Por Caique Barqueta: Ataques de ransomwares têm se aperfeiçoado cada vez mais. Cibercriminosos estão empregando outras táticas de extorsões, como o roubo de informações antes que seja realizado a criptografia, atuando como uma “dupla extorsão”, já que os atores exigem o pagamento para não publicar os dados exfiltrados da vítima.
Os impactos que esses ataques podem ocasionar para as empresas pode ser algo extremamente crítico, afetando a parte reputacional e financeira da organização. Pensando nisso, a CISA (Agência de Segurança Cibernética e de Infraestrutura dos Estados Unidos) publicou um guia com as melhores práticas de prevenção contra ransomware, além de dicas e ações que as organizações podem empregar para evitar ou mitigar ataques.
Melhores práticas de mitigação de ataques
Vamos separar as práticas em subtópicos, para que sejam abordados assuntos distintos e dicas úteis para mitigações.
Preparação para incidentes de Ransomware e Extorsão de Dados
Listamos e abordamos as melhores práticas para que seja realizada a preparação para incidentes de ransomware com casos de exfiltração de dados.
- Mantenha os backups offline: É de extrema importância que seja realizado o backup regular dos dados da organização, bem como o teste desses backups e que sejam armazenados de forma offline, pois muitos grupos e variantes de ransomwares procuram por backups para excluir ou criptografar, impedindo a recuperação da empresa;
- Mantenha e atualize regularmente os “snapshots” de máquinas virtuais e dos sistemas críticos, pois no caso de um incidente esses snapshots podem ser extremamente úteis para a recuperação rápida do ambiente;
- Crie, mantenha e pratique regularmente um plano de resposta a incidentes para ataques de ransomwares e violação de dados.
Prevenção e mitigação de incidentes de Ransomware
Para mitigar e prevenir ataques de ransomwares por vetores de acessos iniciais comuns de ransomwares, é necessário que sejam adotadas as melhores práticas das ações mencionadas abaixo.
Vetor de acesso inicial: vulnerabilidade e configurações de sistemas
- Vulnerabilidade e configuração incorreta de serviços na internet
- Realize verificações regulares de vulnerabilidades para identificar e lidar com vulnerabilidades, especialmente para os sistemas e dispositivos que se encontram disponíveis na internet, sempre com o foco de limitar a superfície de ataque.
- Realize verificações regulares de vulnerabilidades para identificar e lidar com vulnerabilidades, especialmente para os sistemas e dispositivos que se encontram disponíveis na internet, sempre com o foco de limitar a superfície de ataque.
- Corrija e atualize softwares e sistemas operacionais para as versões mais recentes
- Adotar a medida de priorização de atualização destes serviços poderá ajudar na mitigação de vulnerabilidades que são conhecidas e podem ser exploradas por atores maliciosos.
- Adotar a medida de priorização de atualização destes serviços poderá ajudar na mitigação de vulnerabilidades que são conhecidas e podem ser exploradas por atores maliciosos.
- Verifique se todos os dispositivos locais, serviços em nuvem, dispositivos móveis e pessoais estejam configurados corretamente
- É necessário que seja criada a Política BYOD para os dispositivos pessoais, bem como que seja realizado a desabilitação de portas e protocolos que não estão sendo utilizados para fins comerciais, como o protocolo RDP (Protocolo de Área de Trabalho Remota na porta 3389);
- Reduza ou elimine configurações incorretas e falhas de seguranças na utilização de recursos em nuvem, sendo que neste caso poderá ser aproveitado os recursos disponíveis de provedores de nuvem para automatizar ou facilitar os recursos de auditoria visando garantir medias e análise do ambiente.
- Limite o uso de RDP e outros serviços de área de trabalho remota
- Se caso o serviço RDP for necessário, poderá ser adotada as melhores práticas, tendo em vista que agentes de ameaças normalmente obtêm acesso inicial a uma rede por meio de serviços remotos expostos e mal protegidos e, posteriormente atravessam a rede utilizando o cliente Windows RDP nativo;
- É necessário que seja habilitada e feita a auditoria nos sistemas que usam RDP, fechando portas e impor bloqueios de conta após um determinado número específico de tentativas para se autenticar na conta. Verificar também a possibilidade de habilitação da autenticação multifator (MFA).
- Utilização segura de VPNs
- Necessário que sejam atualizados os dispositivos e infraestrutura de rede que utilizam acesso remoto por meio de VPNs, aplicando os patches de seguranças mais recentes visando impedir que vulnerabilidades sejam exploradas, bem como habilitação de MFA para autenticação do serviço e utilização de senhas fortes como 15 ou mais caracteres.
- Necessário que sejam atualizados os dispositivos e infraestrutura de rede que utilizam acesso remoto por meio de VPNs, aplicando os patches de seguranças mais recentes visando impedir que vulnerabilidades sejam exploradas, bem como habilitação de MFA para autenticação do serviço e utilização de senhas fortes como 15 ou mais caracteres.
- Desabilite as versões 1 e 2 do protocolo “Server Message Block (SMB)”
- Necessário que seja atualizado para a versão 3 (SMBv3) após mitigar as dependências existentes que podem quebrar quando forem desabilitadas (serviços que utilizam o protocolo v1 e v2). Atores maliciosos podem utilizar o serviço SMB para propagar malwares entre as organizações;
- Bloquear ou limitar o tráfego SMB interno para sistemas que requem acesso, limitando no caso de invasão o movimento lateral;
- Implementar a assinatura SMB;
- Bloqueie o acesso externo de SMB à sua rede bloqueando a porta 445 com protocolos relacionados nas portas 137 – 138 do UDP e na porta TCP 139 e implemente a criptografia SMB com a proteção da UNC (Universal Naming Convention) para os sistemas que suportarem o recurso, limitando a possibilidade de ataques de espionagem e interceptação.
Vetor de acesso inicial: credenciais comprometidas
- Implemente MFA resistente a ataques phishing para todos os serviços
- Considere a utilização de MFA sem senha, as quais substituem as senhas por dois ou mais fatores de verificação (impressão digital, reconhecimento facial, pin do dispositivo ou chave criptográfica).
- Considere a utilização de MFA sem senha, as quais substituem as senhas por dois ou mais fatores de verificação (impressão digital, reconhecimento facial, pin do dispositivo ou chave criptográfica).
- Implementar sistemas de gerenciamento de identidade de acesso (IAM)
- Fornece aos administradores as ferramentas e tecnologias para monitorar e gerenciar funções e privilégios de acessos de entidades de rede individuais para aplicativos locais e na nuvem.
- Fornece aos administradores as ferramentas e tecnologias para monitorar e gerenciar funções e privilégios de acessos de entidades de rede individuais para aplicativos locais e na nuvem.
- Implemente o controle de acesso de zero trust
- Criar políticas de acessos fortes para restringir o acesso do usuário ao recurso e o acesso de recursos. Isso é extremamente importante para os recursos de gerenciamento na nuvem.
- Criar políticas de acessos fortes para restringir o acesso do usuário ao recurso e o acesso de recursos. Isso é extremamente importante para os recursos de gerenciamento na nuvem.
- Senhas e logins
- Altere nomes de usuários e senhas que estiverem por padrões administrativos, como “admin”;
- Não utilize contas de acesso root para operações do dia a dia;
- Implemente políticas de senhas que exijam senhas exclusivas e de pelo menos a partir de 15 caracteres;
- Aplicar políticas de bloqueio de conta após um determinado número de tentativas de login mal-sucedidas, bem como realizar a auditoria de logins para identificar tentativas de brute force e password spray;
- Armazene senhas em um banco de dados seguro e utilize algoritmo de hashes fortes;
- Desabilite o salvamento de senhas no navegador no console de GPO;
- Implemente a solução de senha de administrador local (LAPS) sempre que possível;
- Proteger contra dumping do serviço do sistema de autoridade de segurança local (LSASS);
- Separe as contas de administrador das contas de usuário, permitindo que as contas administrativas sejam utilizadas para fins administrativos;
- Utilize o Windows PowerShell Remoting, Remote Credential Guard ou RDP com modo Administrador restrito.
Vetor de Acesso Inicial: Phishing
- Implementar um programa de conscientização e treinamento do usuário de segurança cibernética;
- Implementar a sinalização de e-mails externos em clientes de e-mail;
- Implementar filtros no gateway de e-mail para filtrar e-mails com indicadores mal-intencionados conhecidos, como linhas de assunto mal-intencionadas conhecidas e que bloqueios de IP suspeitos no Firewall;
- Habilitar filtros de anexos comuns para restringir os tipos de arquivos que geralmente contêm malware e não devem ser enviados por e-mails;
- Implementar a Autenticação, Relatórios e Conformidade de Mensagens baseadas em Domínios (DMARC) para diminuir a chance de e-mails falsificados ou modificados de domínios válidos. O DMARC protege seu domínio contra falsificação, mas não protege contra e-mails recebidos que foram falsificados, a menos que o domínio de envio também o implemente.
- Certifique-se de que os scripts de macro estejam desabilitados para arquivos do Microsoft Office transmitidos por e-mails, porque essas macros podem ser usadas para entregar ransomwares;
- Desative o Windows Script Host (WSH), onde a hospedagem de scripts do Windows oferece um ambiente em quais usuários podem executar scripts ou realizar tarefas.
Vetor de Acesso Inicial: Infecção por malware
- Utilize atualizações automáticas para seu software antivírus e antimalware e assinaturas:
- Na qual as ferramentas configuradas corretamente para escalar avisos e indicadores poderá notificar a pessoa ou pessoal responsável pela segurança da organização;
- Uma infecção de ransomware pode ser a evidência de um comprometimento de rede anterior não resolvido;
- Em alguns casos, a implementação do ransomware é a última etapa em um comprometimento de rede e é descartada para obscurecer as atividades pós-comprometimento anteriores.
- Utilize soluções de lista de permissões de aplicativos e/ou detecção a resposta de endpoint (EDR) em todos os ativos para garantir que apenas o software autorizado seja executado e todo o software não autorizado seja bloqueado;
- Verifique a implementação de um sistema de detecção de intrusão (IDS) para detectar atividades de comandos e controle e outras atividades de rede potencialmente maliciosas que ocorram antes da implantação do ransomware;
- Monitore os indicadores de atividade e bloqueia a criação de arquivos de malware com o utilitário do Windows Sysmon.
Vetor de Acesso Inicial: formas avançadas de engenharia social
- Crie políticas para incluir treinamento de conscientização de segurança cibernética sobre formas avançadas de engenharia social para pessoas que tem acesso à rede da sua empresa;
- Implemente o protetor do Sistema de Nome de Domínio (DNS), onde ao bloquear a atividade maliciosa da internet na origem, os serviços de proteção de DNS podem fornecer alta segurança para a rede.
Algumas formas avançadas podem incluir:
- Envenenamento de Otimização para Mecanismo de Busca (SEO) ou conhecido como envenenamento de pesquisa nas quais os agentes maliciosos criam sites e usam táticas de SEO para apresentar em destaque em pesquisas. O envenenamento de SEO sequestra os resultados do mecanismo de pesquisa de sites populares e injeta links maliciosos para aumentar sua colocação nos resultados da pesquisa. Tais links levam os usuários desavisados a site de phishing, downloads de malware e outras ameaças;
- Drive-by-downloads (sites impostores): quando um usuário baixa acidentalmente um código malicioso ao visitar um site aparentemente legítimo que é malicioso. Os usuários podem visitar esses sites respondendo a um e-mail de phishing ou clicando em uma janela pop-up enganosa;
- “Malvertising”: é um método de utilização de publicidade maliciosa que os atores maliciosos costumam injetar malware nos computadores dos usuários quando eles visitam sites maliciosos ou clicam em um anúncio online. Esse método também pode direcionar os usuários para um site corrompido onde seus dados podem ser roubados ou malware podem ser baixados em seu dispositivo.
Vetor de Acesso Inicial: terceiros e provedores de serviços gerenciados (MSPs)
- Considere as práticas de gerenciamento de risco e higiene cibernética de terceiros ou provedores de serviços gerenciados (MSPs) de que sua organização dependa, pois o MSP poderá ser um vetor de infecção para ransomware que afeta várias organizações que são clientes. Se caso o terceiro ou MSP for responsável por manter e proteger os backups de sua organização, verifique se eles estão seguindo as práticas recomendas neste alerta;
- Assegure o uso do menor privilégio e segregação de funções ao configurar o acesso de terceiros;
- Considere a criação de políticas de controle de serviço (SCP) para recursos baseados em nuvem para impedir que usuários ou funções, em toda a organização, possam acessar serviços específicos ou realizar ações específicas nos serviços.
Além das melhores práticas já mencionadas acima, recomendamos em adição práticas gerais e orientação para proteção de sua organização que serão abordados a seguir.
Melhores práticas gerais
A equipe de Inteligência da ISH Tecnologia, Heimdall, recomenda algumas medidas gerais que podem ser adotadas pela organização contra ataques de ransomwares:
- Realize a criação de um inventário de seus ativos de TI da organização, como software e hardwares;
- Identifique quais são os sistemas mais críticos para a infraestrutura da organização, como sistema de geração da receita ou outros serviços críticos;
- Aplique o princípio do menor privilégio a todos os sistemas e serviços para que os usuários tenham apenas o acesso necessário para realizar seus trabalhos;
- Certifique-se que todas as máquinas virtuais e hipervisor estejam atualizados e protegidos, já que novas táticas de ransomwares têm como alvo os servidores VMWare ESXi, que permitem a criptografia rápida da infraestrutura em escala;
- Aplique as melhores práticas e ative as configurações de segurança em associação com o ambiente em nuvem, como Microsoft Office 365;
- Mitigue o uso malicioso de acesso remoto e aplique o monitoramento e gerenciamento remoto de ransomware (RMM);
- Empregue meios lógicos ou físicos de segmentação de rede implementando ZTNA e separando várias unidades de negócios ou recursos dentro da sua organização;
- Desenvolva e atualize regularmente diagramas de rede abrangentes que descrevam sistemas e fluxos de dados dentro da rede de sua organização;
- Restrinja o uso do PowerShell a usuários específicos caso a caso usando a Diretiva de Grupo;
- Adote medidas para proteger os Controladores de Domínios;
- Reter e proteger os logs de dispositivos de rede, hosts locais e serviços de nuvem;
- Estabeleça uma linha de base de segurança do tráfego de rede normal e ajuste os dispositivos de rede para detectar comportamento anômalo;
- Realize avaliações regulares dos processos e procedimentos.
Global Threat Intelligence (GTI)
A ISH Tecnologia, por meio do GTI (Global Threat Intelligence), coleta, trata e compartilha Indicadores de Comprometimento localizados e analisados pela equipe de Inteligência de Ameaças, focalizando em entregar tais dados para identificação ou facilitação de tratamento de incidentes de segurança cibernético.
Nos últimos 90 dias, foram coletados e tratados a quantia de 212.364 Indicadores de Comprometimentos de artefatos maliciosos, sendo classificados como Ransomwares entre outros, os quais sempre visam causar algum tipo de prejuízo.
Dentre os Indicadores de Comprometimento estão incluídos hashes md5, sha256, filenames, sha1 e IPs maliciosos.
Referências
- Heimdall by ISH Tecnologia
- Documentação CISA – Guidelines Ransomware