Partilhar via


O que é ransomware?

Na prática, um ataque de ransomware bloqueia o acesso aos seus dados até que um resgate seja pago.

Na verdade, ransomware é um tipo de ataque de segurança cibernética de malware ou phishing que destrói ou criptografa arquivos e pastas em um computador, servidor ou dispositivo.

Assim que os dispositivos ou ficheiros são bloqueados ou encriptados, os cibercriminosos podem extorquir dinheiro à empresa ou ao proprietário do dispositivo em troca de uma chave para desbloquear os dados encriptados. Mas, mesmo quando pagos, os cibercriminosos podem nunca dar a chave ao proprietário da empresa ou do dispositivo e interromper o acesso permanentemente.

O Microsoft Security Copilot aproveita a IA para ajudar a mitigar ataques de ransomware. Para obter mais soluções da Microsoft para ransomware, visite nossa biblioteca de soluções de ransomware.

Como funcionam os ataques de ransomware?

O ransomware pode ser automatizado ou envolver mãos humanas num teclado - um ataque operado por humanos, tal como visto em ataques recentes que utilizam o ransomware LockBit.

Os ataques de ransomware operados por humanos envolvem as seguintes etapas:

  1. Compromisso inicial - O agente de ameaça primeiro ganha acesso a um sistema ou ambiente após um período de reconhecimento para identificar fraquezas na defesa.

  2. Persistência e evasão de defesa - O agente de ameaças estabelece uma base no sistema ou ambiente usando um backdoor ou outro mecanismo que opera furtivamente para evitar a deteção por equipes de resposta a incidentes.

  3. Movimento lateral - O agente de ameaças usa o ponto de entrada inicial para migrar para outros sistemas conectados ao dispositivo comprometido ou ambiente de rede.

  4. Acesso a credenciais - O agente de ameaças usa uma página de login falsa para coletar credenciais de usuário ou sistema.

  5. Roubo de dados - O agente de ameaças rouba dados financeiros ou outros de usuários ou sistemas comprometidos.

  6. Impacto - O usuário ou organização afetada pode sofrer danos materiais ou de reputação.

Malware comum usado em campanhas de ransomware

  • Qakbot – Usa phishing para espalhar links maliciosos, anexos maliciosos e para soltar cargas maliciosas como Cobalt Strike Beacon

  • Ryuk – Encriptador de dados tipicamente direcionado para o Windows

  • Trickbot – Tem como alvo aplicações da Microsoft como Excel e Word. O Trickbot era normalmente entregue através de campanhas de e-mail que usavam eventos atuais ou iscas financeiras para atrair os utilizadores a abrir anexos de ficheiros maliciosos ou clicar em links para sites que alojam os ficheiros maliciosos. Desde 2022, a mitigação de campanhas da Microsoft usando esse malware parece ter interrompido sua utilidade.

Agentes de ameaças prevalentes associados a campanhas de ransomware

  • LockBit – Campanha de ransomware como serviço (RaaS) motivada financeiramente e agente de ameaça de ransomware mais prolífico no período de 2023-24
  • Black Basta – Obtém acesso por meio de e-mails de spear-phishing e usa o PowerShell para iniciar uma carga útil de criptografia

Como a Microsoft pode ajudar com um ataque de ransomware em andamento

Para ajudar a mitigar ataques de ransomware em andamento, o Microsoft Incident Response pode aproveitar e implantar o Microsoft Defender for Identity — uma solução de segurança baseada em nuvem que ajuda a detetar e responder a ameaças relacionadas à identidade. Trazer o monitoramento de identidade para a resposta a incidentes com antecedência ajuda a equipe de operações de segurança da organização afetada a recuperar o controle. O Microsoft Incident response usa o Defender for Identity para ajudar a identificar o escopo do incidente e as contas afetadas, proteger a infraestrutura crítica e remover o agente de ameaça. Em seguida, a equipe de resposta traz o Microsoft Defender for Endpoint para rastrear os movimentos do agente de ameaças e interromper suas tentativas de usar contas comprometidas para reentrar no ambiente. Depois de conter o incidente e recuperar o controle administrativo total sobre o ambiente, o Microsoft Incident Response colabora com o cliente para ajudar a prevenir futuros ataques cibernéticos.

Ataques automatizados de ransomware

Os ataques de ransomware de mercadorias são frequentemente automatizados. Esses ataques cibernéticos podem se espalhar como um vírus, infetar dispositivos por meio de métodos como phishing por e-mail e entrega de malware, e exigir remediação de malware.

Portanto, você pode proteger seu sistema de email usando o Microsoft Defender para Office 365 que protege contra malware e entrega de phishing. O Microsoft Defender for Endpoint funciona em conjunto com o Defender for Office 365 para detetar e bloquear automaticamente atividades suspeitas em seus dispositivos, enquanto o Microsoft Defender XDR deteta malware e tentativas de phishing antecipadamente.

Ataques de ransomware operados por humanos

O ransomware operado por humanos é o resultado de um ataque ativo de cibercriminosos que se infiltram na infraestrutura de TI local ou na nuvem de uma organização, elevam seus privilégios e implantam ransomware em dados críticos.

Esses ataques "hands-on-keyboard" geralmente têm como alvo organizações em vez de um único dispositivo.

Operado por humanos também significa que há um agente de ameaça humano usando suas perceções sobre configurações incorretas comuns do sistema e da segurança. Pretendem infiltrar-se na organização, navegar na rede e adaptar-se ao ambiente e às suas fraquezas.

As características desses ataques de ransomware operados por humanos geralmente incluem roubo de credenciais e movimentação lateral com uma elevação dos privilégios em contas roubadas.

As atividades podem ocorrer durante as janelas de manutenção e envolver falhas de configuração de segurança descobertas por cibercriminosos. O objetivo é a implantação de uma carga útil de ransomware para quaisquer recursos de alto impacto nos negócios que os agentes de ameaças escolham.

Importante

Esses ataques podem ser catastróficos para as operações de negócios e são difíceis de limpar, exigindo a remoção completa do adversário para proteger contra ataques futuros. Ao contrário do ransomware de mercadoria que geralmente requer apenas a correção de malware, o ransomware operado por humanos continuará a ameaçar suas operações de negócios após o encontro inicial.

O impacto e a probabilidade de que os ataques de ransomware operados por humanos continuem

Proteção contra ransomware para a sua organização

Primeiro, evite phishing e entrega de malware com o Microsoft Defender para Office 365 para proteger contra malware e entrega de phishing, o Microsoft Defender for Endpoint para detetar e bloquear automaticamente atividades suspeitas em seus dispositivos e o Microsoft Defender XDR para detetar tentativas de malware e phishing antecipadamente.

Para obter uma visão abrangente de ransomware e extorsão e como proteger sua organização, use as informações na apresentação em PowerPoint do Plano do Projeto de Mitigação de Ransomware Operado por Humanos.

Siga a abordagem do Microsoft Incident Response para prevenção e mitigação de ransomware.

  1. Avalie a situação analisando a atividade suspeita que alertou sua equipe sobre o ataque.

  2. A que hora/data teve conhecimento do incidente? Quais logs estão disponíveis e há alguma indicação de que o ator está acessando os sistemas no momento?

  3. Identifique os aplicativos de linha de negócios (LOB) afetados e coloque todos os sistemas afetados on-line novamente. O aplicativo afetado requer uma identidade que pode ter sido comprometida?

  4. Os backups do aplicativo, da configuração e dos dados estão disponíveis e são verificados regularmente usando um exercício de restauração?

  5. Determine o processo de recuperação de comprometimento (CR) para remover o agente de ameaça do ambiente.

Aqui está um resumo das diretrizes do Plano do Projeto de Mitigação de Ransomware Operado por Humanos da Microsoft:

O resumo das orientações no Plano do Projeto de Mitigação de Ransomware Operado por Humanos

  • Os riscos de ataques baseados em ransomware e extorsão são altos.
  • No entanto, os ataques têm fraquezas que podem reduzir a sua probabilidade de ser atacado.
  • Há três etapas para configurar sua infraestrutura para explorar fraquezas de ataque.

Para conhecer as três etapas para explorar os pontos fracos do ataque, consulte a solução Proteja sua organização contra ransomware e extorsão para configurar rapidamente sua infraestrutura de TI para obter a melhor proteção:

  1. Prepare a sua organização para recuperar de um ataque sem ter de pagar o resgate.
  2. Limite o alcance dos danos de um ataque de ransomware protegendo funções privilegiadas.
  3. Dificulte o acesso de um agente de ameaças ao seu ambiente, removendo riscos de forma incremental.

Os três passos para se proteger contra ransomware e extorsão

Faça o download do cartaz Proteja sua organização contra ransomware para obter uma visão geral das três fases como camadas de proteção contra ataques de ransomware.

O cartaz

Recursos adicionais de prevenção de ransomware

Principais informações da Microsoft:

Microsoft Defender XDR:

Aplicativos do Microsoft Defender para nuvem:

Microsoft Azure:

Microsoft Copilot para Segurança:

As principais estratégias de mitigação de ransomware OpenAI, nas próprias palavras do ChatGPT, incluem:

  1. Curadoria de dados de treinamento

  2. Camadas de segurança e filtros

  3. Testes empíricos e red teaming

  4. Monitorização contínua

  5. Alinhamento e investigação em matéria de segurança

  6. Relatórios e comentários da comunidade

  7. Parcerias e políticas

Para obter informações mais detalhadas, consulte a documentação oficial da OpenAI sobre sua abordagem à segurança de IA e mitigação de uso indevido.

Recursos de mitigação do ransomware Microsoft Security:

Veja a lista mais recente de artigos sobre ransomware no Blog de Segurança da Microsoft.