Detecção e prevenção de ransomware com o IBM QRadar SIEM
O IBM QRadar SIEM ajuda a detectar ransomware antes que ele possa tornar seus dados reféns
Agende uma demonstração em tempo real
Ícone de aviso em tela de LCD digital com geração de reflexos
Detecte e responda a ransomware

O ransomware tornou-se um dos modelos de negócios mais fortes do cibercrime, custando às organizações bilhões de dólares todos os anos. Em um ataque de ransomware, os cibercriminosos roubam ou criptografam dados importantes e exigem pagamento pela devolução segura. Esses ataques evoluíram de um incômodo no nível do consumidor para um malware sofisticado com capacidade avançada de criptografia, e nenhum setor, região ou tamanho de negócio está imune.

Proteger sua organização contra ransomware e outros tipos de malware exige resposta rápida, porque a cada segundo que passa, mais arquivos são criptografados e mais dispositivos são infectados, aumentando tanto os danos quanto os custos. O IBM QRadar SIEM ajuda você a detectar essas ameaças rapidamente, para agir de forma imediata e informada, evitando ou minimizando os efeitos do ataque.

Receba o resumo da solução QRadar SIEM
A ameaça do ransomware

Na batalha contra o ransomware, a detecção precoce e a prevenção são essenciais. O QRadar SIEM oferece análise de segurança inteligente que fornece dados contra ameaças críticas.

24%

de todos os ciberataques são ransomware.¹

5,13

O custo médio de um ataque de ransomware é de USD 5,13 milhões.¹

108

Organizações com IA e automação de segurança identificaram e contiveram uma violação de dados 108 dias mais rápido¹.

Como o QRadar SIEM ajuda a proteger contra ransomware
Ransomware

O ransomware, como a maioria dos tipos de malware, avança em várias fases. O QRadar SIEM detecta ransomware conhecido e desconhecido nessas fases. A detecção precoce pode ajudar a evitar os danos causados nas fases posteriores. O QRadar oferece extensões de conteúdo com centenas de casos de uso para gerar alertas nessas fases. As extensões de conteúdo são entregues por meio do App Exchange e oferecem a possibilidade de ter os casos de uso mais recentes. 

A maioria das modalidades “conhecidas” de malware e ransomware pode ser encontrada nas fases iniciais. Para detectar ransomware desconhecido, o QRadar SIEM apresenta casos de uso que se concentram na detecção de comportamentos de ransomware. A visibilidade entre endpoints, servidores de aplicativos (no local e em nuvem) e dispositivos de rede (firewalls) permite que o QRadar SIEM Use Case Manager detecte padrões de comportamento de ransomware que abrangem sua infraestrutura de TI e TO. O Use Case Manager pode ajudá-lo a visualizar se você tem casos de uso ou regras que abrangem essas fases usando a matriz MITRE ATT&CK.


Fase de distribuição (táticas MITRE ATT&CK: acesso inicial)

O ransomware se parece com outro malware durante essa fase. Ele está utilizando técnicas de phishing para levar seus funcionários desavisados a clicar em um link ou executável em um e-mail, Honeypot, rede social ou mensagem de texto.

Exemplo de casos de uso do QRadar SIEM para localizar comportamentos de distribuição e ransomware conhecido:

  • Executável integrado no e-mail
  • Comunicação por e-mail ou web com host hostil
  • Assunto de e-mail suspeito

Fase de infecção (táticas MITRE ATT&CK: execução, persistência)

Este é o momento em que é acionado o cronômetro. O ransomware agora está em seu ambiente. Quando o ransomware utiliza um “dropper” para evitar a detecção na fase de distribuição, o dropper faz um call home, faz download do “executável real” e o executa.

Exemplos de casos de uso do QRadar SIEM para localizar comportamentos de infecção:

  • Detecção de arquivo ou processo malicioso
  • Detecção de IOC malicioso
  • Decodificação ou download de arquivo seguido de atividade suspeita

Fase de preparação (táticas MITRE ATT&CK: persistência, escalada de privilégio, evasão de defesa, acesso a credenciais)

O ransomware está fazendo uma varredura na máquina para analisar os direitos administrativos que pode obter, fazer-se executar na inicialização, desativar o modo de recuperação, excluir cópias de sombra e outros.

Exemplos de casos de uso do QRadar SIEM para localizar comportamentos de preparação:

    • Tentativa de exclusão de cópias de sombra, backups
    • Recuperação desativada na configuração de inicialização

    Fase de reconhecimento (táticas MITRE ATT&CK: descoberta, movimento lateral, coleta)

    Agora que o ransomware é dono da máquina desde a fase inicial, ele iniciará uma fase de reconhecimento da rede (caminhos de ataque), pastas e arquivos com extensões predefinidas, etc.

    Exemplos de casos de uso do QRadar SIEM para localizar comportamentos de reconhecimento:

    • Tentativa de exclusão de cópias de sombra, backups
    • Limites de tamanho de transferência de dados
    Fundamentos de monitoramento de endpoint do QRadar

    Fase de criptografia (táticas MITRE ATT&CK: exfiltração, impacto)

    O dano real começa agora. As ações típicas são: criar uma cópia de cada arquivo, criptografar as cópias, colocar os novos arquivos no local original. Os arquivos originais podem ser exfiltrados e excluídos do sistema, o que permite aos invasores extorquir a vítima com ameaças de tornar pública a violação ou até mesmo vazar documentos roubados. 

    Exemplos de casos de uso do QRadar SIEM para localizar comportamentos de criptografia:

    • Exclusão ou criação de arquivos de forma excessiva
    • Quantidade suspeita de arquivos renomeados ou movidos na mesma máquina (UNIX)
    • Limites de tamanho de transferência de dados
    Precisa de ajuda para monitorar a exfiltração de dados?

    Notificação de resgate

    O dano é causado e o usuário recebe uma notificação sobre como pagar o resgate para obter a chave de descriptografia. Neste momento, não há muito mais para detectar, exceto para a criação do arquivo de instrução de descriptografia.

    Exemplos de casos de uso do QRadar SIEM para localizar comportamentos de notificação de resgate:

    • Instrução de descriptografia de ransomware criada

    Os casos de uso de localização de ransomware estão disponíveis nas seguintes extensões de conteúdo no App Exchange:

    Saiba mais sobre os casos de uso do QRadar SIEM para cada fase
    Planejamento para um ataque de ransomware

    Após a fase inicial de infecção, o tempo é crítico. Quanto mais cedo você detectar, mais cedo poderá iniciar seu plano de resposta a incidentes (RI). Quanto melhor for o plano de RI, mais rápido você impedirá que o ransomware avance pelas fases. As diretrizes de RI do NIST  e SANS resistiram ao teste do tempo. Existem alguns aspectos fundamentais para qualquer plano de RI.

    Existência de backups. Backups off-line são essenciais em um ataque de ransomware. Certifique-se de saber onde estão esses backups e como restaurar seus sistemas. Inclua as etapas sobre quem contatar para cada um de seus recursos essenciais de TI em seu processo de IR.

    Equipes, ferramentas e funções identificadas. À medida que o ransomware progride por suas várias fases, desde a infecção inicial até a criptografia, a composição da equipe de resposta muda. Isso geralmente significa que mais pessoas em toda a organização precisam se envolver. Muitas vezes, isso pode incluir o uso de serviços de terceiros para ajudar ou, no caso de uma violação, pode significar entrar em contato com órgãos reguladores legais externos e clientes. Saber quem e quando contatar é fundamental. Manter uma lista de contatos atualizada é importante, mas integrar as funções dos contatos em seu processo é vital para uma resposta efetiva. Papel e PDFs são adequados, mas ter as ferramentas e a automação certas que fornecem a toda a equipe acesso ao processo de resposta ao ransomware, ações e documentação do histórico é fundamental.

    Um processo bem definido e automação. Um processo de IR pode conter muitas tarefas e pode incluir múltiplos pontos de decisão. É uma boa prática alinhar seu processo com as fases descritas pelo NIST e SANS. Por exemplo, você pode organizar seu processo de IR pelas seguintes fases:

    1. Descoberta e identificação
    2. Enriquecimento e validação
    3. Restrição e remediação
    4. Recuperação e comunicação

    O QRadar SOAR oferece playbooks para definir seu processo de IR e automatiza as diversas ações que um analista pode ter que executar para avançar rápido nas fases. A resposta à violação do QRadar SOAR pode criar as tarefas necessárias de elaboração de relatórios para o regulador com base na PI exposta.

    Inventário de ativos de TI, proprietários, PI. Quando um sistema é infectado, um analista de segurança precisa conhecer o proprietário do sistema, as aplicações e os dados. As soluções de gerenciamento de ativos, como ServiceNow ou SAP, podem ajudar a gerenciar os contatos dos sistemas. O IBM Guardium Discover and Classify pode ajudar a localizar origens de dados e PI em cada origem. Portanto, no evento de uma violação de dados, os analistas sabem se há alguma regulamentação envolvida.

    Saiba mais sobre o planejamento contra um ataque de ransomware
    Dê o próximo passo

    Agende um horário para obter uma demonstração personalizada do QRadar SIEM ou consulte um de nossos especialistas no produto.

    Agende uma demonstração em tempo real
    Outras maneiras de explorar Documentação Suporte Comunidade Parceiros Recursos Blog Learning Academy
    Notas de rodapé