Bate-papos internos de cibercriminosos de ransomware revelam maneiras de evitar se tornar uma vítima

Os bate-papos analisados ​​pela Cisco Talos mostram como os grupos de ransomware determinam os valores dos resgates e forçam as organizações a pagar, mas também estão dispostos a negociar com as vítimas.

As organizações atingidas por um ataque de ransomware geralmente são colocadas na difícil posição de ter que lidar diretamente com os invasores. Isso significa saber que arquivos confidenciais foram criptografados e roubados, descobrir o que os invasores planejam fazer com os arquivos comprometidos e saber como e quando pagar o resgate. Mas, em muitos casos, as vítimas podem negociar com os atacantes para reduzir o valor do resgate.

Um relatório divulgado na terça-feira pela Cisco Talos, o braço de pesquisa de segurança cibernética da empresa de rede, analisa como as gangues de ransomware atacam e negociam com as vítimas para serem pagas da maneira mais rápida e fácil possível. Intitulado “Atrás do teclado: Entendendo as operações de ransomware Conti e Hive por meio de seus bate-papos com as vítimas”, o relatório usa bate-papos internos de membros do grupo cibercriminoso de ransomware para ilustrar suas táticas e fornecer conselhos para organizações sobre como combater o ransomware.

VEJA: Violação de senha: Por que cultura pop e senhas não se misturam (PDF grátis) (TechRepublic)

Para compilar seu relatório, a Talos obteve mais de quatro meses de registros de bate-papo com 40 conversas separadas entre membros do grupo Conti e Hive e suas vítimas. Os bate-papos fornecem informações sobre os métodos de comunicação, estratégias de persuasão, etapas de negociação e outras técnicas usadas pelos invasores que buscam coletar suas recompensas.

O grupo Conti usa uma abordagem estruturada e quase roteirizada para convencer as vítimas a pagar o resgate. Com algum conhecimento de marketing, os membros do grupo oferecerão descontos de fim de ano no pagamento do resgate, prometerão e de TI para evitar ataques futuros e ameaçarão divulgar publicamente os dados.

O grupo Hive adota uma abordagem mais solta e direta sem as táticas persuasivas usadas por Conti. Os afiliados do Hive não dependem de nenhum plano padrão e, em vez disso, improvisam maneiras diferentes de forçar as vítimas a jogar, inclusive oferecendo propinas aos negociadores que facilitam o pagamento do resgate. Este grupo carece de uma certa segurança interna e muitas vezes revela detalhes sobre seus métodos de criptografia e outros processos.

Tanto a Hive quanto a Conti pesquisam suas vítimas com antecedência. Os dois grupos geralmente pedem um resgate de cerca de 1% da receita anual de uma empresa e visam organizações com base na rapidez e facilidade com que podem pagar. Ambos os grupos reduzirão suas demandas de resgate oferecendo grandes descontos durante as negociações.

Como proteger sua empresa de cibercriminosos

Com base nos chats internos, o Cisco Talos tem várias dicas elaboradas para ajudar as organizações a prevenir ou combater ataques de ransomware.

Acompanhe os patches. Chamando os membros do Conti e do Hive de “atores oportunistas”, Cisco Talos disse que esses criminosos geralmente escolhem a maneira mais fácil e rápida de comprometer suas vítimas, principalmente explorando vulnerabilidades de segurança conhecidas. Como tal, todas as organizações devem implementar uma forte política de gerenciamento de patches para manter todos os hardwares, softwares e sistemas atualizados.

Procure tráfego de rede suspeito. Uma maneira de impedir que invasores comprometam dados confidenciais é verificar atividades incomuns ou anômalas em sua rede. Essa atividade geralmente é um sinal de varredura maliciosa por meio da qual os criminosos procuram software sem patches ou desprotegidos. Esses tipos de varreduras geralmente coletam números de software e versão, portas de escuta e outros recursos de rede para ajudar os invasores a encontrar pontos fracos a serem explorados.

Fortaleça seus sistemas. Remova quaisquer serviços ou protocolos de endpoint que não sejam mais necessários. Certifique-se de que todas as portas e serviços desnecessários estejam totalmente fechados para evitar que sejam descobertos e explorados. Além disso, considere proteger sistemas, redes e dispositivos de segurança para evitar ataques. Isso significa adicionar aplicativos à lista de permissões e à lista de bloqueio para controlar quais programas estão íveis.

Impedir que invasores usem credenciais roubadas. Os cibercriminosos geralmente exploram credenciais de contas que vazaram em violações de dados ou vendidas na darknet. Para evitar que essas credenciais sejam usadas em ataques reais, exija que todos os funcionários usem autenticação multifator ao ar sistemas e recursos críticos. No mínimo, exija MFA para todos os usuários com direitos istrativos, bem como para aqueles que usam o remoto. Muitos incidentes de ransomware podem ser evitados se a MFA for necessária em serviços críticos, como uma VPN.

Redefinir senhas. Se alguma conta for comprometida ou explorada, execute uma redefinição completa de senha para todas as suas contas. Certifique-se de pelo menos redefinir as senhas para todas as contas de domínio privilegiadas.