Grupo criminoso já criptografou e exfiltrou dados de ao menos 210 organizações desde fevereiro, segundo a Agência de Segurança Cibernética e de Infraestrutura (CISA) dos EUA
São Paulo, 18 de setembro de 2024: Com cada vez mais ocorrências reportadas, o Ransomware-as-a-Service (RaaS) RansomHub tornou-se uma preocupação global para os profissionais de cibersegurança. Em conjunto com instituições como o FBI, a Agência de Segurança Cibernética e de Infraestrutura (CISA) dos Estados Unidos alertou sobre o grupo criminoso, destacando que desde fevereiro ao menos 210 organizações tiveram seus dados criptografados e exfiltrados. Foram afetados setores-chave como TI, financeiro, governos, saúde, serviços de emergência, alimentos e agricultura. No Brasil, em meados de junho, uma cooperativa de crédito confirmou ter sido vítima de um ciberataque que se acredita ter sido causado pelo RansomHub.
Especialistas da empresa de cibersegurança Lumu Technologies, criadora do modelo Continuous Compromise Assessment™, pontuam que para barrar as repercussões generalizadas causadas pela investida, que, para além do dilema em relação ao pagamento de resgate, pode causar interrupção das operações e danos à reputação dos afetados, é preciso entender como o RansomHub ataca e se espalha.
“Os agentes do ransomware precisam, primeiramente, obter acesso inicial à rede, o que normalmente ocorre por meio de e-mails de phishing, exploração de vulnerabilidades conhecidas ou pulverização de senhas, quando tentam utilizar senhas previsíveis em vários IDs de usuário. A partir daí, eles evitam as defesas de cibersegurança, renomeando o executável do ransomware com nomes de arquivo inócuos, como Windows.exe, deixados na área de trabalho do usuário ou em downloads”, detalha Germán Patiño, vice-presidente de vendas para a América Latina da Lumu Technologies.
“Além disso, o grupo RansomHub é conhecido por usar o Windows Management Instrumentation para desabilitar antivírus. Em alguns casos, ferramentas específicas do RansomHub são implantadas para desabilitar o Endpoint Detection and Response (EDRs). Então, escalam privilégios e se movem lateralmente dentro da rede e começam a exfiltrar e criptografar dados”, completa o executivo.
Com base em sua experiência no mercado, a Lumu elaborou algumas orientações para que as organizações se defendam e mitiguem os ataques do ransomware RansomHub:
Monitorar todo o tráfego de rede: Mesmo com bons protocolos de senha e autenticação multifator – o que tende a criar mais dificuldade para o acesso inicial dos invasores -, uma vez que a primeira linha de defesa tenha sido ultrapassada, somente uma ferramenta de monitoramento de rede será capaz de identificar, detectar e investigar as atividades anormais e anomalias potenciais.
“É fundamental que as organizações contem com mecanismos aptos a registrar e relatar todo o tráfego de rede, incluindo atividade de movimento lateral, e que possam se integrar à pilha de segurança existente para uma resposta instantânea a ameaças”, analisa Patiño.
Contar com detecção em tempo real: dadas as táticas em evolução dos agentes de ransomware, é preciso atualizar continuamente as posturas de segurança para se manter à frente de ameaças. Não por acaso, a CISA aconselha a “instalar, atualizar regularmente e habilitar a detecção em tempo real para software antivírus em todos os hosts”.
Utilizar as táticas e técnicas do MITRE ATT&CK: ao mapear o comportamento do invasor para táticas e técnicas conhecidas, as equipes de segurança podem obter insights sobre a metodologia do ataque, identificar sistemas comprometidos e priorizar estratégias de mitigação.
“Muitas organizações têm confiado cada vez mais em EDRs para cibersegurança, mas o que temos visto é que os criminosos encontram maneiras de contorná-los. Embora os EDRs desempenhem um papel crucial na pilha cibernética, se não houver uma arquitetura de segurança robusta e multicamadas em vigor, a dependência excessiva de EDRs pode deixar a porta aberta para ransomware”, destaca o VP de vendas para a América Latina da Lumu Technologies.
“Como um componente crítico de uma estratégia de defesa contra ransomware, uma solução de Detecção e Resposta de Rede (NDR) fornecerá a visibilidade necessária. Ao emparelhar essa visibilidade com ações em tempo real por meio de ferramentas de resposta como EDRs e defesas de perímetro, o risco de ser vítima de um ataque semelhante será consideravelmente reduzido”, finaliza Patiño.