Os especialistas da Kaspersky realizaram uma análise aprofundada das táticas, técnicas e procedimentos dos oito grupos de ransomware mais comuns — Conti/Ryuk, Pysa, Clop, Hive, Lockbit2.0, RagnarLocker, BlackByte e BlackCat. Comparando os métodos e ferramentas dos invasores em diferentes estágios do ataque, eles concluíram que muitos grupos operam de acordo com esquemas muito próximos. Isso permite criar contramedidas universais eficazes que podem proteger a infraestrutura da empresa contra ransomware.
Detalhes do estudo com análises detalhadas de cada técnica e exemplos de seu uso na natureza podem ser encontrados no relatório TTPs Comuns de Grupos de Ransomware Modernos. O documento também contém regras para detectar técnicas maliciosas no formato SIGMA.
O relatório destina-se principalmente a analistas de Centros de Operação de Segurança, especialistas em Threat Hunting e Threat Intelligence e experts em resposta a incidentes e investigação. No entanto, nossos pesquisadores também coletaram as melhores práticas para combater ransomwares em várias fontes no relatório. Seria útil repetir as principais recomendações práticas para proteger a infraestrutura corporativa na etapa de prevenção aqui em nosso blog.
Prevenção contra intrusos
A opção ideal é interromper o ataque de ransomware antes que a ameaça esteja no perímetro corporativo. As seguintes medidas ajudarão a reduzir o risco de intrusão:
Filtragem do tráfego de entrada. As políticas de filtragem devem ser implementadas em todas as pontas dos dispositivos— roteadores, firewalls, sistemas IDS. Não se esqueça da filtragem de e-mail de spam e phishing. É aconselhável usar uma sandbox para validar anexos de e-mail.
Bloqueio de sites maliciosos. Restrinja o acesso a sites maliciosos conhecidos. Por exemplo, implemente servidores proxy de interceptação. Também vale a pena usar feeds sobre dados de inteligência contra ameaças para manter listas atualizadas de ciberameaças.
Uso de Deep Packet Inspection (DPI). Uma solução de classe DPI no nível do gateway permitirá que você verifique se há malware no tráfego.
Bloqueio de código malicioso. Use assinaturas para bloquear malwares.
Proteção RDP. Desative o RDP sempre que possível. Se, por algum motivo, você não conseguir parar de usá-lo, coloque sistemas com uma porta RDP aberta (3389) atrás de um firewall e permita o acesso a eles apenas por meio de uma VPN.
Autenticação multifator. Use autenticação multifator, senhas fortes e políticas de bloqueio automático de conta em todos os pontos que podem ser acessados remotamente.
Listas de conexões permitidas. Crie uma lista de permissão de IPs usando hardwares de firewall.
Corrija vulnerabilidades conhecidas. Instale em tempo hábil patches para correção de vulnerabilidades em sistemas e dispositivos de acesso remoto com conexão direta à Internet.
O relatório também contém conselhos práticos sobre proteção contra exploração e movimentação lateral, bem como recomendações para combater vazamentos de dados e se preparar para um incidente.
Proteção adicional
Para equipar as empresas com ferramentas adicionais que possam ajudar a eliminar um caminho de propagação de ataques o mais cedo possível e investigar um incidente, também atualizamos nossa solução de EDR. A nova versão, adequada para empresas com processos de segurança de TI maduros, chama-se Kaspersky Endpoint Detection and Response Expert. Ela pode ser implantada na nuvem ou em ambiente local. Você pode saber mais sobre os recursos desta solução aqui.