Ransomware foi desenfreado em 2017, e usuários mal preparados foram pegos de surpresa. Isso se transformou em pânico generalizado à medida que as vítimas se esforçavam para salvaguardar dados valiosos, muitas vezes sucumbindo às demandas criminosas de pagar resgates cada vez mais caros via criptomoeda, que disparou em valor em si. Infelizmente, atender a essas demandas não garantiu que os arquivos seriam devolvidos sem danos, o que faz dele um ano favorável para os autores de ransomware..

Com o tempo, tornou-se cada vez mais difícil para os autores de ransomware assustar as vítimas para que paguem para salvar seus dados, com mais adoção de práticas recomendadas simples, como backups em tempo e nuvem. Isso combinado com mais usuários que usam o Windows 10, um sistema operacional mais seguro, forçou os hackers a serem mais criativos. A ameaça de ransomware ainda é real e, na verdade, está adotando um modelo de negócios mais direcionado por meio de conexões RDP (Remote Desktop Protocol) não seguras, como o vetor de ataque.

  • Também destacamos o melhor antivírus

Explorando conexões RDP desprotegidas

Embora as conexões RDP ofereçam suporte a práticas de trabalho modernas, permitindo o acesso fora do escritório a uma máquina e rede, elas podem atuar como um elo fraco nas defesas de segurança cibernética de uma organização. Esse vetor de ataque está ganhando popularidade com criminosos cibernéticos que usam ferramentas como o Shodan para procurar empresas que não criaram configurações adequadas de RDP, deixando seus ambientes abertos à infiltração. Mesmo os criminosos cibernéticos menos sofisticados podem visitar a 'dark web' para comprar acesso RDP a máquinas já hackeadas. Uma vez que um determinado sistema tenha sido acessado, os criminosos podem procurar todos os dados no sistema ou nas unidades compartilhadas para avaliar seu valor. Isso ajuda o criminoso a decidir se deseja implantar ransomware ou outras cargas úteis - o que tiver mais impacto e lucratividade. Esta abordagem direcionada melhora as chances de uma organização pagar o resgate, pois o conteúdo criptografado será de maior valor e importância.

Cibercriminosos em ação

Isso não é teórico. O notório grupo SamSam Ransomware e suas campanhas fizeram milhões em criptomoedas no início deste ano, graças ao RDP configurado incorretamente. Ataques de alto perfil dominaram as manchetes quando eles desligaram setores governamentais de Atlanta e Colorado, junto com a gigante de exames médicos LabCorp. Nos casos de Atlanta e Colorado, esses estados optaram por não pagar o resgate e, em vez disso, decidiram reconstruir seus sistemas de TI, no montante de mais de US $ 2,5 milhões (no caso de Atlanta). Mas agora existem várias opções viáveis ​​para cargas úteis em um compromisso RDP. Como o criminoso pode ver todo o hardware instalado, é fácil determinar se a CPU e a GPU instaladas forneceriam mais criptomoedas de mineração de lucros do que se os invasores simplesmente implantassem uma infecção por ransomware..

Defesa contra ataques

A importância da educação não pode ser subestimada e desempenha um papel crucial na proteção de uma organização contra o comprometimento. Os departamentos de TI geralmente deixam as portas padrão abertas e são negligentes em relação às políticas de senha, ressaltando a realidade de que os funcionários são o elo mais fraco. O treinamento contínuo sobre como configurar o ambiente e estabelecer uma linha de base de resiliência é tão importante para uma empresa com 50 funcionários quanto para uma empresa multinacional. De acordo com o Relatório Semestral de Ameaças da Webroot de 2018, as organizações que implementaram 11 ou mais campanhas de conscientização de segurança viram sua taxa de cliques de e-mail de phishing cair para 13%. Além disso, a avaliação do impacto deste treinamento deve ser feita, reforçada por um plano abrangente de recuperação de desastres..

O ransomware continua atormentando organizações de diferentes tamanhos e indústrias. Os recentes ataques à Autoridade Portuária de San Diego e ao Aeroporto de Bristol destacam o impacto direto e as interrupções que podem ocorrer, até mesmo nos serviços públicos. A melhor defesa é a educação de conscientização de segurança para os funcionários - particularmente sobre como evitar ataques de phishing que podem comprometer as credenciais do sistema - juntamente com a instalação de um software antimalware para proteger informações valiosas. Nenhuma organização está isenta de ataques e apenas uma postura de segurança robusta atenua essas ameaças.

Tyler Moffitt, analista sênior de pesquisa de ameaças da Webroot