Código HTML do Conteúdo

Post: Abuso de acesso remoto é o maior indicador pré-ransomware - Against Invaders - Notícias de CyberSecurity para humanos.

<div> <div> <div> <div data-edit-folder-name="text" data-index="0" data-layout-id="2" id="layout-3283d556-17f5-4814-9665-4b51a3ba9f37"> <p>Abusos de <a href="https://www.infosecurity-magazine.com/opinions/2024-exploitation-remote-access/" target="_blank">Software de acesso remoto</a> e os servi&ccedil;os s&atilde;o os indicadores &lsquo;pr&eacute;-ransomware&rsquo; mais comuns, de acordo com uma nova pesquisa da Cisco Talos.</p> <p>Os advers&aacute;rios frequentemente utilizam servi&ccedil;os remotos leg&iacute;timos, como <a href="https://www.infosecurity-magazine.com/news/increase-microsoft-tool-exploits/" target="_blank">RDP</a>, PsExec e <a href="https://www.infosecurity-magazine.com/news/powershell-loader-deploys-remcos/" target="_blank">PowerShell</a>, observaram os pesquisadores. Al&eacute;m disso, softwares de acesso remoto como AnyDesk, Atera e Microsoft Quick Assist eram frequentemente explorados.</p> <p>A Cisco identificou essas t&aacute;ticas, t&eacute;cnicas e procedimentos (TTPs) como parte dos esfor&ccedil;os dos cibercriminosos para obter acesso de administrador de dom&iacute;nio de n&iacute;vel empresarial em sistemas comprometidos.</p> <p>Pr&eacute;-ransomwarerefere-se ao est&aacute;gio de um ataque em que os advers&aacute;rios realizam atividades como escalonamento de privil&eacute;gios, coleta de credenciais e implanta&ccedil;&atilde;o de acesso remoto sem ainda executar criptografia em grande escala. </p> <p>As mitiga&ccedil;&otilde;es sugeridas contra o abuso de tal software e servi&ccedil;os de acesso remoto incluem:</p> <ul> <li>Configure solu&ccedil;&otilde;es de seguran&ccedil;a para permitir que apenas aplicativos benignos comprovados sejam iniciados e impedir a instala&ccedil;&atilde;o de software inesperado</li> <li>Exigir MFA em todos os servi&ccedil;os cr&iacute;ticos, incluindo acesso remoto e servi&ccedil;os de gerenciamento de acesso de identidade (IAM), e monitorar o uso indevido de MFA</li> <li>Implantar ferramentas como o Monitor do Sistema no Windows para visibilidade e registro em log do ponto de extremidade</li> </ul> <p><a href="https://www.infosecurity-magazine.com/opinions/remote-access-tools-risk/" target="_blank"><em>Leia agora: Como as ferramentas de acesso remoto esquecidas est&atilde;o colocando as organiza&ccedil;&otilde;es em risco</em></a></p> <p>Outro TTP comum pr&eacute;-ransomware era o despejo de credenciais do sistema operacional. Essa t&eacute;cnica est&aacute; relacionada aos esfor&ccedil;os para extrair credenciais de conta de um sistema comprometido para permitir o movimento lateral.</p> <p>Os pesquisadores observaram que as principais t&eacute;cnicas/locais de despejo de credenciais inclu&iacute;am o registro do controlador de dom&iacute;nio, a se&ccedil;&atilde;o de registro SAM, o AD Explorer, o LSASS e o NTDS. DIT.</p> <p>O c&oacute;digo aberto <a href="https://www.infosecurity-magazine.com/news/north-korean-hackers-collaborate/" target="_blank">Mimikatz</a> tamb&eacute;m &eacute; frequentemente usada para extrair credenciais.</p> <p>A descoberta de servi&ccedil;os de rede tamb&eacute;m foi destacada como uma t&aacute;tica pr&eacute;-ransomware significativa. As principais ferramentas e comandos observados usados para descoberta de servi&ccedil;os de rede inclu&iacute;ram netscan, nltest e netview.</p> <p>&ldquo;Priorizar a modera&ccedil;&atilde;o do uso de servi&ccedil;os remotos e software de acesso remoto e/ou proteger os armazenamentos de credenciais mencionados acima pode ajudar a limitar a maioria dos advers&aacute;rios vistos nesses compromissos pr&eacute;-ransomware&rdquo;, observaram os pesquisadores.</p> <p>Os pesquisadores disseram ter grande confian&ccedil;a de que todos os incidentes inclu&iacute;dos no estudo envolveram t&aacute;ticas consistentemente vistas como precedendo a implanta&ccedil;&atilde;o do ransomware.</p> <h2><strong>Chave de resposta r&aacute;pida para evitar a implanta&ccedil;&atilde;o de ransomware</strong></h2> <p>O Cisco Talos <a href="https://blog.talosintelligence.com/stopping-ransomware-before-it-starts/" target="_blank">estudar</a>, publicado em 8 de setembro, destacou a resposta r&aacute;pida como fundamental para evitar a ocorr&ecirc;ncia de incidentes graves de ransomware.</p> <p>Quando o Talos Incident Response (IR) foi acionado dentro de um a dois dias ap&oacute;s a primeira atividade observada, a execu&ccedil;&atilde;o do ransomware foi impedida em um ter&ccedil;o (32%) dos casos em que os ataques foram impedidos com sucesso.</p> <p>Um alerta EDR/MDR que levou &agrave; conten&ccedil;&atilde;o das equipes de seguran&ccedil;a em duas horas foi identificado como um fator que contribuiu para o impedimento de 32% dos ataques.</p> <p>Uma notifica&ccedil;&atilde;o de parceiros do governo dos EUA e representantes de seu provedor de servi&ccedil;os gerenciados (MSP) sobre uma poss&iacute;vel prepara&ccedil;&atilde;o de ransomware em seu ambiente impediu a execu&ccedil;&atilde;o de ransomware em 14% dos casos.</p> <p>Isso inclui alertas da Ag&ecirc;ncia de Seguran&ccedil;a Cibern&eacute;tica e Infraestrutura (CISA) <a href="https://www.infosecurity-magazine.com/news/isa-unveils-ransomware/" target="_blank">Iniciativa de notifica&ccedil;&atilde;o pr&eacute;-ransomware</a>, lan&ccedil;ado em mar&ccedil;o de 2023.</p> <p>As restri&ccedil;&otilde;es de seguran&ccedil;a das organiza&ccedil;&otilde;es foram fundamentais para impedir as cadeias de ataque em 9% dos compromissos bem-sucedidos. Em um exemplo, os agentes de amea&ccedil;as comprometeram uma conta de servi&ccedil;o na organiza&ccedil;&atilde;o de destino, mas as restri&ccedil;&otilde;es de privil&eacute;gio apropriadas na conta impediram suas tentativas de acessar sistemas importantes, como controladores de dom&iacute;nio.</p> </div> </div> </div></div>