Ransomware: Eles geralmente são realizados três dias após a violação – você pode evitá-los!

ransomwareSeus pesquisadores de segurança FireEye analisou um grande número de ataques de ransomware que ocorreram entre 2017 e 2019 e descobriu que a maioria dos ransomware é instalada e executada nas redes das vítimas três dias após a violação inicial.

No 75% dos ataques de ransomware, os atacantes atrasar a criptografia dos sistemas de suas vítimas enquanto tentam roubá-las Credenciais de administrador de domínio, que posteriormente pode ser usado para distribuir cargas úteis de ransomware em todo o ambiente violado.

Recentemente, uma nova técnica apareceu. Hackers, por trás do ransomware, eles roubam os dados das vítimas antes de criptografá-los e depois chantagear as vítimas, ameaçando divulgar os dados se eles não receberem o resgate.

Muitos dos casos analisados ​​pelos pesquisadores mostraram que a atividade maliciosa era generalizada e poderia durar semanas. No entanto, as gangues por trás deles GandCrab e GlobeImposter O ransomware agiu quase imediatamente após a violação inicial.

Em 75% dos ransomware, há tempo para defender as empresas

Como mencionado acima, os hackers instalam ransomware pelo menos três dias após a violação inicial (em 75% dos casos). Isso significa que organismos têm tempo suficiente para se defender, se eles tomarem as medidas apropriadas e fizerem os movimentos certos.

Os pesquisadores disseram em seu relatório que, se os organismos detectarem as violações originais a tempo e agirem imediatamente, poderão evitar danos e custos significativos associados a um ataque ransomware.

Ambos FireEye assim como o Mandiant conseguiram impedir muitos ataques de ransomware.

Pesquisas subsequentes mostraram que, em muitos casos, as cargas úteis de ransomware já foram instaladas, mas não foram capazes de rodar nos sistemas das vítimas.

As gangues de ransomware usam várias maneiras de se infiltrar nas redes das vítimas: RDP (LockerGoga), emails de phishing com links ou anexos maliciosos (Ryuk) e downloads de malware (Bitpaymer e DoppelPaymer).

Além disso, a equipe de pesquisa FireEye descobriu que, na maioria dos casos, Os ataques de ransomware são realizados após o final do horário de trabalho ou durante o fim de semana.

Os atacantes usam essa tática para evitar a detecção direta pelas equipes de segurança das organizações.

Para evitar ataques de ransomware, o FireEye recomenda que as organizações os usem autenticação multifatorpara realizar verificações regulares dos sistemas E use soluções de segurança e sistemas de email que pode detectar malware, como Trickbot, Emotet e Dridex, que ajudam a instalar o ransomware.

A implementação de práticas de segurança ideais, como táticas Educação da equipe no reconhecimento de e-mails de phishing, h segmentação de rede, a backups e a use senhas exclusivas para cada serviço, ele pode ajudar a mitigar os efeitos de um ataque ransomware.

O FireEye conclui que existe um lado positivo. Esse atraso (pelo menos três dias) na instalação e execução do ransomware dá às empresas tempo para reagir e evitar o pior.