A expressão 'todo cuidado é pouco' nunca fez tanto sentido no mercado de segurança cibernética. Como se as técnicas de ataques existentes em constante atualização não estivessem mantendo especialistas e defensores suficientemente ocupados, no último ano temos visto a ascensão de um método de ransomware que, desde 2022, registrou um aumento anual de 62%: a criptografia remota.
Este dado é da Sophos, empresa que lidero no Brasil, e advindo do estudo CryptoGuard: An Asymmetric Approach to the Ransomware Battle, conduzido pela companhia.
O ransomware remoto tem uma maior escalabilidade e tende a impactar várias organizações de uma só vez.
O nome dessa tática é sugestivo mas, para ficarmos todos na mesma página: o ransomware remoto é um tipo complexo de ataque que se aproveita de endpoints vulneráveis para criptografar dados da rede da vítima. E um ponto interessante é que, mesmo se as companhias tiverem milhares de computadores conectados à rede, basta que um dispositivo esteja desprotegido para comprometê-la inteiramente.
Justamente por esse motivo, os invasores visam este 'ponto fraco' – e verdade seja dita, grande parte das empresas tem pelo menos um.
O processo do ransomware remoto é como um efeito dominó: assim que o invasor obtém o controle do endpoint da vítima, ele consegue usar esse dispositivo como um meio de criptografar outras interfaces da mesma rede ou domínio.
Todo o processo do ataque, da penetração ao download de carga e à criptografia, acontece no endpoint comprometido, e os rastros deixados são pouquíssimos, quase não identificáveis – a única pista que pode chamar a atenção é o envio de arquivos de ou para o endpoint comprometido.
Os cibercriminosos têm dado preferência para esses ataques remotos de ransomware justamente pela escalabilidade que eles permitem – o que, ao mesmo tempo, os torna ainda mais perigosos para as organizações, pois um único endpoint comprometido pode colocar a rede da companhia toda em risco – independentemente se os demais dispositivos contarem com soluções avançadas de segurança.
Além disso, como esse tipo de ataque envolve a criptografia à distância, os métodos tradicionais de proteção anti-ransomware em dispositivos remotos não detectam as atividades maliciosas e, consequentemente, não conseguem proteger os arquivos e evitar uma possível perda de dados.
Embora haja uma tendência de que a criptografia remota continuará sendo um problema constante para as organizações, nem tudo está perdido. Existem medidas que podem e devem ser adotadas para se proteger de eventuais ameaças, a principal delas sendo depender de ferramentas que possam identificar essas táticas antes mesmo do estrago ser feito. Produtos desse tipo não são programados para buscar pelo ransomware, eles se concentram nos arquivos, examinando documentos e detectando sinais de manipulação e criptografia.
Ao focar nos arquivos, o poder dos invasores diminui e o custo e a complexidade para que os criminosos continuem na missão de criptografar dados aumentam, de modo que eles desistem dos seus planos no meio do caminho. Outro ponto positivo dessas soluções é que a estratégia não depende de indicadores de violação, códigos de reconhecimento de padrões de ameaças, inteligência artificial, pesquisas na nuvem ou conhecimento prévio para ser eficaz.
Mais uma recomendação que posso dar para as companhias para evitar este tipo de ataque é conhecer a fundo e implementar soluções modernas de defesa para endpoints em todos os dispositivos usados pelos colaboradores dentro da rede, além de serviços de detecção e resposta de rede para monitorar o tráfego, identificar dispositivos desprotegidos e detectar ativos não autorizados no ambiente. Ainda dentro desta dica, um aspecto indispensável é a educação de todos os funcionários sobre a importância dessas proteções. Ao promover a conscientização de todos, as empresas podem evitar grandes perdas.
- Fique por dentro: Atualização constante sobre ataques cibernéticos: a base de amplificação do conhecimento
Por fim, também pode ser interessante instalar um programa de segurança em camadas, com backups de sistemas, dados e recursos de detecção e resposta a incidentes e gerenciamento de superfícies de ataque. Ainda é válido ter uma autenticação forte, incluindo uma estrutura Zero Trust e segmentação de rede.
Vivemos um período repleto de desafios quando o assunto é segurança cibernética - tanto no mundo corporativo quanto para os consumidores finais. Entretanto, embora os golpistas e famílias de atacantes estejam em constante desenvolvimento, nós, os combatentes, também estamos cada vez mais munidos de conhecimentos e ferramentas que nos permitem detectá-los e interceptá-os. É uma batalha constante, da qual nunca desistiremos e jamais deixaremos de informar a sociedade sobre cada novidade.
Categorias