Ransomware como serviço? Os usuários do Windows ainda podem revidar

Ransomware. Esta é uma palavra que pode causar calafrios em qualquer pessoa, desde um C-level corporativo até um usuário doméstico. Às vezes é difícil ter uma ideia da indústria geral de ransomware – e sim, agora é uma indústria. Mas com base em análises anedóticas de fóruns e mídias sociais, parece que os ataques contra indivíduos estão diminuindo. Não vejo mais pessoas relatando que foram atingidas por ransomware em seus PCs.

Mas pode ser que os invasores tenham percebido que perseguir alvos “pontuais” não é o melhor plano de negócios. De fato, em um recente seminário on-line da Microsoft Secure (registro obrigatório), Jessica Payne e Geoff McDonald discutem como o ransomware é agora um grande negócio, oferecido como um serviço por aqueles que vendem acesso a redes comprometidas para outros.

Quando os invasores perseguem alvos de grande nome, geralmente criam má impressão para a indústria de ransomware. Portanto, agora eles estão coordenando esforços para evitar manchetes que possam levar fornecedores e provedores a reforçar a segurança, usuários finais a usarem patch de correção e empresas a implantar melhores soluções de segurança.

Leia mais: Receita com ataques de ransomware cai para nível mais baixo em 3 anos

Além disso, os invasores também visam os resultados de pesquisa para as ferramentas de informação que as equipes de TI precisam para realizar seu trabalho. Um resultado de pesquisa pode, por exemplo, direcionar os administradores para uma ferramenta maliciosa que os induz a instalar uma potencial porta dos fundos. Esse acesso é então vendido no mercado ilegal. (Atores de ransomware sabem que a maneira mais fácil de entrar em uma rede é enganar o “humano não corrigido”.) Embora as empresas possam estar fazendo um trabalho melhor ao corrigir sistemas operacionais e pacotes do Office, elas ainda dependem demais dos usuários finais para serem inteligentes. Se os usuários não forem ligeiramente paranóicos – o que significa que param e pensam antes de clicar em links e esquemas de phishing – as redes permanecem vulneráveis.

O ransomware também pode entrar nos sistemas devido a configurações incorretas de segurança ou vulnerabilidades negligenciadas. Payne apontou para as informações adicionais no artigo “Ransomware as a Service”. As regras de Redução da Superfície de Ataque (ASR – Attack Surface Reduction) continuam sendo um conjunto de ferramentas das quais muitas empresas não aproveitam. As regras ASR podem ser habilitadas nas versões Windows 10 e 11 Professional para aumentar a capacidade do Windows de bloquear invasores.

• Mesmo que você não seja um cliente do Microsoft 365 Defender, você pode implantar regras ASR; as regras específicas que visam processos de ransomware são:
• Bloqueie a execução de arquivos executáveis, a menos que atendam a um critério de prevalência, idade ou lista confiável.
• Bloqueie o roubo de credenciais do subsistema de autoridade de segurança local do Windows (lsass.exe).
• Bloqueie as criações de processos provenientes dos comandos PsExec e WMI.
• E use proteção avançada contra ransomware.

As regras ASR, que geralmente não causam efeitos colaterais no processamento normal do PC, podem ser definidas para “auditar” os sistemas em vez de impor restrições. Essa é uma maneira de testar o impacto em uma rede.

Além disso, a Microsoft fez alterações no Office para retardar a implantação do ransomware. Uma mudança recente envolve macros VBA. Conforme observado pela Microsoft, “as macros VBA são uma maneira comum de agentes mal-intencionados obterem acesso para implantar malware e ransomware. Portanto, para ajudar a melhorar a segurança no Office, a Microsoft está alterando o comportamento padrão dos aplicativos do Office para bloquear macros em arquivos da Internet. Com essa mudança, quando os usuários abrirem um arquivo proveniente da Internet, como um anexo de e-mail, e esse arquivo contiver macros, haverá um aviso vermelho no topo do arquivo aberto”.

Os usuários devem identificar os arquivos necessários para o trabalho e garantir que eles não sejam mais considerados suspeitos e sinalizados como estando em um local confiável. (Você pode revisar as orientações aqui para garantir que não bloqueie os arquivos necessários.) Conforme observado na apresentação, “o QakBot e o Emotet dependem fortemente de macros maliciosas para acesso inicial. Mas depois que a Microsoft desativou as macros globalmente, eles mudaram para outras técnicas, como usar links diretos para cargas úteis e e-mails de phishing ou anexar anexos do OneNote a esses e-mails de phishing”.

Também neste mês chegam ao OneNote no Windows proteções adicionais para usuários que abrem ou baixam um arquivo incorporado no OneNote. Os usuários receberão uma notificação de arquivos considerados perigosos, uma alteração projetada para melhorar a experiência de proteção de arquivos no OneNote. Claramente, a Microsoft está tentando ficar um passo à frente dos invasores.

Alguns operadores de ransomware agora estão se voltando para a extorsão. Ao simplesmente provar a uma empresa que ela pode destruir dados – seja no local ou na nuvem – sem realmente fazê-lo, os invasores podem obter uma recompensa sem realmente infligir danos. A Microsoft tem um evento de acompanhamento de 11 a 13 de abril para aumentar os tópicos abordados no Microsoft Secure. Para obter recursos e informações adicionais, a organização SANS também está oferecendo um Ransomware Summit gratuito de um dia inteiro em 23 de junho para discutir vetores de acesso inicial e técnicas defensivas.

Embora a situação do ransomware possa estar melhorando para usuários domésticos, o mesmo não é necessariamente verdadeiro para os negócios. Agora é a hora de revisar esses recursos e dificultar que os invasores transformem sua empresa em um fluxo de receita para eles.

Siga o IT Forum no LinkedIn e fique por dentro de todas as notícias!