logo

Saúde e ransomware: 5 etapas críticas a serem executadas

publicado em:14/01/21 7:46 PM por: Gonçalves EstratégicosRansomwareSegurança Da Informção

Saúde e Ransomware, o surto de COVID-19 colocou ataques cibernéticos a profissionais de saúde em hiperatividade. Os fatores que contribuem para esses ataques incluem, mas não estão limitados a:

  • Operações de negócios descentralizadas

  • Instalações de emergência COVID-19 configuradas sem segurança planejada de infraestrutura de TI

  • Um aumento significativo na quantidade de dados de saúde do paciente armazenados por organizações de saúde

  • Telessaúde e trabalhadores remotos espalhados pelo mundo quase da noite para o dia, abrindo brechas de segurança

O ransomware Ryuk, em particular, ressurgiu recentemente. A Sophos identificou recentemente uma nova campanha de spam vinculada aos atores de Ryuk, e a equipe de Resposta Gerenciada a Ameaças Sophos ajudou uma organização a mitigar um ataque de Ryuk , fornecendo informações sobre como as ferramentas, técnicas e práticas dos atores de Ryuk evoluíram.

A investigação do Ransomware Ryuk

A investigação mostrou uma evolução das ferramentas usadas para comprometer redes direcionadas e implantar o ransomware. Mas o que foi mais notável foi a rapidez com que os ataques podem passar do comprometimento inicial para a implantação de ransomware. Três horas e meia após um alvo abrir um anexo de e-mail de phishing, os invasores já estavam realizando um reconhecimento de rede. Em um dia, eles obtiveram acesso a um controlador de domínio e estavam nos estágios iniciais de uma tentativa de implantar ransomware.

As técnicas dos ataques Ransomwares

As técnicas de evasão de ransomware estão mudando rapidamente. Nos últimos anos, os ataques de ransomware mudaram de ataques de força bruta e em grande escala para ataques focados, planejados e executados manualmente que são muito mais difíceis de detectar e bloquear. Os humanos estão criando malware artesanal.

Os criminosos hibridizaram seus ataques, combinando automação para encontrar vítimas com brechas em suas defesas. Servidores expostos com Remote Desktop Protocol (RDP) habilitado, administradores sem autenticação multifator para acesso remoto, servidores web não corrigidos ou até mesmo esses mesmos problemas em um parceiro ou provedor de serviços confiável são suficientes para colocar sua rede, sistemas e recursos sob resgate .

Saúde e ransomware, aqui estão cinco dicas para a TI  se proteger contra ataques de ransomware:

  1. Mantenha a higiene de TI. Certifique-se de praticar a higiene básica de TI, que inclui instalar todos os patches mais recentes, desligar totalmente o RDP (ou colocá-lo atrás de uma VPN) e fazer backups regulares e mantê-los fora do local, onde os invasores não possam encontrá-los. Também inclui a aplicação de autenticação multifator aos serviços que hospedam os dados mais confidenciais em sua organização. Essas são apenas algumas das etapas fundamentais que você pode realizar para proteger a si mesmo e à sua rede hoje.

  2. Eduque seus usuários. Ensine-os sobre a importância de senhas fortes e implemente a autenticação de dois fatores sempre que possível. Eduque-os sobre phishing, que é um dos principais mecanismos de entrega de ransomware.

  3. Minimize o risco de movimento lateral em sua rede. Segmente as LANs em zonas menores e isoladas ou VLANs protegidas e conectadas pelo firewall. Certifique-se de aplicar políticas IPS adequadas às regras que governam o tráfego que atravessa esses segmentos de LAN para evitar que exploits, worms e bots se espalhem entre os segmentos de LAN. E, se ocorrer uma infecção, isole automaticamente os sistemas infectados até que possam ser limpos.

  4. Use ferramentas de detecção e resposta de endpoint (EDR) com sua proteção de endpoint. Hoje, o ransomware direcionado não trata apenas de impedir um malware; trata-se de parar um adversário ativo e interromper a cadeia de ataque que o coloca em posição de executar o malware. Certifique-se de que cada endpoint esteja protegido e atualizado. Um dispositivo que não está funcionando corretamente pode não estar protegido e pode ser vulnerável a um ataque de ransomware. Use ferramentas como EDR, que permitem fazer perguntas detalhadas para que você possa caçar adversários ativos e identificar ameaças avançadas em sua rede. Depois de fazer isso, o EDR também o ajuda a tomar as ações apropriadas rapidamente para impedir essas ameaças.

  5. Feche a lacuna com intervenção humana. Computadores, automação e ferramentas são incríveis, mas o intelecto humano, o reconhecimento de padrões e nossa capacidade de aplicar o contexto fornecem uma defesa ainda mais formidável. Os serviços de detecção e resposta gerenciada (MDR) são essenciais aqui. Emparelhar suas equipes internas de TI e segurança com uma equipe externa de caçadores de ameaças de elite e especialistas em resposta, ajuda a fornecer conselhos úteis para lidar com as causas de incidentes recorrentes.

Sophos Intercept X Advanced com EDR

O Sophos Intercept X Advanced com EDR inclui todos os recursos de que você precisa para ajudar a proteger sua organização de ataques de ransomware como Ryuk, Sodinokibi, Maze e Ragnar Locker.

O Intercept X

O Intercept X inclui tecnologia anti-ransomware que detecta processos de criptografia maliciosos e os desliga antes que possam se espalhar pela rede. A tecnologia anti-exploit interrompe a entrega e instalação de ransomware, a aprendizagem profunda bloqueia o ransomware antes que ele possa ser executado e o CryptoGuard impede a criptografia maliciosa de arquivos, revertendo-os de volta aos seus estados seguros.

O Advanced com EDR

Além disso, o Sophos EDR ajuda a manter a higiene das operações de TI e caça às ameaças funcionando sem problemas em toda a sua propriedade. O Sophos EDR capacita sua equipe a fazer perguntas detalhadas para identificar ameaças avançadas, adversários ativos e vulnerabilidades de TI em potencial e, em seguida, tomar as medidas adequadas para impedi-los. Ele permite que você detecte adversários à espreita em sua rede e esperando para implantar ransomware que podem ter passado despercebidos.

Sophos Managed Threat Response (MTR)

O serviço Sophos MTR adiciona experiência humana à sua estratégia de segurança em camadas. Uma equipe de elite de caçadores de ameaças procura e valida de forma proativa as ameaças em potencial em seu nome. Se autorizados, eles agem para interromper, conter e neutralizar ameaças e fornecer conselhos acionáveis ​​para lidar com as causas básicas de incidentes recorrentes.

Sophos Rapid Response

Se a sua organização está sob ataque e precisa de assistência de resposta imediata a incidentes, a Sophos pode ajudar.

Fornecido por uma equipe de especialistas em resposta a incidentes, o Sophos Rapid Response fornece assistência extremamente rápida com a identificação e neutralização de ameaças ativas contra as organizações. O embarque começa em algumas horas, e a maioria dos clientes é avaliada em 48 horas. O serviço está disponível tanto para clientes Sophos existentes como para clientes não Sophos.

A equipe Sophos Rapid Response de respondentes remotos a incidentes rapidamente age para fazer a triagem, conter e neutralizar as ameaças ativas. Os adversários são expulsos de sua propriedade para evitar maiores danos aos seus bens.

Traduzido do Original: Sophos News

 

Leia também:

Criando uma política de senha forte com diretrizes Specops e NIST

Por que substituir o firewall de aplicativo da Web tradicional (WAF) pelo WAF da nova era?

Sophos o que é Intercept X





Comentários



Adicionar Comentário