O ransomware tornou-se um dos modelos de negócios mais fortes do cibercrime, custando às organizações bilhões de dólares todos os anos. Em um ataque de ransomware, os cibercriminosos roubam ou criptografam dados importantes e exigem pagamento pela devolução segura. Esses ataques evoluíram de um incômodo no nível do consumidor para um malware sofisticado com capacidade avançada de criptografia, e nenhum setor, região ou tamanho de negócio está imune.
Proteger sua organização contra ransomware e outros tipos de malware exige resposta rápida, porque a cada segundo que passa, mais arquivos são criptografados e mais dispositivos são infectados, aumentando tanto os danos quanto os custos. O IBM® Security QRadar SIEM ajuda a detectar essas ameaças rapidamente para você tomar ações imediatas e fundamentadas para evitar ou minimizar os efeitos do ataque.
Leia o Guia definitivo do ransomware
Leia o relatório Custo de uma violação de dados em 2022
Na batalha contra o ransomware, a detecção precoce e a prevenção são essenciais. O QRadar SIEM oferece análise de segurança inteligente que fornece dados contra ameaças críticas.
21% de todos os ciberataques são ransomware¹
O custo médio de um ataque de ransomware é de US$ 4,54 milhões2
Houve um aumento de 146% em ransomware para Linux com o novo código3
O ransomware, como a maioria das modalidades de malware, avança em várias fases. O QRadar SIEM pode detectar ransomware conhecido e desconhecido nessas fases. A detecção precoce pode ajudar a evitar danos causados em fases posteriores. O QRadar fornece extensões de conteúdo que incluem centenas de casos de uso para gerar alertas nessas fases. As extensões de conteúdo são entregues por meio do App Exchange e entregam a possibilidade de obter os casos de uso mais recentes. As coleções do IBM® Security X-Force Threat Intelligence são usadas como referências em casos de uso para ajudar a encontrar os mais recentes indicadores conhecidos de comprometimento (IOC), como endereços IP, funções hash de arquivo de malware, URLs e outros.
A maioria das modalidades “conhecidas” de malware e ransomware pode ser encontrada nas fases iniciais. Para detectar ransomware desconhecido, o QRadar SIEM apresenta casos de uso que se concentram na detecção de comportamentos de ransomware. A visibilidade entre endpoints, servidores de aplicativos (no local e em nuvem) e dispositivos de rede (firewalls) permite que o QRadar SIEM Use Case Manager detecte padrões de comportamento de ransomware que abrangem sua infraestrutura de TI e TO. O Use Case Manager pode ajudá-lo a visualizar se você tem casos de uso ou regras que abrangem essas fases usando a matriz MITRE ATT&CK.
O ransomware se parece com outro malware durante essa fase. Ele está utilizando técnicas de phishing para levar seus funcionários desavisados a clicar em um link ou executável em um e-mail, Honeypot, rede social ou mensagem de texto.
Exemplo de casos de uso do QRadar SIEM para localizar comportamentos de distribuição e ransomware conhecido:
- Executável integrado no e-mail
- Comunicação por e-mail ou web com host hostil
- Assunto de e-mail suspeito
Este é o momento em que é acionado o cronômetro. O ransomware agora está em seu ambiente. Quando o ransomware utiliza um “dropper” para evitar a detecção na fase de distribuição, o dropper faz um call home, faz download do “executável real” e o executa.
Exemplos de casos de uso do QRadar SIEM para localizar comportamentos de infecção:
- Detecção de arquivo ou processo malicioso
- Detecção de IOC malicioso
- Decodificação ou download de arquivo seguido de atividade suspeita
O ransomware está fazendo uma varredura na máquina para analisar os direitos administrativos que pode obter, fazer-se executar na inicialização, desativar o modo de recuperação, excluir cópias de sombra e outros.
Exemplos de casos de uso do QRadar SIEM para localizar comportamentos de preparação:
- Tentativa de exclusão de cópias de sombra, backups
- Recuperação desativada na configuração de inicialização
Agora que o ransomware é dono da máquina desde a fase inicial, ele iniciará uma fase de reconhecimento da rede (caminhos de ataque), pastas e arquivos com extensões predefinidas, etc.
Exemplos de casos de uso do QRadar SIEM para localizar comportamentos de reconhecimento:
- Tentativa de exclusão de cópias de sombra, backups
- Limites de tamanho de transferência de dados
O dano real começa agora. As ações típicas são: criar uma cópia de cada arquivo, criptografar as cópias, colocar os novos arquivos no local original. Os arquivos originais podem ser exfiltrados e excluídos do sistema, o que permite aos invasores extorquir a vítima com ameaças de tornar pública a violação ou até mesmo vazar documentos roubados.
Exemplos de casos de uso do QRadar SIEM para localizar comportamentos de criptografia:
- Exclusão ou criação de arquivos de forma excessiva
- Quantidade suspeita de arquivos renomeados ou movidos na mesma máquina (UNIX)
- Limites de tamanho de transferência de dados
O dano é causado e o usuário recebe uma notificação sobre como pagar o resgate para obter a chave de descriptografia. Neste momento, não há muito mais para detectar, exceto para a criação do arquivo de instrução de descriptografia.
Exemplos de casos de uso do QRadar SIEM para localizar comportamentos de notificação de resgate:
- Instrução de descriptografia de ransomware criada
Os casos de uso para localizar ransomware estão disponíveis nas seguintes extensões de conteúdo encontradas no App Exchange (link externo a ibm.com):
- Phishing e extensão de conteúdo de e-mail do IBM® QRadar (link externo a ibm.com)
- Conteúdo de monitoramento de ameaça de segurança do IBM® QRadar (link externo a ibm.com)
- Extensão de conteúdo de endpoint do IBM® QRadar (link externo a ibm.com)
Após a fase inicial de infecção, o tempo é crítico. Quanto mais cedo você detectar, mais cedo poderá iniciar seu plano de resposta a incidentes (IR). Quanto melhor for o plano de IR, mais rápido será impedir que o ransomware progrida pelas fases. NIST (link externo a ibm.com) e SANS (link externo a ibm.com) têm diretrizes de IR que resistiram aos testes de tempo. Existem alguns aspectos fundamentais de qualquer plano de IR.
Existência de backups. Backups off-line são essenciais em um ataque de ransomware. Certifique-se de saber onde estão esses backups e como restaurar seus sistemas. Inclua as etapas sobre quem contatar para cada um de seus recursos essenciais de TI em seu processo de IR.
Equipes, ferramentas e funções identificadas. À medida que o ransomware progride por suas várias fases, desde a infecção inicial até a criptografia, a composição da equipe de resposta muda. Isso geralmente significa que mais pessoas em toda a organização precisam se envolver. Muitas vezes, isso pode incluir o uso de serviços de terceiros para ajudar ou, no caso de uma violação, pode significar entrar em contato com órgãos reguladores legais externos e clientes. Saber quem e quando contatar é fundamental. Manter uma lista de contatos atualizada é importante, mas integrar as funções dos contatos em seu processo é vital para uma resposta efetiva. Papel e PDFs são adequados, mas ter as ferramentas e a automação certas que fornecem a toda a equipe acesso ao processo de resposta ao ransomware, ações e documentação do histórico é fundamental.
Um processo bem definido e automação. Um processo de IR pode conter muitas tarefas e pode incluir múltiplos pontos de decisão. É uma boa prática alinhar seu processo com as fases descritas pelo NIST e SANS. Por exemplo, você pode organizar seu processo de IR pelas seguintes fases:
- Descoberta e identificação
- Enriquecimento e validação
- Restrição e remediação
- Recuperação e comunicação
O QRadar SOAR fornece playbooks para definir seu processo de IR e automatiza as diversas ações que um analista pode necessitar executar para avançar rapidamente pelas fases. A resposta à violação do QRadar SOAR pode criar as tarefas necessárias de relatório para o órgão regulador com base na PI exposta.
Inventário de ativos de TI, proprietários, PI. Quando um sistema é infectado, um analista de segurança precisa conhecer o proprietário do sistema, os aplicativos e os dados. As soluções de gerenciamento de ativos, como ServiceNow ou SAP, podem ajudar a gerenciar os contatos dos sistemas. O IBM® Security Discover and Classify pode ajudar a localizar origens de dados e PI em cada origem. Portanto, no evento de uma violação de dados, os analistas sabem se há alguma regulamentação envolvida.
A cidade de Los Angeles, o LA Cyber Lab e a IBM uniram forças para entregar inteligência de ameaças e fortalecer negócios locais vulneráveis.
A integração de dados, a análise de logs e a priorização de incidentes ajudam a empresa de desenvolvimento e investimento imobiliário do Vietnã a detectar e responder a ameaças.
Hospedando uma solução QRadar SIEM no armazenamento IBM® FlashSystem de alto desempenho, a Data Action (DA) oferece segurança aprimorada para bancos alternativos.
A detecção de ameaças do centro ao endpoint com o QRadar SIEM protege sua organização de várias maneiras.
Incorpore as soluções de caça às ameaças cibernéticas do IBM® Security em sua estratégia de segurança para combater e minimizar ameaças mais rapidamente.
Integre os pacotes de conformidade no QRadar SIEM para assegurar a conformidade e automatizar relatórios.
Interrompa os ciberataques rapidamente com a detecção de ameaças quase em tempo real do QRadar SIEM.