Quais são os 3 elementos da análise de ransomware?

Com a evolução da estratégia e táticas usadas pelos cibercriminosos, é essencial que as organizações tenham uma perspectiva geral para defesa, detecção, resposta e recuperação. Felipe Nascimento, diretor de engenharia de soluções da Tanium para América Latina, explica como realizar esse processo e mostra o exemplo da investigação à ADA

Compartilhar:

O ataque de ransomware à ADA é mais um indicador de uma tendência emergente entre os agentes de ransomware, a criatividade. Em vez do pedido de resgate típico para restauração de dados que se tornou comum, os cibercriminosos expandiram seu raio de ação. Eles passaram a adotar uma abordagem multifacetada, além de resgatar a vítima principal, o que deve ser uma preocupação para a ADA e seus membros. Vítimas de segunda mão, incluindo consultórios odontológicos e provedores de seguros, podem ser alvos em potencial com base nos dados obtidos no ataque primário de ransomware. 

 

Esteja atento às repercussões 

 

É fundamental entender quais sistemas também podem estar em risco de movimento lateral ou comprometimento da conta. As organizações que têm conexões comerciais com a ADA devem monitorar de perto quaisquer atualizações oficiais sobre o ataque. 

 

Para estar melhor preparado para qualquer problema residual, consultórios odontológicos, seguradoras, etc., devem aderir à melhores práticas e estar atentos aos métodos usados ​​para expandir a superfície de ataque. Para começar, fique atento a links de phishing e altere imediatamente quaisquer senhas reutilizadas que possam ter feito parte dos sistemas ADA. E o mais importante: certifique-se de que qualquer comunicação ou correspondência sobre o incidente venha de uma fonte legítima na ADA, em vez de e-mails comprometidos que podem parecer oficiais, mas são fraudulentos. 

 

Ações necessárias 

 

Os ciberatacantes sabem que os backups são uma opção comum para evitar pagar por dados criptografados por ransomware. Como resultado, eles trabalharão para corromper os backups que podem ser acessados ​​como resultado do ataque original. Essa ação ressalta a necessidade de backups offline e comunicações de incidentes fora de banda, já que qualquer sistema conectado durante o incidente, como e-mail, provavelmente está comprometido e não pode ser confiável. 

 

Com a evolução da estratégia e táticas usadas pelos agentes de ransomware, é essencial que as organizações tenham uma perspectiva geral para defesa, detecção e resposta/recuperação. A detecção precoce da presença de um invasor e a tentativa de filtração exigem a compreensão do comportamento “normal” no ambiente para estabelecer uma linha de base que alerta contra quaisquer anomalias, para que possam ser sinalizadas e investigadas com mais detalhes. 

 

Embora essa abordagem de linha de base pareça simples, esconde uma complexidade. Alcançar essa visão do seu ambiente requer contexto em tempo real e a capacidade de avaliar o risco dinâmico à medida que novos dispositivos entram na rede, funcionários integrados/desconectados e o surgimento de novas vulnerabilidades.

 

A recuperação deve ir além de “limpar e refazer a imagem” para incluir verificações completas que possam identificar sinais residuais de comprometimento e, sempre que possível, determinar claramente os pontos de acesso iniciais para evitar a reintrodução do vetor de ataque durante os esforços de recuperação. 

Destaques

Colunas & Blogs

Conteúdos Relacionados

Security Report | Destaques

TRE da Bahia protege sistemas com jornada Zero Trust

O Tribunal Regional Eleitoral adotou o modelo Zero Trust em parceria com a Cisco, implementando estratégias de MFA com...
Security Report | Destaques

ATUALIZADO: Linha do tempo destaca ataques mais recentes

Painel de incidentes foi atualizado com os casos envolvendo a TV Justiça, a Sociedade Esportiva Palmeiras, o Porto de Santos,...
Security Report | Destaques

Regulação da IA: Brasil deve seguir projeto próprio de governança?

Debate voltou aos holofotes com o questionamento se os países devem investir especificamente em regulações que levem em consideração a...
Security Report | Destaques

Ataque cibernético impacta serviços da Unimed 

Em nota, a cooperativa do Vale do Taquari e Rio Pardo afirmou que investiga o incidente cibernético ocorrido nesta terça-feira...