O ransomware tornou-se um dos modelos de negócios mais fortes do cibercrime, custando às organizações bilhões de dólares todos os anos. Em um ataque de ransomware, os cibercriminosos roubam ou criptografam dados importantes e exigem pagamento pela devolução segura. Esses ataques evoluíram de um incômodo no nível do consumidor para um malware sofisticado com capacidade avançada de criptografia, e nenhum setor, região ou tamanho de negócio está imune.
Proteger sua organização contra ransomware e outros tipos de malware exige resposta rápida, porque a cada segundo que passa, mais arquivos são criptografados e mais dispositivos são infectados, aumentando tanto os danos quanto os custos. O IBM® Security QRadar SIEM ajuda a detectar essas ameaças rapidamente para você tomar ações imediatas e fundamentadas para evitar ou minimizar os efeitos do ataque.
Leia o Guia definitivo do ransomware
Leia o relatório Custo de uma violação de dados em 2022
Na batalha contra o ransomware, a detecção precoce e a prevenção são essenciais. O QRadar SIEM oferece análise de segurança inteligente que fornece dados contra ameaças críticas.
21% de todos os ciberataques são ransomware¹
O custo médio de um ataque de ransomware é de US$ 4,54 milhões2
Houve um aumento de 146% em ransomware para Linux com o novo código3
O ransomware, como a maioria das modalidades de malware, avança em várias fases. O QRadar SIEM pode detectar ransomware conhecido e desconhecido nessas fases. A detecção precoce pode ajudar a evitar danos causados em fases posteriores. O QRadar fornece extensões de conteúdo que incluem centenas de casos de uso para gerar alertas nessas fases. As extensões de conteúdo são entregues por meio do App Exchange e entregam a possibilidade de obter os casos de uso mais recentes. As coleções do IBM® Security X-Force Threat Intelligence são usadas como referências em casos de uso para ajudar a encontrar os mais recentes indicadores conhecidos de comprometimento (IOC), como endereços IP, funções hash de arquivo de malware, URLs e outros.
A maioria das modalidades “conhecidas” de malware e ransomware pode ser encontrada nas fases iniciais. Para detectar ransomware desconhecido, o QRadar SIEM apresenta casos de uso que se concentram na detecção de comportamentos de ransomware. A visibilidade entre endpoints, servidores de aplicativos (no local e em nuvem) e dispositivos de rede (firewalls) permite que o QRadar SIEM Use Case Manager detecte padrões de comportamento de ransomware que abrangem sua infraestrutura de TI e TO. O Use Case Manager pode ajudá-lo a visualizar se você tem casos de uso ou regras que abrangem essas fases usando a matriz MITRE ATT&CK.
O ransomware se parece com outro malware durante essa fase. Ele está utilizando técnicas de phishing para levar seus funcionários desavisados a clicar em um link ou executável em um e-mail, Honeypot, rede social ou mensagem de texto.
Exemplo de casos de uso do QRadar SIEM para localizar comportamentos de distribuição e ransomware conhecido:
Este é o momento em que é acionado o cronômetro. O ransomware agora está em seu ambiente. Quando o ransomware utiliza um “dropper” para evitar a detecção na fase de distribuição, o dropper faz um call home, faz download do “executável real” e o executa.
Exemplos de casos de uso do QRadar SIEM para localizar comportamentos de infecção:
O ransomware está fazendo uma varredura na máquina para analisar os direitos administrativos que pode obter, fazer-se executar na inicialização, desativar o modo de recuperação, excluir cópias de sombra e outros.
Exemplos de casos de uso do QRadar SIEM para localizar comportamentos de preparação:
Agora que o ransomware é dono da máquina desde a fase inicial, ele iniciará uma fase de reconhecimento da rede (caminhos de ataque), pastas e arquivos com extensões predefinidas, etc.
Exemplos de casos de uso do QRadar SIEM para localizar comportamentos de reconhecimento:
O dano real começa agora. As ações típicas são: criar uma cópia de cada arquivo, criptografar as cópias, colocar os novos arquivos no local original. Os arquivos originais podem ser exfiltrados e excluídos do sistema, o que permite aos invasores extorquir a vítima com ameaças de tornar pública a violação ou até mesmo vazar documentos roubados.
Exemplos de casos de uso do QRadar SIEM para localizar comportamentos de criptografia:
O dano é causado e o usuário recebe uma notificação sobre como pagar o resgate para obter a chave de descriptografia. Neste momento, não há muito mais para detectar, exceto para a criação do arquivo de instrução de descriptografia.
Exemplos de casos de uso do QRadar SIEM para localizar comportamentos de notificação de resgate:
Os casos de uso para localizar ransomware estão disponíveis nas seguintes extensões de conteúdo encontradas no App Exchange (link externo a ibm.com):
Após a fase inicial de infecção, o tempo é crítico. Quanto mais cedo você detectar, mais cedo poderá iniciar seu plano de resposta a incidentes (IR). Quanto melhor for o plano de IR, mais rápido será impedir que o ransomware progrida pelas fases. NIST (link externo a ibm.com) e SANS (link externo a ibm.com) têm diretrizes de IR que resistiram aos testes de tempo. Existem alguns aspectos fundamentais de qualquer plano de IR.
Existência de backups. Backups off-line são essenciais em um ataque de ransomware. Certifique-se de saber onde estão esses backups e como restaurar seus sistemas. Inclua as etapas sobre quem contatar para cada um de seus recursos essenciais de TI em seu processo de IR.
Equipes, ferramentas e funções identificadas. À medida que o ransomware progride por suas várias fases, desde a infecção inicial até a criptografia, a composição da equipe de resposta muda. Isso geralmente significa que mais pessoas em toda a organização precisam se envolver. Muitas vezes, isso pode incluir o uso de serviços de terceiros para ajudar ou, no caso de uma violação, pode significar entrar em contato com órgãos reguladores legais externos e clientes. Saber quem e quando contatar é fundamental. Manter uma lista de contatos atualizada é importante, mas integrar as funções dos contatos em seu processo é vital para uma resposta efetiva. Papel e PDFs são adequados, mas ter as ferramentas e a automação certas que fornecem a toda a equipe acesso ao processo de resposta ao ransomware, ações e documentação do histórico é fundamental.
Um processo bem definido e automação. Um processo de IR pode conter muitas tarefas e pode incluir múltiplos pontos de decisão. É uma boa prática alinhar seu processo com as fases descritas pelo NIST e SANS. Por exemplo, você pode organizar seu processo de IR pelas seguintes fases:
O QRadar SOAR fornece playbooks para definir seu processo de IR e automatiza as diversas ações que um analista pode necessitar executar para avançar rapidamente pelas fases. A resposta à violação do QRadar SOAR pode criar as tarefas necessárias de relatório para o órgão regulador com base na PI exposta.
Inventário de ativos de TI, proprietários, PI. Quando um sistema é infectado, um analista de segurança precisa conhecer o proprietário do sistema, os aplicativos e os dados. As soluções de gerenciamento de ativos, como ServiceNow ou SAP, podem ajudar a gerenciar os contatos dos sistemas. O IBM® Security Discover and Classify pode ajudar a localizar origens de dados e PI em cada origem. Portanto, no evento de uma violação de dados, os analistas sabem se há alguma regulamentação envolvida.
A detecção de ameaças do centro ao endpoint com o QRadar SIEM protege sua organização de várias maneiras.