Um crime criptográfico no meio do ano atualização lançada em julho da Chainalysis descobriu que o crime relacionado à criptomoeda estava com tendência de queda. A exceção foi o ransomware, que a empresa previu estar a caminho de seu segundo maior ano com o ressurgimento da caça de “grandes animais”. Agora, com ataques de ransomware contra principais operações de cassino dominando as manchetes, e esses mesmos hackers atingindo também grandes empresas em sectores que incluem a indústria transformadora, o retalho e a tecnologia, o relatório parece assustadoramente presciente.
As abordagens para lidar com ataques de ransomware são muito específicas para cada organização e exclusivas para cada circunstância. As vítimas lidaram com os ataques de forma diferente – desde pagar o resgate até combatê-los. Há muita coisa envolvida nessas decisões que acontecem a portas fechadas.
No entanto, à medida que outras organizações que se enquadram na categoria de “grande jogo” redobram os seus esforços em torno da mitigação do risco de ransomware, há muitos dados facilmente acessíveis sobre estas campanhas que podem ajudar. Existem também etapas importantes que toda organização deve seguir para aproveitar dados de ameaças e eventos em todo o ciclo de vida de um incidente cibernético. Aqui estão três a serem considerados:
1. Compreenda a ameaça. Se o seu conselho, a equipe de liderança e os clientes e parceiros estratégicos não perguntarem o que você está fazendo para lidar com o atual aumento do ransomware, eles o farão. Você precisa ser capaz de responder a perguntas sobre esses ataques, se eles dizem respeito à organização e o que você está fazendo para mitigar os riscos. Isso requer a compreensão dos dados sobre a campanha de ransomware, incluindo o adversário que a utiliza, suas motivações e os setores que eles visam ativamente. Não faltam fontes de dados externas para explorar, incluindo comerciais, de código aberto, governamentais, industriais, fornecedores de segurança existentes – bem como estruturas como MITRE ATT&CK. Sem mencionar feeds RSS, blogs de pesquisa, sites de notícias e repositórios GitHub.
Você também precisa de uma compreensão interna das vulnerabilidades da sua organização e dos recursos que você possui para se defender contra elas. Isso não apenas ajudará você a se comunicar com as principais partes interessadas, mas também permitirá que você operacionalize os dados na preparação para um ataque. Uma plataforma que agrega e normaliza todos esses dados e permite priorizá-los usando parâmetros definidos com base em seu perfil de risco, infraestrutura de segurança e ambiente operacional ajudará você a responder com segurança a questões sobre o risco e sua capacidade de mitigá-lo.
2. Identifique a presença interna da ameaça. Se você acha que uma campanha de ransomware já está em andamento, o trabalho de base que você fez para entender a ameaça pode ajudá-lo a se antecipar ao ataque antes que os dados sejam exfiltrados e os sistemas sejam bloqueados. Observando a interseção entre a campanha de ransomware e sua infraestrutura, você pode concentrar seus esforços nos adversários mais aplicáveis ao seu negócio e nas táticas que eles usam. Por exemplo, pode haver artefatos do adversário já em seu ambiente, como um endereço IP específico, para serem procurados. Ao correlacionar esses dados externos com dados de ameaças e eventos de sua solução SIEM ou de detecção e resposta de endpoint (EDR), você pode rapidamente se concentrar em atividades anômalas que podem indicar a presença de um adversário para que você possa agir com precisão e velocidade.
3. Fortaleça a infraestrutura e comunique-se. Infelizmente, todos sabemos que agentes de ameaças sofisticados mudam continuamente de tática e usam vários vetores de ataque para se infiltrar nas organizações. Uma vez lá dentro, eles também conseguem permanecer fora do radar e estabelecer persistência, o que torna difícil detectar precocemente e compreender o alcance do ataque. Vimos isso acontecer na última rodada de ataques de ransomware.
Nas fases posteriores do ataque, a inteligência contra ameaças pode ajudá-lo a melhorar a resposta a incidentes e a mitigar riscos. Depois de ver um indicador de comprometimento, para saber mais sobre o que está acontecendo e o escopo do ataque, você pode recorrer a informações adicionais sobre ameaças externas e aprofundar-se para obter maior consciência e compreensão contextual. Por exemplo, outros artefatos associados a esta campanha específica de ransomware que você pode procurar em suas outras ferramentas e outras táticas usadas que você precisa conhecer. Ao observar o que está acontecendo em seu ambiente, correlacionando dados internos e externos para obter uma visão completa do que está acontecendo, você pode determinar rapidamente a atividade que faz parte da campanha de ransomware e como essa campanha está se desenrolando. Com uma plataforma integrada a vários sistemas em sua infraestrutura de segurança, você pode envolver sua equipe de resposta a incidentes para mitigar riscos e remediar, além de fortalecer proativamente sua infraestrutura preventiva.
Fechando o círculo, você também pode se comunicar com todos os principais interessados para explicar o que aconteceu, como você abordou o problema e dar-lhes a confiança de que a organização está protegida contra ataques semelhantes no futuro. Sem dúvida, há mais na história desses ataques de ransomware que talvez nunca se tornem públicos. Mas também há muitos dados incrivelmente valiosos disponíveis para profissionais de segurança. A chave para utilizar com sucesso esses dados para mitigar riscos é focar em um subconjunto menor de dados que seja relevante para sua organização, aprofundar-se nesses dados assim que você suspeitar que um ataque está em andamento e operacionalizar esses dados para que você possa aproveitar o ações corretas mais rapidamente.