A preocupação com o ataque de ransomware da DarkSide ao Colonial Pipeline expandiu-se para além da indústria da cibersegurança e entrou na consciência do consumidor quotidiano - um indicador das extensas implicações que o ataque tem na economia global. Em resposta, a administração Biden emitiu uma ordem executiva e deu uma conferência de imprensa, e a comunidade de piratas informáticos actuou para derrubar os servidores do grupo de ransomware DarkSide.
O que pode fazer para proteger a sua empresa de um ataque de ransomware como serviço (RaaS) semelhante ao que paralisou o Colonial Pipeline? Em primeiro lugar, é preciso entender como os ataques RaaS são normalmente realizados, geralmente favorecendo as vulnerabilidades do Windows para explorar o acesso inicial. Neste vídeo, o Microsoft MVP e Director de Serviços da Semperis, Sean Deuby, explica como os atacantes violam o Active Directory.
Leitura relacionada
Tal como Deuby refere no vídeo, os grupos RaaS seguem um determinado padrão de comportamento:
- Um ataque começa com um "reconhecimento", utilizando ferramentas de penetração para obter o acesso inicial aos seus sistemas.
- Depois de se instalarem com sucesso, os atacantes passam semanas à procura de vulnerabilidades e a obter acesso a contas de utilizadores privilegiados.
- O grupo tentará maximizar o impacto depois de bloquear os seus sistemas e exigir um resgate.
- O ataque não só roubará os seus dados sensíveis, como também ameaçará tornar os dados públicos se o resgate não for pago atempadamente.
O grupo de ransomware DarkSide, em particular, tem algumas das suas próprias peculiaridades:
- A DarkSide tem conhecimentos de negócios. Não só afirma ter "princípios", como não visar hospitais ou escolas, como ataca apenas organizações que sabe que podem e vão pagar.
- O gang é oportunista e ataca quando as organizações têm mais probabilidades de pagar. É paciente, efectuando o reconhecimento durante várias semanas para localizar as jóias da coroa.
- Por último, sabe que as receitas do ransomware são previsíveis - não há sinais de abrandamento do ransomware como serviço. O ataque ao Colonial Pipeline, por exemplo, indica que grupos como a DarkSide declararam "época de caça" aos fornecedores de infra-estruturas e aos sistemas SCADA.
Mesmo que não seja uma empresa de infra-estruturas, aqui está a grande conclusão: Os grupos de ataque de ransomware como serviço favorecem as vulnerabilidades do Windows. Conselhos comuns como "mantenha os seus sistemas Windows actualizados" são especialmente aplicáveis quando se lida com este tipo de ataques. No entanto, também é fundamental que procure proactivamente configurações fracas nos seus sistemas de identidade (especialmente o Active Directory) que são alvos principais para os atacantes.
Descarregar Purple Knight Ferramenta de avaliação de segurança gratuita
Para ajudar as empresas a protegerem-se contra ataques de ransomware-as-a-service, a Semperis lançou uma ferramenta de avaliação de segurança gratuita, Purple Knightque permite às organizações sondar com segurança o seu ambiente Microsoft Active Directory (AD) para identificar erros de configuração perigosos e outras fraquezas que os atacantes podem explorar para roubar dados e lançar campanhas de malware. Criada e gerida por um grupo de elite de especialistas em identidade da Microsoft, a ferramenta permite que as organizações combatam o dilúvio de ataques crescentes contra o AD, detectando indicadores de exposição e comprometimento nos seus ambientes e fornecendo orientações correctivas para colmatar as lacunas.
Purple Knight é actualmente utilizado por algumas das maiores organizações com os ambientes de identidade mais complexos do mundo. No início, os utilizadores comunicaram uma pontuação média de falha de 61%, o que ajuda a explicar por que razão o AD é um alvo fácil para os grupos de ransomware. Purple Knight ajuda-o a identificar as áreas em que a segurança do seu sistema de identidade necessita de atenção, incluindo a segurança Kerberos, a delegação AD, a segurança de contas, a segurança da infra-estrutura AD e a segurança da Política de Grupo.
Pode obter mais informações sobre Purple Knight e solicitar o acesso gratuito em purple-knight.com. Para obter mais análises sobre como os recentes ataques de alto perfil exploraram o Active Directory, confira o seminário na Web "How Attackers Exploit Active Directory: Lessons Learned from High-Profile Breaches", apresentado por Ran Harel (Principal Security Product Manager da Semperis) e Brian Desmond (Principal do Ravenswood Technology Group).
Bastam alguns minutos do seu tempo para fortalecer o seu sistema de identidade principal e aumentar a barreira de entrada para os atacantes.