Especialistas da nossa parceira Kaspersky realizaram uma análise aprofundada das táticas, técnicas e procedimentos dos oito grupos de ransomware mais comuns — Conti/Ryuk, Pysa, Clop, Hive, Lockbit2.0, RagnarLocker, BlackByte e BlackCat. Comparando os métodos e ferramentas dos invasores em diferentes estágios do ataque, eles concluíram que muitos grupos operam de acordo com esquemas muito próximos. Isso permite criar contramedidas universais eficazes que podem proteger a infraestrutura da empresa contra ransomware.
O relatório destina-se principalmente a analistas de Centros de Operação de Segurança, especialistas em Threat Hunting e Threat Intelligence e experts em resposta a incidentes e investigação. No entanto, nossos pesquisadores também coletaram as melhores práticas para combater ransomwares em várias fontes no relatório.
Prevenção contra intrusos
A opção ideal é interromper o ataque de ransomware antes que a ameaça esteja no perímetro corporativo. As seguintes medidas ajudarão a reduzir o risco de intrusão:
Filtragem do tráfego de entrada
As políticas de filtragem devem ser implementadas em todas as pontas dos dispositivos— roteadores, firewalls, sistemas IDS. Não se esqueça da filtragem de e-mail de spam e phishing. É aconselhável usar uma sandbox para validar anexos de e-mail.
Bloqueio de sites maliciosos
Restrinja o acesso a sites maliciosos conhecidos. Por exemplo, implemente servidores proxy de interceptação. Também vale a pena usar feeds sobre dados de inteligência contra ameaças para manter listas atualizadas de ciberameaças.
Uso de Deep Packet Inspection (DPI)
Uma solução de classe DPI no nível do gateway permitirá que você verifique se há malware no tráfego.
Bloqueio de código malicioso
Use assinaturas para bloquear malwares.
Proteção RDP
Desative o RDP sempre que possível. Se, por algum motivo, você não conseguir parar de usá-lo, coloque sistemas com uma porta RDP aberta (3389) atrás de um firewall e permita o acesso a eles apenas por meio de uma VPN.
Autenticação multifator
Use autenticação multifator, senhas fortes e políticas de bloqueio automático de conta em todos os pontos que podem ser acessados remotamente.
Listas de conexões permitidas
Crie uma lista de permissão de IPs usando hardwares de firewall.
Corrija vulnerabilidades conhecidas
Instale em tempo hábil patches para correção de vulnerabilidades em sistemas e dispositivos de acesso remoto com conexão direta à Internet.
O relatório também contém conselhos práticos sobre proteção contra exploração e movimentação lateral, bem como recomendações para combater vazamentos de dados e se preparar para um incidente.
Proteção adicional
Para equipar as empresas com ferramentas adicionais que possam ajudar a eliminar um caminho de propagação de ataques o mais cedo possível e investigar um incidente, também atualizamos nossa solução de EDR. A nova versão, adequada para empresas com processos de segurança de TI maduros, chama-se Kaspersky Endpoint Detection and Response Expert. Ela pode ser implantada na nuvem ou em ambiente local.
Conheça melhor as ferramentas da Kaspersky, entre em contato com o nosso comercial!
Fonte: https://www.kaspersky.com.br/blog/tecnicas-taticas-e-procedimentos-dos-ransomwares/19640/
