O ransomware tornou-se um dos modelos de negócios mais fortes do cibercrime, custando às organizações bilhões de dólares todos os anos. Em um ataque de ransomware, os cibercriminosos roubam ou criptografam dados importantes e exigem pagamento pela devolução segura. Esses ataques evoluíram de um incômodo no nível do consumidor para um malware sofisticado com capacidade avançada de criptografia, e nenhum setor, região ou tamanho de negócio está imune.
Proteger sua organização contra ransomware e outros tipos de malware exige resposta rápida, porque a cada segundo que passa, mais arquivos são criptografados e mais dispositivos são infectados, aumentando tanto os danos quanto os custos. O IBM QRadar SIEM ajuda você a detectar essas ameaças rapidamente, para agir de forma imediata e informada, evitando ou minimizando os efeitos do ataque.
Na batalha contra o ransomware, a detecção precoce e a prevenção são essenciais. O QRadar SIEM oferece análise de segurança inteligente que fornece dados contra ameaças críticas.
de todos os ciberataques são ransomware.¹
O custo médio de um ataque de ransomware é de USD 5,13 milhões.¹
Organizações com IA e automação de segurança identificaram e contiveram uma violação de dados 108 dias mais rápido¹.
O ransomware, como a maioria dos tipos de malware, avança em várias fases. O QRadar SIEM detecta ransomware conhecido e desconhecido nessas fases. A detecção precoce pode ajudar a evitar os danos causados nas fases posteriores. O QRadar oferece extensões de conteúdo com centenas de casos de uso para gerar alertas nessas fases. As extensões de conteúdo são entregues por meio do App Exchange e oferecem a possibilidade de ter os casos de uso mais recentes.
A maioria das modalidades “conhecidas” de malware e ransomware pode ser encontrada nas fases iniciais. Para detectar ransomware desconhecido, o QRadar SIEM apresenta casos de uso que se concentram na detecção de comportamentos de ransomware. A visibilidade entre endpoints, servidores de aplicativos (no local e em nuvem) e dispositivos de rede (firewalls) permite que o QRadar SIEM Use Case Manager detecte padrões de comportamento de ransomware que abrangem sua infraestrutura de TI e TO. O Use Case Manager pode ajudá-lo a visualizar se você tem casos de uso ou regras que abrangem essas fases usando a matriz MITRE ATT&CK.
O ransomware se parece com outro malware durante essa fase. Ele está utilizando técnicas de phishing para levar seus funcionários desavisados a clicar em um link ou executável em um e-mail, Honeypot, rede social ou mensagem de texto.
Exemplo de casos de uso do QRadar SIEM para localizar comportamentos de distribuição e ransomware conhecido:
- Executável integrado no e-mail
- Comunicação por e-mail ou web com host hostil
- Assunto de e-mail suspeito
Este é o momento em que é acionado o cronômetro. O ransomware agora está em seu ambiente. Quando o ransomware utiliza um “dropper” para evitar a detecção na fase de distribuição, o dropper faz um call home, faz download do “executável real” e o executa.
Exemplos de casos de uso do QRadar SIEM para localizar comportamentos de infecção:
- Detecção de arquivo ou processo malicioso
- Detecção de IOC malicioso
- Decodificação ou download de arquivo seguido de atividade suspeita
O ransomware está fazendo uma varredura na máquina para analisar os direitos administrativos que pode obter, fazer-se executar na inicialização, desativar o modo de recuperação, excluir cópias de sombra e outros.
Exemplos de casos de uso do QRadar SIEM para localizar comportamentos de preparação:
- Tentativa de exclusão de cópias de sombra, backups
- Recuperação desativada na configuração de inicialização
Agora que o ransomware é dono da máquina desde a fase inicial, ele iniciará uma fase de reconhecimento da rede (caminhos de ataque), pastas e arquivos com extensões predefinidas, etc.
Exemplos de casos de uso do QRadar SIEM para localizar comportamentos de reconhecimento:
- Tentativa de exclusão de cópias de sombra, backups
- Limites de tamanho de transferência de dados
O dano real começa agora. As ações típicas são: criar uma cópia de cada arquivo, criptografar as cópias, colocar os novos arquivos no local original. Os arquivos originais podem ser exfiltrados e excluídos do sistema, o que permite aos invasores extorquir a vítima com ameaças de tornar pública a violação ou até mesmo vazar documentos roubados.
Exemplos de casos de uso do QRadar SIEM para localizar comportamentos de criptografia:
- Exclusão ou criação de arquivos de forma excessiva
- Quantidade suspeita de arquivos renomeados ou movidos na mesma máquina (UNIX)
- Limites de tamanho de transferência de dados
O dano é causado e o usuário recebe uma notificação sobre como pagar o resgate para obter a chave de descriptografia. Neste momento, não há muito mais para detectar, exceto para a criação do arquivo de instrução de descriptografia.
Exemplos de casos de uso do QRadar SIEM para localizar comportamentos de notificação de resgate:
- Instrução de descriptografia de ransomware criada
Os casos de uso de localização de ransomware estão disponíveis nas seguintes extensões de conteúdo no App Exchange:
Após a fase inicial de infecção, o tempo é crítico. Quanto mais cedo você detectar, mais cedo poderá iniciar seu plano de resposta a incidentes (RI). Quanto melhor for o plano de RI, mais rápido você impedirá que o ransomware avance pelas fases. As diretrizes de RI do NIST e SANS resistiram ao teste do tempo. Existem alguns aspectos fundamentais para qualquer plano de RI.
Existência de backups. Backups off-line são essenciais em um ataque de ransomware. Certifique-se de saber onde estão esses backups e como restaurar seus sistemas. Inclua as etapas sobre quem contatar para cada um de seus recursos essenciais de TI em seu processo de IR.
Equipes, ferramentas e funções identificadas. À medida que o ransomware progride por suas várias fases, desde a infecção inicial até a criptografia, a composição da equipe de resposta muda. Isso geralmente significa que mais pessoas em toda a organização precisam se envolver. Muitas vezes, isso pode incluir o uso de serviços de terceiros para ajudar ou, no caso de uma violação, pode significar entrar em contato com órgãos reguladores legais externos e clientes. Saber quem e quando contatar é fundamental. Manter uma lista de contatos atualizada é importante, mas integrar as funções dos contatos em seu processo é vital para uma resposta efetiva. Papel e PDFs são adequados, mas ter as ferramentas e a automação certas que fornecem a toda a equipe acesso ao processo de resposta ao ransomware, ações e documentação do histórico é fundamental.
Um processo bem definido e automação. Um processo de IR pode conter muitas tarefas e pode incluir múltiplos pontos de decisão. É uma boa prática alinhar seu processo com as fases descritas pelo NIST e SANS. Por exemplo, você pode organizar seu processo de IR pelas seguintes fases:
- Descoberta e identificação
- Enriquecimento e validação
- Restrição e remediação
- Recuperação e comunicação
O QRadar SOAR oferece playbooks para definir seu processo de IR e automatiza as diversas ações que um analista pode ter que executar para avançar rápido nas fases. A resposta à violação do QRadar SOAR pode criar as tarefas necessárias de elaboração de relatórios para o regulador com base na PI exposta.
Inventário de ativos de TI, proprietários, PI. Quando um sistema é infectado, um analista de segurança precisa conhecer o proprietário do sistema, as aplicações e os dados. As soluções de gerenciamento de ativos, como ServiceNow ou SAP, podem ajudar a gerenciar os contatos dos sistemas. O IBM Guardium Discover and Classify pode ajudar a localizar origens de dados e PI em cada origem. Portanto, no evento de uma violação de dados, os analistas sabem se há alguma regulamentação envolvida.
A cidade de Los Angeles, o LA Cyber Lab e a IBM uniram forças para entregar inteligência de ameaças e fortalecer negócios locais vulneráveis.
A integração de dados, a análise de logs e a priorização de incidentes ajudam a empresa de desenvolvimento e investimento imobiliário do Vietnã a detectar e responder a ameaças.
Hospedando uma solução QRadar SIEM no armazenamento IBM FlashSystem de alto desempenho, a Data Action (DA) oferece segurança aprimorada para bancos alternativos.
A detecção de ameaças do centro ao endpoint com o QRadar SIEM protege sua organização de várias maneiras.
Incorpore as soluções de caça às ameaças cibernéticas do IBM Security em sua estratégia de segurança para combater e minimizar as ameaças mais rapidamente.
Integre os pacotes de conformidade no QRadar SIEM para assegurar a conformidade e automatizar relatórios.
Interrompa os ciberataques rapidamente com a detecção de ameaças quase em tempo real do QRadar SIEM.
Saiba como o QRadar ajuda na defesa contra ameaças crescentes, modernizando e escalando as operações de segurança por visibilidade, detecção, investigação e resposta integradas.
Veja como o QRadar SIEM ajuda um analista a investigar uma ofensa, determiná-la como uma ameaça e enviá-la para SOAR para remediação.
Uma abordagem eficaz de caça a ameaças para reduzir o tempo entre a intrusão e a descoberta, reduzindo a quantidade de danos que os invasores podem provocar.