Gangues de ransomware têm como alvo organizações durante feriados e fins de semana

15

As gangues de ransomware podem aproveitar os próximos feriados e fins de semana para atingir organizações dos EUA, o FBI e a CISA alertaram.

Eles não têm nenhum relatório específico de ameaças indicando que um ataque cibernético ocorrerá durante o próximo feriado do Dia do Trabalho, disseram eles, mas observaram nos últimos meses um aumento nos ataques de ransomware altamente impactantes que ocorrem quando os escritórios normalmente estão fechados.

Uma mudança de tática

Usando os recentes ataques de ransomware Colonial PipelineJBSKaseya como exemplos – uma vez que aconteceram no fim de semana do Dia das Mães, no fim de semana do Memorial Day e no fim de semana de feriado de 4 de julho, respectivamente – as agências observam que as organizações devem estar cientes dessas novas táticas e se preparar para combatê-las.

“Os atacantes entendem que a equipe de TI é mais propensa a tirar um dia de folga extra para fazer um fim de semana de 4 dias e os SOCs provavelmente estarão correndo em equipes de esqueletos ou analistas juniores. As ausências desses funcionários tornam menos provável que seus alvos possam detectar e conter rapidamente ataques uma vez lançados”, comentou Chris Clements, vice-presidente de arquitetura de soluções do Cerberus Sentinel.

“Esse tempo adicional dá aos atacantes a capacidade de exfiltrar dados mais confidenciais ou bloquear mais computadores com ransomware do que eles poderiam ter sido capazes de. Além disso, ataques de tempo para fins de semana prolongados de feriados para maximizar os danos também podem ser atraentes para estados-nação adversárias que procuram causar o maior dano à economia e infraestrutura dos Estados Unidos. As organizações devem adotar uma verdadeira cultura de segurança que inclua o tempo de ataque em seu modelo de ameaça para garantir que eles não sejam pegos de pé por falta de pessoal durante as férias.”

Como as agências apontaram, os atacantes de ransomware estão cada vez mais fazendo mais do que apenas criptografar os ativos de TI das organizações: eles também estão criptografando ou excluindo backups do sistema e ameaçando nomear publicamente as vítimas afetadas e liberar dados confidenciais ou proprietários que exfiltraram antes da criptografia.

“Embora os criminosos cibernéticos usem uma variedade de técnicas para infectar vítimas com ransomware, os dois vetores de acesso iniciais mais prevalentes são phishing e pontos finais de protocolo de desktop remoto não suspenso (RDP)”, explicaram as agências.

Publicações Relacionadas

“Os meios comuns adicionais de infecção inicial incluem a implantação de malware precursor ou conta-gotas; exploração de vulnerabilidades de software ou sistema operacional; exploração de prestadores de serviços gerenciados com acesso a redes de clientes; e o uso de credenciais válidas e roubadas, como as compradas na dark web. O malware precursor permite que os atores cibernéticos realizem o reconhecimento nas redes das vítimas, roubem credenciais, aumentem privilégios, expõe informações, movam-se lateralmente na rede das vítimas e ofusquem as comunicações de comando e controle.”

Conselhos para organizações

As gangues de ransomware não discriminam: elas terão como alvo grandes e lucrativas organizações, mas também SMBs.

O FBI e a CISA encorajam as organizações a “examinar sua postura atual de segurança cibernética e implementar as práticas recomendadas e mitigações recomendadas para gerenciar o risco representado por todas as ameaças cibernéticas, incluindo ransomware”.

Isso inclui fazer um backup off-line dos dados das organizações, garantir serviços de risco em uso (por exemplo, RDP), atualizar sistemas operacionais e software e digitalizar para vulnerabilidades, usar senhas fortes e autenticação de vários fatores, proteger contas de usuários e ter um plano de resposta a incidentes.

“Implementar um programa de treinamento de usuários e exercícios de phishing para aumentar a conscientização dos usuários sobre os riscos envolvidos na visita a sites maliciosos ou na abertura de anexos maliciosos e reforçar a resposta adequada do usuário a e-mails de phishing e spearphishing”, incitavam.

Para as organizações que podem, a busca por sinais de atividade de ator de ameaças dentro de suas redes e sistemas também é aconselhada.

Finalmente, a CISA oferece serviços gratuitos de avaliação de segurança cibernética para vários níveis de governos, bem como organizações de infraestrutura crítica do setor público e privado.

você pode gostar também