Detecção e Prevenção de Ransomware - Security QRadar SIEM

Detecte e responda a ransomware

O ransomware tornou-se um dos modelos de negócios mais fortes do cibercrime, custando às organizações bilhões de dólares todos os anos. Em um ataque de ransomware, os cibercriminosos roubam ou criptografam dados importantes e exigem pagamento pela devolução segura. Esses ataques evoluíram de um incômodo no nível do consumidor para um malware sofisticado com capacidade avançada de criptografia, e nenhum setor, região ou tamanho de negócio está imune.

Proteger sua organização contra ransomware e outros tipos de malware exige resposta rápida, porque a cada segundo que passa, mais arquivos são criptografados e mais dispositivos são infectados, aumentando tanto os danos quanto os custos. O IBM® Security QRadar SIEM ajuda a detectar essas ameaças rapidamente para você tomar ações imediatas e fundamentadas para evitar ou minimizar os efeitos do ataque.

Saiba mais sobre o risco de ransomware

Leia o Guia definitivo do ransomware

Leia o relatório Custo de uma violação de dados em 2022

Baixe o resumo da solução QRadar SIEM

A ameaça do ransomware

Na batalha contra o ransomware, a detecção precoce e a prevenção são essenciais. O QRadar SIEM oferece análise de segurança inteligente que fornece dados contra ameaças críticas.

21%

21% de todos os ciberataques são ransomware¹

4,54

O custo médio de um ataque de ransomware é de US$ 4,54 milhões²

146%

Houve um aumento de 146% em ransomware para Linux com o novo código³

Como o QRadar SIEM ajuda a proteger contra ransomware

O ransomware, como a maioria das modalidades de malware, avança em várias fases. O QRadar SIEM pode detectar ransomware conhecido e desconhecido nessas fases. A detecção precoce pode ajudar a evitar danos causados em fases posteriores. O QRadar fornece extensões de conteúdo que incluem centenas de casos de uso para gerar alertas nessas fases. As extensões de conteúdo são entregues por meio do App Exchange e entregam a possibilidade de obter os casos de uso mais recentes. As coleções do IBM® Security X-Force Threat Intelligence são usadas como referências em casos de uso para ajudar a encontrar os mais recentes indicadores conhecidos de comprometimento (IOC), como endereços IP, funções hash de arquivo de malware, URLs e outros.

A maioria das modalidades “conhecidas” de malware e ransomware pode ser encontrada nas fases iniciais. Para detectar ransomware desconhecido, o QRadar SIEM apresenta casos de uso que se concentram na detecção de comportamentos de ransomware. A visibilidade entre endpoints, servidores de aplicativos (no local e em nuvem) e dispositivos de rede (firewalls) permite que o QRadar SIEM Use Case Manager detecte padrões de comportamento de ransomware que abrangem sua infraestrutura de TI e TO. O Use Case Manager pode ajudá-lo a visualizar se você tem casos de uso ou regras que abrangem essas fases usando a matriz MITRE ATT&CK.

Fase de distribuição (táticas MITRE ATT&CK: acesso inicial)

O ransomware se parece com outro malware durante essa fase. Ele está utilizando técnicas de phishing para levar seus funcionários desavisados a clicar em um link ou executável em um e-mail, Honeypot, rede social ou mensagem de texto.

Exemplo de casos de uso do QRadar SIEM para localizar comportamentos de distribuição e ransomware conhecido:

Executável integrado no e-mail
Comunicação por e-mail ou web com host hostil
Assunto de e-mail suspeito

Fase de infecção (táticas MITRE ATT&CK: execução, persistência)

Este é o momento em que é acionado o cronômetro. O ransomware agora está em seu ambiente. Quando o ransomware utiliza um “dropper” para evitar a detecção na fase de distribuição, o dropper faz um call home, faz download do “executável real” e o executa.

Exemplos de casos de uso do QRadar SIEM para localizar comportamentos de infecção:

Detecção de arquivo ou processo malicioso
Detecção de IOC malicioso
Decodificação ou download de arquivo seguido de atividade suspeita

Fase de preparação (táticas MITRE ATT&CK: persistência, escalada de privilégio, evasão de defesa, acesso a credenciais)

O ransomware está fazendo uma varredura na máquina para analisar os direitos administrativos que pode obter, fazer-se executar na inicialização, desativar o modo de recuperação, excluir cópias de sombra e outros.

Exemplos de casos de uso do QRadar SIEM para localizar comportamentos de preparação:

Tentativa de exclusão de cópias de sombra, backups
Recuperação desativada na configuração de inicialização

Fase de reconhecimento (táticas MITRE ATT&CK: descoberta, movimento lateral, coleta)

Agora que o ransomware é dono da máquina desde a fase inicial, ele iniciará uma fase de reconhecimento da rede (caminhos de ataque), pastas e arquivos com extensões predefinidas, etc.

Exemplos de casos de uso do QRadar SIEM para localizar comportamentos de reconhecimento:

Tentativa de exclusão de cópias de sombra, backups
Limites de tamanho de transferência de dados

Fundamentos de monitoramento de endpoint do QRadar

Fase de criptografia (táticas MITRE ATT&CK: exfiltração, impacto)

O dano real começa agora. As ações típicas são: criar uma cópia de cada arquivo, criptografar as cópias, colocar os novos arquivos no local original. Os arquivos originais podem ser exfiltrados e excluídos do sistema, o que permite aos invasores extorquir a vítima com ameaças de tornar pública a violação ou até mesmo vazar documentos roubados.

Exemplos de casos de uso do QRadar SIEM para localizar comportamentos de criptografia:

Exclusão ou criação de arquivos de forma excessiva
Quantidade suspeita de arquivos renomeados ou movidos na mesma máquina (UNIX)
Limites de tamanho de transferência de dados

Precisa de ajuda para monitorar a exfiltração de dados?

Notificação de resgate

O dano é causado e o usuário recebe uma notificação sobre como pagar o resgate para obter a chave de descriptografia. Neste momento, não há muito mais para detectar, exceto para a criação do arquivo de instrução de descriptografia.

Exemplos de casos de uso do QRadar SIEM para localizar comportamentos de notificação de resgate:

Instrução de descriptografia de ransomware criada

Os casos de uso para localizar ransomware estão disponíveis nas seguintes extensões de conteúdo encontradas no App Exchange (link externo a ibm.com):

Phishing e extensão de conteúdo de e-mail do IBM® QRadar (link externo a ibm.com)
Conteúdo de monitoramento de ameaça de segurança do IBM® QRadar (link externo a ibm.com)
Extensão de conteúdo de endpoint do IBM® QRadar (link externo a ibm.com)

Saiba mais sobre os casos de uso do QRadar SIEM para cada fase

Planejamento para um ataque de ransomware

Após a fase inicial de infecção, o tempo é crítico. Quanto mais cedo você detectar, mais cedo poderá iniciar seu plano de resposta a incidentes (IR). Quanto melhor for o plano de IR, mais rápido será impedir que o ransomware progrida pelas fases. NIST (link externo a ibm.com) e SANS (link externo a ibm.com) têm diretrizes de IR que resistiram aos testes de tempo. Existem alguns aspectos fundamentais de qualquer plano de IR.

Existência de backups. Backups off-line são essenciais em um ataque de ransomware. Certifique-se de saber onde estão esses backups e como restaurar seus sistemas. Inclua as etapas sobre quem contatar para cada um de seus recursos essenciais de TI em seu processo de IR.

Equipes, ferramentas e funções identificadas. À medida que o ransomware progride por suas várias fases, desde a infecção inicial até a criptografia, a composição da equipe de resposta muda. Isso geralmente significa que mais pessoas em toda a organização precisam se envolver. Muitas vezes, isso pode incluir o uso de serviços de terceiros para ajudar ou, no caso de uma violação, pode significar entrar em contato com órgãos reguladores legais externos e clientes. Saber quem e quando contatar é fundamental. Manter uma lista de contatos atualizada é importante, mas integrar as funções dos contatos em seu processo é vital para uma resposta efetiva. Papel e PDFs são adequados, mas ter as ferramentas e a automação certas que fornecem a toda a equipe acesso ao processo de resposta ao ransomware, ações e documentação do histórico é fundamental.

Um processo bem definido e automação. Um processo de IR pode conter muitas tarefas e pode incluir múltiplos pontos de decisão. É uma boa prática alinhar seu processo com as fases descritas pelo NIST e SANS. Por exemplo, você pode organizar seu processo de IR pelas seguintes fases:

Descoberta e identificação
Enriquecimento e validação
Restrição e remediação
Recuperação e comunicação

O QRadar SOAR fornece playbooks para definir seu processo de IR e automatiza as diversas ações que um analista pode necessitar executar para avançar rapidamente pelas fases. A resposta à violação do QRadar SOAR pode criar as tarefas necessárias de relatório para o órgão regulador com base na PI exposta.

Inventário de ativos de TI, proprietários, PI. Quando um sistema é infectado, um analista de segurança precisa conhecer o proprietário do sistema, os aplicativos e os dados. As soluções de gerenciamento de ativos, como ServiceNow ou SAP, podem ajudar a gerenciar os contatos dos sistemas. O IBM® Security Discover and Classify pode ajudar a localizar origens de dados e PI em cada origem. Portanto, no evento de uma violação de dados, os analistas sabem se há alguma regulamentação envolvida.

Saiba mais sobre o planejamento contra um ataque de ransomware

Estudos de caso

Como aprimorar a defesa de uma cidade com inteligência sobre ameaças

A cidade de Los Angeles, o LA Cyber Lab e a IBM uniram forças para entregar inteligência de ameaças e fortalecer negócios locais vulneráveis.

Como acelerar a remediação de ameaças com o QRadar SIEM

A integração de dados, a análise de logs e a priorização de incidentes ajudam a empresa de desenvolvimento e investimento imobiliário do Vietnã a detectar e responder a ameaças.

Gerenciamento da cibersegurança com soluções combinadas IBM

Hospedando uma solução QRadar SIEM no armazenamento IBM® FlashSystem de alto desempenho, a Data Action (DA) oferece segurança aprimorada para bancos alternativos.

Casos de uso relacionados

A detecção de ameaças do centro ao endpoint com o QRadar SIEM protege sua organização de várias maneiras.

Caça a ameaças

Incorpore as soluções de caça às ameaças cibernéticas do IBM® Security em sua estratégia de segurança para combater e minimizar ameaças mais rapidamente.

Conformidade

Integre os pacotes de conformidade no QRadar SIEM para assegurar a conformidade e automatizar relatórios.

Detecção de ameaças

Interrompa os ciberataques rapidamente com a detecção de ameaças quase em tempo real do QRadar SIEM.

Dê o próximo passo

Agende um horário para ver uma demonstração personalizada do QRadar SIEM ou consulte um de nossos especialistas em produtos.

Solicite uma demo

Outras maneiras de explorar

Documentação

Suporte

Comunidade

Parceiros

Recursos

Notas de rodapé

^{1, 2} Relatório de custo de violação de dados 2022
³ X-Force Threat Intelligence Index