O que os criminosos da indústria de ransomware recomendam para que você não seja afetado por ransomware?

Sergio De Los Santos    27 agosto, 2020
O que os criminosos da indústria de ransomware recomendam para que você não seja afetado por ransomware?

Todos conhecemos as recomendações de segurança que os profissionais oferecem para se protegerem contra malware . Geralmente: use o bom senso (pessoalmente, um dos conselhos menos aplicáveis ​​e abstratos que podem ser dados), use um antivírus, um firewall (?) … Todas as boas intenções que não são práticas, muito repetidas, mas não são muito eficazes. Usuários e empresas continuam infectados. se, para variar, ouvirmos os próprios criadores de ransomware ? Não é possível que eles tenham uma visão mais prática e realista do que fazer para evitar seu próprio ataque? Quais são as recomendações deles contra si mesmos?

Primeiro, devemos diferenciar entre o ransomware doméstico e o profissional de ransomware. No primeiro, o objetivo é o computador aleatório de qualquer indivíduo , pode ser aquele que não age. O segundo é o ransomware desenvolvido com uma empresa específica como alvo. Os atacantes passarão meses planejando o ataque, provavelmente semanas na rede e em poucos minutos criptografarão tudo o que puderem para pedir um resgate milionário . E uma vez afetado, pouco pode ser feito. A Garmin pagou recentemente e o CWT também, uma empresa de gerenciamento de viagens de negócios e eventos dos Estados Unidos que acabou de pagar US $ 4,5 milhões para decifrar seus próprios dados. O acordo com o negociador atacante foi por bate-papo e foi tornado público. A transcrição mostra a gestão de qualquer negócio entre profissionais . Vamos parar com as recomendações feitas pelo negociador “ruim” ao representante da CWT e analisar sua eficácia.

Recomendações anti ransomware

Note-se que são recomendações dos próprios atacantes e para ajudar grandes empresas atacadas por ransomware profissional. Vamos com eles e ver se são adequados.

Lista de recomendações. Fonte: Twitter Jack Stubb s
Lista de recomendações. Fonte: Twitter Jack Stubbs
  • Desabilitando senhas locais
    Nos sistemas e servidores controlados pelo Controlador de Domínio, é uma boa idéia não usar usuários locais e focar nos do controlador de domínio. Isso permite rastreabilidade aprimorada e exposição reduzida. Boa recomendação.
  • Forçar o encerramento da sessão do administrador
    Quando os invasores já estão em casa na rede, eles tentam passar para o administrador do domínio e abrir sessões com ele, caso contrário, não poderão criptografar tudo o que é importante e os backups. É uma boa ideia que essas sessões terminem, expirem e sejam totalmente monitoradas.
  • Impedir que o WDigest (Digest Authentication) usado no LDAP armazene senhas na memória
    O invasor aqui se refere, velado e quase certamente, a Mimikatz e como ele provavelmente recupera a senha de administrador do controlador de domínio e aumenta os privilégios graças a esta ferramenta. Se um determinado valor do Windows estiver definido como zero, eles não poderão ver a senha claramente e a elevação será difícil para os invasores. Excelente recomendação.
  • Atualizando senhas todos os meses
    Há muita controvérsia nisso sobre a atualização de senhas . Para os usuários, é tedioso atualizar todos os meses e acabar anotando-os ou seguindo um padrão. Mas para administradores (que é onde esse criminoso aponta), faz sentido . Os invasores podem passar mais de um mês em uma rede sem se revelar, estudando quando é o melhor momento para iniciar o ataque mais eficaz. Alterar suas senhas, que eles provavelmente já descobriram, pode forçá-los a repensar o ataque e pode desfazer muito do seu trabalho. Recomendação interessante.
  • Reduza as permissões do usuário para acessar o essencial.
    Bem, essa é uma recomendação comum. Também muito provavelmente se refere à maneira como os atacantes gerenciam, de um usuário particular, elevar privilégios graças à negligência na segmentação de permissões e privilégios.
  • Applocker e o uso dos aplicativos necessários
    Este é o sonho de todo administrador de rede: ter uma lista branca de aplicativos que os usuários podem executar e ignorar o resto. Com o AppLocker, já integrado no Windows, seria suficiente. Funciona muito bem e permite limitar por certificado, localização, etc. Os invasores não poderiam baixar suas ferramentas e iniciá-las para elevar privilégios. É uma medida excelente e complexa de se tornar realidade, embora não seja impossível.
  • Não conte com antivírus a curto prazo
    Bem, infelizmente, já explicamos isso em várias ocasiões. O antivírus (como tal) não é a melhor solução para detecção precoce. “Não conte com eles.” Aqui, o invasor afirma que o antivírus pode servir a longo prazo, como algo reativo. E, infelizmente, está certo, o antivírus, como tal, é um elemento reativo e é aí que funciona melhor: como um sistema para detectar e erradicar uma infecção quando ela já ocorreu. Para evitar, é razoável usar um conjunto de medidas muito mais amplo. Além disso, ele esclarece que o antivírus só funciona se o invasor “por algum motivo não atacar no curto prazo”.Isso implica que atacantes profissionais raramente são impulsivos. Eles levam um tempo para analisar a vítima e atacar de forma eficaz.
  • Instale um EDR (EndPoint Detection and Response) e que os técnicos saibam trabalhar com
    ele.Um EDR é mais do que um antivírus, é realmente destinado à detecção precoce, análise do que acontece no sistema em tempo real, além de assinaturas antivírus tradicionais. E sim, isso pode ser útil. Mas a sutileza que o atacante acrescenta é interessante: não apenas pelo uso, mas também pelo fato de “os técnicos trabalharem com ele”. Como qualquer software , é inútil montar o EDR se não estiver configurado corretamente, for conhecido, funcionar e for monitorado corretamente.
  • Trabalhando 24 horas por dia
    Para grandes empresas, o atacante recomenda três turnos de oito horas para os gerentes, cobrindo assim 24 horas por dia. Isso implica que os invasores provavelmente procurarão momentos em que os administradores não estejam trabalhando para iniciar ataques, movimentos laterais ou elevações de privilégios. Se tiverem sucesso sem que os alarmes disparem (e sendo verificados), eles poderão apagar as faixas. Mudanças tão completas de “vigilância humana” são importantes.

Conclusões

Levando em conta que eles acabaram de receber 4,5 milhões de euros por um resgate que eles mesmos causaram, o atacante, sem dúvida, pertence a um grupo profissional que sabe o que está fazendo. As recomendações parecem sinceras e, embora possam parecer contraproducentes, visam dificultar o seu próprio trabalho . Por que revelar esses truques? Ele o comunica à vítima (que lembramos que acabamos de pagar) e apenas a ela como um ato de profissionalismo. Eles concluíram uma transação entre “profissionais” para um serviço e fornece um “bônus” de informações. Como o encanador que, depois de consertar um bloqueio no oleoduto, o aconselha antes de sair, enquanto ele estende a conta, sobre como evitar que o banheiro entupa novamente.Nenhum encanador negaria essa pequena dica porque acha que a perde. Pelo contrário, como um bom profissional, o invasor precisa criar confiança, porque na próxima vez que atacar uma grande empresa e exigir milhões, ele quer saber que pagá-los é a melhor opção para recuperar os dados. Trate bem seus clientes atuais e futuros … mesmo que sejam vítimas.

Mas mesmo que essas dicas tenham vazado, presumimos que elas não se importam nem um pouco. Existem milhares de grandes empresas por aí que irão ignorá-lo. Devido à ignorância ou falta de recursos, eles continuarão sendo vítimas em potencial. Os invasores podem se dar ao luxo de aconselhar sobre como impedi-los de se atacarem, e ainda continuam desfrutando de uma superfície de ataque suficiente para apoiar um negócio próspero.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *