos para garantir que apenas o software autorizado seja executado;
  • No Windows, habilite o Windows Defender Application Control (WDAC) ou AppLocker ou ambos em todos os sistemas que suportam esses recursos;
  • Utilize a lista de permissões em vez de tentar listar e negar todas as possíveis permutações de aplicativos em um ambiente de rede;
  • Considere implementar a EDR para recursos baseados em nuvem;
  • Considere implementar um sistema de detecção de intrusões (IDS) para detectar atividades de comando e controle e outras atividades de rede potencialmente maliciosas que ocorrem antes da implantação do ransomware;
  • Certifique-se de que o IDS seja monitorado e gerenciado centralmente. Configure corretamente as ferramentas e direcione os alertas e indicadores para o pessoal apropriado;
  • Monitore indicadores de atividade e bloqueie a criação de arquivos de malware com a utilidade do Windows Sysmon.

Vetor de Acesso Inicial: formas avançadas de engenharia social

  • Crie políticas que incluam treinamento de conscientização em cibersegurança sobre formas avançadas de engenharia social para o pessoal que possui acesso à sua rede;
  • Implemente o Sistema de Nome de Domínio (DNS) Protetor. Ao bloquear atividades maliciosas na fonte, os serviços de DNS protetor podem fornecer alta segurança de rede para trabalhadores remotos;
  • Considere a implementação de navegadores em ambiente controlado para proteger os sistemas contra malwares originários da navegação na web.

Vetor de Acesso Inicial: terceiros e provedores de serviços gerenciados

  • Considere as práticas de gerenciamento de risco e higiene cibernética de terceiros ou provedores de serviços gerenciados (MSPs) nos quais sua organização depende para cumprir sua missão;
  • Se um terceiro ou MSP for responsável pela manutenção e segurança dos backups de sua organização, certifique-se de que eles estejam seguindo as melhores práticas aplicáveis mencionadas acima;
  • Garanta o uso do princípio de privilégio mínimo e separação de funções ao configurar o acesso de terceiros;
  • Considere a criação de políticas de controle de serviço (SCP) para recursos baseados em nuvem, a fim de evitar que usuários ou funções, em toda a organização, possam acessar serviços específicos ou realizar ações específicas dentro dos serviços.

Já está pensando nas estratégias que você pode colocar em prática imediatamente? Que tal contar com a tecnologia para te ajudar?

Agende uma demonstração do EcoTrust, uma plataforma de gestão de vulnerabilidades e riscos cibernéticos alinhada com as principais diretrizes e frameworks que objetivam a antecipação de ameaças cibernéticas.

Com ela, você reduz as possibilidades de ataques cibernéticos ao seu negócio e o torna mais preparado para lidar com eventuais incidentes. Quer tornar a sua estratégia contra os ataques ransomware mais robusta e ágil? Agende uma demonstração do EcoTrust e deixe seu negócio ainda mais seguro!

Inscreva-se para mais como este.

Enter your email
Subscribe