Os especialistas da Kaspersky realizaram uma análise aprofundada das táticas, técnicas e procedimentos dos oito grupos de ransomware mais comuns — Conti/Ryuk, Pysa, Clop, Hive, Lockbit2.0, RagnarLocker, BlackByte e BlackCat. Comparando os métodos e ferramentas dos invasores em diferentes estágios do ataque, eles concluíram que muitos grupos operam de acordo com esquemas muito próximos. Isso permite criar contramedidas universais eficazes que podem proteger a infraestrutura da empresa contra ransomware.
Detalhes do estudo com análises detalhadas de cada técnica e exemplos de seu uso na natureza podem ser encontrados no relatório TTPs Comuns de Grupos de Ransomware Modernos. O documento também contém regras para detectar técnicas maliciosas no formato SIGMA.
O relatório destina-se principalmente a analistas de Centros de Operação de Segurança, especialistas em Threat Hunting e Threat Intelligence e experts em resposta a incidentes e investigação. No entanto, nossos pesquisadores também coletaram as melhores práticas para combater ransomwares em várias fontes no relatório. Seria útil repetir as principais recomendações práticas para proteger a infraestrutura corporativa na etapa de prevenção aqui em nosso blog.
Prevenção contra intrusos
A opção ideal é interromper o ataque de ransomware antes que a ameaça esteja no perímetro corporativo. As seguintes medidas ajudarão a reduzir o risco de intrusão:
• Filtragem do tráfego de entrada. As políticas de filtragem devem ser implementadas em todas as pontas dos dispositivos— roteadores, firewalls, sistemas IDS. Não se esqueça da filtragem de e-mail de spam e phishing. É aconselhável usar uma sandbox para validar anexos de e-mail;
• Bloqueio de sites maliciosos. Restrinja o acesso a sites maliciosos conhecidos. Por exemplo, implemente servidores proxy de interceptação. Também vale a pena usar feeds sobre dados de inteligência contra ameaças para manter listas atualizadas de ciberameaças;
• Uso de Deep Packet Inspection (DPI). Uma solução de classe DPI no nível do gateway permitirá que você verifique se há malware no tráfego;
• Bloqueio de código malicioso. Use assinaturas para bloquear malwares;
• Proteção RDP. Desative o RDP sempre que possível. Se, por algum motivo, você não conseguir parar de usá-lo, coloque sistemas com uma porta RDP aberta (3389) atrás de um firewall e permita o acesso a eles apenas por meio de uma VPN;
• Autenticação multifator. Use autenticação multifator, senhas fortes e políticas de bloqueio automático de conta em todos os pontos que podem ser acessados remotamente;
• Listas de conexões permitidas. Crie uma lista de permissão de IPs usando hardwares de firewall;
• Corrija vulnerabilidades conhecidas. Instale em tempo hábil patches para correção de vulnerabilidades em sistemas e dispositivos de acesso remoto com conexão direta à Internet.
O relatório também contém conselhos práticos sobre proteção contra exploração e movimentação lateral, bem como recomendações para combater vazamentos de dados e se preparar para um incidente.
