No último mês a SophosLab tem visto um aumento significativo do ransomware Ryuk. Esta ameaça particularmente desagradável propaga-se através de um sofisticado ataque construído em múltiplas fases, paralisando as organizações e deixando-as reféns de resgates devastadores.
Para entender como parar o Ryuk, é útil saber como este ataque se desenvolve.
Os cibercriminosos que criaram o Ryuk são atores ativos que combinam técnicas avançadas de ataque com pirataria interativa e prática para aumentar sua taxa de sucesso.
Geralmente, focam-se em organizações que não podem parar, como jornais, municípios e serviços públicos, para aumentar a probabilidade de pagamento.
Este pagamento, nada modesto atinge muitas vezes valores de 6 dígitos para pagar em Bitcoins.
Os ataques do ransomware Ryuk são complexos. Eles geralmente começam com um ataque Emotet ou TrickBot, distribuído através de anexos maliciosos em emails de spam, o que permite aos cibercriminosos acederem à sua rede.
Uma vez lá dentro, roubam credenciais e criam um novo administrador. Com os privilégios de administrador escalados, os hackers podem se mover pela sua rede, navegar no Active Directory e eliminar os seus backups.
Depois de eliminarem os seus backups, eles tentam desativar os seus antivírus antes de finalmente lançar o ransomware, com a finalidade de criptografar os seus arquivos e exigir pagamentos de resgate.
Práticas recomendadas para interromper o ransomware
Independentemente do tamanho da sua empresa e do setor em que atua, recomendamos que siga estas práticas para minimizar o risco de ser vítima de um ataque de ransomware:
- Eduque os seus utilizadores. Ensine-os sobre a importância de senhas fortes e implante a autenticação de dois fatores sempre que possível.
- Proteger direitos de acesso. Conceda aos utilizadores e administradores apenas os direitos de acesso necessários.
- Faça backups periódicos e mantenha-os “offsite” para que os invasores não os possam encontrar. Eles podem ser sua última linha de defesa contra um processo de resgate de seis dígitos.
- Atualize rapidamente, atualize com frequência. Ransomware como WannaCry e NotPetya contaram com vulnerabilidades irregulares para se espalhar pelo mundo.
- Bloqueie o protocolo RDP.
- Verifique se a proteção contra adulteração está ativada. Ryuk e outros ransomwares tentam desativar a proteção de terminais. A proteção contra adulteração foi desenhada para impedir que isso aconteça.
- Eduque a sua equipe sobre phishing. O phishing é um dos principais mecanismos de distribuição de ransomware.
- Use proteção anti-ransomware. O Sophos Intercept X e o XG Firewall foram projetados para trabalhar lado a lado no combate ao ransomware. A resposta de ameaças gerenciadas da Sophos (MTR) fornece uma equipa de caçadores de ameaças que caçam, detectam e neutralizam proativamente ataques que requerem intervenção humana.
