Brasil,

O que fazer em meio a um ataque de ransomware?

  • Crédito de Imagens:Divulgação - Escrito ou enviado por  Marina Wodewotzky
  • SEGS.com.br - Categoria: Info & Ti
  • Imprimir

Identificação da variante do ataque e localização dos backups estão entre as ações recomendadas pela Fortinet

Os ataques de ransomware estão cada vez mais frequentes. De acordo com o relatório global de ameaças do FortiGuard Labs, da Fortinet, esse crime aumentou sete vezes na última metade de 2020 e se tornou ainda mais extensivo, atingindo quase todos os setores e países do mundo.

Ao mesmo tempo, as táticas dos criminosos mudam constantemente e já não basta possuir as estratégias defensivas corretas, mas avaliar continuamente as políticas de segurança, para garantir que as redes possuam as respostas atualizadas contra esse tipo de ataque.

Com isso em mente, a Fortinet, líder global em soluções de cibersegurança, preparou um checklist para ajudar organizações a lidarem com um ataque de ransomware quando ele acontecer:

• Execute o plano de RI: Se disponível, comece a executar seu plano de resposta a incidentes (RI) imediatamente. Se você não tiver um, as etapas abaixo podem ajudar. Em alternativa, contate o seu fornecedor de segurança para obter ajuda ou reporte o incidente à sua companhia de seguros; eles podem já ter uma lista de provedores de segurança especializados que podem ajudá-lo. Considere o potencial impacto que o incidente de segurança pode ter.

• Isole seus sistemas e interrompa a propagação: Existem várias técnicas para isolar a ameaça e impedir que ela se espalhe. Primeiro, identifique o alcance do ataque. Se o incidente já for generalizado, implemente bloqueios no nível da rede, como isolar o tráfego no switch ou na borda do firewall, ou considere desligar temporariamente a conexão com a Internet. Se disponível, a tecnologia de detecção e resposta de endpoint (EDR) pode bloquear o ataque no nível do processo, o que seria a melhor opção imediata com o mínimo de interrupção dos negócios. A maioria dos invasores de ransomware encontra uma vulnerabilidade para entrar em sua organização, como RDP exposto e e-mails de phishing.

• Identifique a variante do ransomware: Muitas das táticas, técnicas e procedimentos (TTPs) de cada variante de ransomware estão documentados publicamente. Determinar com qual cepa você está lidando pode dar pistas sobre a localização da ameaça e como ela está se espalhando. Dependendo da variante, algumas ferramentas de descriptografia podem já estar disponíveis para você quebrar a criptografia de seus arquivos.

• Identifique o acesso inicial: Determinar o ponto de acesso inicial, ou o primeiro sistema comprometido, ajudará a identificar e fechar a brecha em sua segurança. Os vetores de acesso inicial comuns são phishing, exploits em seus serviços de borda (como serviços de Área de Trabalho Remota) e o uso não autorizado de credenciais. Determinar o ponto inicial de acesso às vezes é difícil e pode exigir a experiência de equipes forenses digitais e especialistas em RI.

• Identifique todos os sistemas e contas infectados (escopo): Identifique qualquer malware ativo ou sobras persistentes em sistemas que ainda estão se comunicando com o servidor de comando e controle (C2). As técnicas de persistência comuns incluem a criação de novos processos que executam a carga maliciosa, o uso de chaves de registro de execução ou a criação de novas tarefas programadas.

• Descubra se os dados foram exfiltrados: Muitas vezes, os ataques de ransomware não apenas criptografam seus arquivos, mas também exfiltram seus dados. Eles farão isso para aumentar as chances de pagamento de resgate, ameaçando postar dados proprietários ou embaraçosos online. Procure por sinais de exfiltração de dados, como grandes transferências de dados em seus dispositivos de borda de firewall. Procure comunicações estranhas de servidores que vão para aplicações de armazenamento em nuvem.

• Localize seus backups e determine a integridade: Um ataque de ransomware tentará limpar seus backups online e cópias de sombra de volume para diminuir as chances de recuperação de dados. Por isso, certifique-se de que sua tecnologia de backup não foi afetada pelo incidente e ainda está operacional. Os invasores geralmente ficam em sua rede por dias, se não semanas, antes de decidirem criptografar seus arquivos. Isso significa que backups podem conter cargas maliciosas e que não podem ser restaurados para um sistema limpo. Analise seus backups para determinar sua integridade.

• Limpe os sistemas ou crie novas arquiteturas: Se existe confiança na capacidade de identificar todos os malwares ativos e incidentes de persistência em seus sistemas, então talvez não seja necessário reconstrui-los. No entanto, pode ser mais fácil e seguro criar sistemas novos e limpos. Você pode até considerar a construção de um ambiente limpo e totalmente separado para o qual poderá então migrar. Isso não costuma demorar muito em um ambiente virtual. Ao reconstruir ou higienizar sua rede, certifique-se de que os controles de segurança apropriados estejam instalados e de que estejam seguindo as práticas recomendadas para garantir que os dispositivos não sejam infectados novamente.

• Reporte o incidente: É importante relatar o incidente. É preciso também determinar se o relato às autoridades legais é necessário e obrigatório. Sua equipe jurídica pode ajudar a resolver quaisquer obrigações legais em torno de dados regulamentados. Se o ataque for grave e sua empresa abranger várias regiões geográficas, você pode precisar entrar em contato com os serviços de aplicação da lei nacionais e não locais.

• Pagando o resgate?: As autoridades policiais desaconselham o pagamento do resgate, no entanto, se você estiver pensando em fazê-lo, deverá contratar uma empresa de segurança com habilidades especializadas para ajudá-lo. Além disso, pagar o resgate não corrigirá as vulnerabilidades exploradas pelos invasores, portanto, certifique-se de ter identificado o acesso inicial e fechado as brechas.

• Conduza uma revisão pós-incidente: Analise sua resposta ao incidente para entender o que deu certo e para documentar oportunidades de melhoria. Isso garante a melhoria contínua de suas capacidades de resposta e recuperação para o futuro. Considere simular os detalhes técnicos e não técnicos do ataque para que você possa revisar suas opções.

“Quando ocorre um ataque de ransomware, tomar as medidas corretas é essencial para minimizar o impacto sobre a equipe e a organização”, explica Alexandre Bonatti, diretor de Engenharia da Fortinet Brasil. “Depois que um ataque ocorre, o pânico pode se espalhar pela empresa e criar problemas maiores. Os CISOs sabem que sobreviver a um ataque de ransomware requer um plano de resposta a incidentes, mas o desafio está na hora de documentar um plano completo e ter os recursos certos para implementá-lo quando necessário.”


Compartilhe:: Participe do GRUPO SEGS - PORTAL NACIONAL no FACEBOOK...:
 
https://www.facebook.com/groups/portalnacional/

<::::::::::::::::::::>
IMPORTANTE.: Voce pode replicar este artigo. desde que respeite a Autoria integralmente e a Fonte...  www.segs.com.br
<::::::::::::::::::::>
No Segs, sempre todos tem seu direito de resposta, basta nos contatar e sera atendido. -  Importante sobre Autoria ou Fonte..: - O Segs atua como intermediario na divulgacao de resumos de noticias (Clipping), atraves de materias, artigos, entrevistas e opinioes. - O conteudo aqui divulgado de forma gratuita, decorrem de informacoes advindas das fontes mencionadas, jamais cabera a responsabilidade pelo seu conteudo ao Segs, tudo que e divulgado e de exclusiva responsabilidade do autor e ou da fonte redatora. - "Acredito que a palavra existe para ser usada em favor do bem. E a inteligencia para nos permitir interpretar os fatos, sem paixao". (Autoria de Lucio Araujo da Cunha) - O Segs, jamais assumira responsabilidade pelo teor, exatidao ou veracidade do conteudo do material divulgado. pois trata-se de uma opiniao exclusiva do autor ou fonte mencionada. - Em caso de controversia, as partes elegem o Foro da Comarca de Santos-SP-Brasil, local oficial da empresa proprietaria do Segs e desde ja renunciam expressamente qualquer outro Foro, por mais privilegiado que seja. O Segs trata-se de uma Ferramenta automatizada e controlada por IP. - "Leia e use esta ferramenta, somente se concordar com todos os TERMOS E CONDICOES DE USO".
<::::::::::::::::::::>

voltar ao topo

Adicionar comentário

Aja com responsabilidade aos SEUS COMENTÁRIOS, em Caso de Reclamação, nos reservamos o Direito, a qualquer momento de Mudar, Modificar, Adicionar, ou mesmo Suprimir os comentarios de qualquer um, a qualquer hora, sem aviso ou comunicado previo, leia todos os termos... CLIQUE AQUI E CONHEÇA TODOS OS TERMOS E CONDIÇÕES DE USO. - O Nosso muito obrigado - Ferramenta Automatizada...IMPORTANTE: COMENTÁRIOS com LINK são bloqueados automaticamente (COMMENTS with LINKS are automatically blocked.)...Sucesso!

Security code Atualizar

Enviar