Este ano forçou as organizações a se adaptarem rapidamente para permitir que os funcionários trabalhem em casa. Isso está criando 'caos sem controle' - que os criminosos cibernéticos estão explorando.

As condições únicas de 2020 significam que as empresas dependem mais da conexão digital do que nunca. Os cibercriminosos sabem disso, e é por isso que os ataques de ransomware se tornaram ainda mais difundidos - e eficazes durante o curso deste ano.

Os hackers estão invadindo redes de organizações que variam de empresas de tecnologia a governos locais e quase todos os outros setores; criptografar servidores, serviços e arquivos com ransomware antes de exigir um resgate de bitcoin que pode ser medido em centenas de milhares ou mesmo milhões de dólares.

Parte da razão para o aumento de ataques de ransomware bem-sucedidos é o enorme crescimento do trabalho remoto como resultado da pandemia.

Enquanto os funcionários e seus PCs antes estavam protegidos pelo firewall do escritório, agora eles estão tentando empoleirar-se em uma estação de trabalho improvisada na cozinha ou no quarto, usando todos os tipos de tecnologias remendadas para fazer o trabalho.

"Você tem uma superfície de ataque muito maior; não necessariamente porque tem mais funcionários, mas porque eles estão todos em locais diferentes, operando em redes diferentes, não trabalhando com a rede de perímetro da organização em vários tipos de dispositivos. A complexidade do ataque a superfície cresce dramaticamente ", diz Shimon Oren, vice-presidente de pesquisa e aprendizado profundo da empresa de segurança Deep Instinct.

Para muitos funcionários, a pandemia pode ter sido a primeira vez que trabalharam remotamente. E estar isolado do ambiente corporativo - um lugar onde eles podem ver ou ouvir avisos sobre segurança cibernética e se manterem seguros on-line diariamente, além de poderem pedir conselhos pessoalmente, torna mais difícil tomar boas decisões sobre segurança .

“O ruído de fundo da segurança acabou e isso torna muito mais difícil e as equipes de segurança têm que fazer muito mais no envio de mensagens agora. As pessoas que trabalham em casa são mais isoladas, não podem se inclinar e perguntar 'você entendeu? um link estranho? ' - você não tem ninguém para fazer isso, e você mesmo está fazendo escolhas ", diz Sherrod DeGrippo, diretor sênior de pesquisa de ameaças da Proofpoint.

“E os atores da ameaça sabem e adoram. Criamos um ambiente melhor para eles”, acrescenta ela.

O trabalho remoto significa que muito mais de nossa atividade diária no local de trabalho está sendo feita por e-mail e isso está fornecendo aos hackers um caminho mais suave para se infiltrar em redes por meio de ataques de phishing .

Não é difícil para os criminosos personalizar um e - mail de phishing para direcionar os funcionários de uma determinada organização e direcioná-los para um link que requer seu nome de usuário e senha do Microsoft Office 365 , fornecendo aos invasores uma entrada inicial na rede.

"Agora estamos trabalhando por trás de uma infraestrutura residencial de Internet, enquanto antes estávamos atrás de uma infraestrutura de nível empresarial. Agora, estamos atrás de um modem a cabo que não é apenas para uso residencial, mas também para seus filhos na mesma rede, pessoas transmitindo TV ", explica DeGrippo. "É uma mudança e uma mistura de ambientes mais protegidos e controlados para o caos sem controle."

Outro problema de segurança do WFH; para algumas pessoas, seu laptop de trabalho pode ser o único computador, o que significa que eles estão usando esses dispositivos para atividades pessoais, como compras, mídia social ou assistir programas. Isso significa que os cibercriminosos podem lançar ataques de phishing contra endereços de e-mail pessoais, que, se abertos no dispositivo certo, podem fornecer acesso a uma rede corporativa.

"No passado, se um ator de ameaça quisesse comprometer um ativo corporativo, ele normalmente teria que enviar e-mail para as pessoas em suas contas de e-mail corporativo. Mas agora eles podem direcionar e-mails corporativos ou contas pessoais - e haverá menos controles em contas pessoais ", diz Charles Carmakal , vice-presidente sênior e CTO da empresa de segurança FireEye Mandiant.

Ele disse que viu uma série de ataques que começaram porque alguém abriu um e-mail de sua conta pessoal em seu computador corporativo. “A frequência de ver o endereço de e-mail pessoal como um alvo de ataque parece um pouco maior do que antes”, diz ele.

“Se um invasor conseguir fazer um phish em você e instalar um backdoor em seu computador, ele pode não estar conectado à sua empresa o dia todo, todos os dias, mas você se conectará em algum momento”, explicou Carmakal.

Depois que um invasor compromete com sucesso um usuário doméstico, ele espera que o usuário se conecte à VPN corporativa e o retire de lá, como faria se estivesse conectado a uma máquina dentro das paredes de um escritório .

O invasor tentará mover-se lateralmente pela rede, obter acesso a credenciais adicionais e escalar privilégios - de preferência obtendo direitos de nível de administrador - para poder implantar ransomware o mais longe possível na rede.

E com os funcionários espalhados pelo trabalho remoto - e em muitos casos, trabalhando em horários irregulares para ajustar as responsabilidades domésticas - pode ser mais difícil para as equipes de segurança da informação identificar atividades incomuns ou suspeitas de invasores na rede. Esse é especialmente o caso se a equipe de segurança da informação não teve experiência anterior na defesa de funcionários remotos antes deste ano.

“Eles podem passar despercebidos porque não é uma situação para a qual as organizações se prepararam em termos de sua postura de segurança”, diz Oren. "Portanto, fica mais difícil para os defensores e, por outro lado, há muito mais oportunidades e mais pontos de contato para os atacantes."

Embora o aumento do trabalho remoto tenha fornecido aos cibercriminosos uma nova rota potencial para comprometer redes com ransomware, ainda é possível para uma organização migrar para o trabalho remoto enquanto mantém sua equipe e servidores protegidos de um ataque cibernético.

Parte disso vem do nível humano, por meio do treinamento e envolvimento da equipe, mesmo quando estão na WFH, para que saibam o que procurar em um e-mail de phishing ou outra atividade online suspeita. Mas provavelmente é impossível - e injusto - esperar que os funcionários carreguem o peso de defender a organização de ataques cibernéticos.

“Uma defesa técnica seguida por uma base de usuários muito bem treinada, que sabe o que fazer se encontrar algo, se parecer inseguro, é o melhor caminho para a maioria das organizações”, diz DeGrippo.

Uma das razões pelas quais o ransomware se tornou tão bem-sucedido é porque muitas organizações não têm backups offline de seus dados. Fazer backups regulares da rede ajuda a fornecer proteção contra falhas contra ataques de ransomware, pois fornece a capacidade de restaurar a rede com relativa facilidade, sem ter que encher os bolsos dos criminosos cibernéticos.

A autenticação multifator é uma necessidade quando se trata de ajudar a proteger a rede de ataques cibernéticos, portanto, se um usuário for vítima de um ataque de phishing e der sua senha por acidente - ou se os invasores simplesmente conseguirem adivinhar uma senha fraca de um porta voltada para a Internet - uma segunda camada de proteção os impede de usar facilmente esse compromisso como um gateway para o resto da rede.

Se possível, também é útil separar a rede para que ela não seja plana em toda a estrutura da organização, algo que não tem nenhum impacto negativo real nos negócios, mas pode contribuir muito para dificultar isso para Os cibercriminosos se movem pelo local se entrarem. Na pior das hipóteses, isso significa que, se houver um ataque de ransomware bem-sucedido, ele pode ficar restrito a uma pequena parte da rede.

“Se você minimizar a capacidade de se mover lateralmente pela rede, instigando a segmentação da rede, isso diminuirá a disseminação do ransomware”, disse Carmakal. "Isso é tudo básico de segurança, mas descobrimos que muitas empresas ainda lutam com o básico."

A aplicação regular de patches de segurança também pode impedir que ataques de ransomware sejam eficazes, pois significa que eles não podem tirar proveito de vulnerabilidades conhecidas para se espalhar pelas redes.

No entanto, embora o ransomware continue sendo um grande problema para as organizações , com os invasores cibernéticos ficando mais engenhosos com seus esquemas e exigindo resgates mais elevados, a batalha não está perdida.

Outros tipos de ataques cibernéticos - que anteriormente eram a moda do mês para os criminosos cibernéticos - foram combatidos com sucesso, portanto, não é impossível que o ransomware pudesse seguir o mesmo caminho se as organizações - sejam elas locais, remotas ou uma mistura de os dois - siga os protocolos de segurança corretos.

"Não acho que seja tudo desolador; vimos uma redução significativa nas vulnerabilidades de software nos últimos dois ou três anos. As vulnerabilidades do navegador são quase inexistentes e muito disso resultou na redução do cenário de kits de exploração - kits de exploração hoje são bastante raros ", diz DeGrippo.

“Continuar lutando nessa luta pode dar certo. Se continuarmos trabalhando no problema, eventualmente não será tão lucrativo”, acrescenta.

O motivo pelo qual o ransomware continua lucrativo é porque as vítimas pagam o resgate, optando por fazê-lo porque o consideram a melhor maneira de restaurar a rede. Mas pagar o resgate significa que os ataques continuarão.

“Nunca recomende pagar o resgate. Eu entendo as considerações por trás disso, mas nunca diria que deveria ser feito porque é muito óbvio que perpetua esse tipo de ataque”, diz Oren.

Fonte: ZDNet