Estudo mostra o desdobramento diário de ataque ransomware

1

A Sophos publicou uma pesquisa detalhada de três partes sobre o ransomware Conti, detalhando como o ataque se desenrolou ao longo de cinco dias, explicando seus recursos técnicos e comportamentos, além de apresentar conselhos de defensores para administradores de TI, pesquisadores e profissionais de operações de segurança.

O primeiro material, "O dia a dia de um ataque do ransomware Conti", apresenta uma linha do tempo de um ataque do ransomware Conti ativo, desde o comprometimento inicial até a recuperação das operações do alvo. O Sophos Rapid Response, equipe de resposta rápida a incidentes da Sophos, neutralizou, conteve e investigou o ataque. O artigo inclui, também, indicadores de comprometimento (IoCs), além de táticas, técnicas e procedimentos (TTPs) para ajudar os respondentes a procurar e se preparar contra futuros ataques do Conti.

Já o segundo, é um artigo técnico de pesquisadores da SophosLabs, "Conti Ransomware: Evasivo por Natureza", que mostra como os invasores tentaram obstruir a análise do ransomware implantando beacons Cobalt Strike (aparelhos que emitem um sinal de rádio através da tecnologia bluetooth low energy — BLE —, conhecida também como bluetooth 4.0) legítimos em máquinas comprometidas e, em seguida, carregando o código diretamente na memória durante seus ataques, sem deixar artefatos para os investigadores encontrarem e examinarem.

O terceiro artigo da série, "O que esperar quando você for atingido pelo Conti Ransomware", fornece orientações essenciais para administradores de TI que possam vir a sofrer um ataque do Conti. O material aborda o que fazer imediatamente e, em seguida, fornece uma lista de verificação de 12 pontos para ajudar esses profissionais a investigar o ataque, orientando tudo o que os cibercriminosos podem fazer enquanto estão na rede e os TTPs primários que eles provavelmente usarão.

Conselhos imediatos para defensores
• Desligue o protocolo de desktop remoto (RDP) voltado para a Internet para impedir o acesso de cibercriminosos às redes;
• Se precisar de acesso ao RDP, coloque-o atrás de uma conexão VPN;
• Use a segurança em camadas para prevenir, proteger e detectar ataques cibernéticos, incluindo recursos de detecção e resposta de endpoint (EDR) e equipes de resposta gerenciadas que vigiam as redes 24 horas por dia, 7 dias por semana;
• Esteja ciente dos cinco primeiros indicadores de que um invasor está presente para impedir ataques de ransomware;
• Tenha um plano de resposta a incidentes eficaz e atualize-o conforme necessário. Se você não se sente confiante de que possui as habilidades ou recursos disponíveis para fazer isso, monitorar ameaças ou responder a incidentes de emergência, considere recorrer a especialistas externos para obter ajuda;
• Saiba mais sobre o serviço Rapid Response da Sophos que contém, neutraliza e investiga ataques 24 horas por dia, 7 dias por semana.

1 COMENTÁRIO

DEIXE UMA RESPOSTA

Por favor digite seu comentário!
Por favor, digite seu nome aqui

This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.