Como funciona o DearCry ransomware?
Em março de 2021, a Microsoft lançou correções para quatro vulnerabilidades críticas nos servidores Microsoft Exchange. Essas vulnerabilidades foram ativamente exploradas em uma variedade de campanhas de ataque. O DearCry é uma variante de ransomware projetada para explorar esses servidores Microsoft Exchange vulneráveis.
O malware realiza a enumeração de unidades para identificar todas as mídias de armazenamento acessíveis de uma máquina infectada. Para cada uma dessas unidades, o ransomware DearCry criptografará determinados tipos de arquivos (com base nas extensões de arquivo) usando AES e RSA-2048. Após a conclusão da criptografia, o DearCry exibirá uma nota de resgate instruindo os usuários a enviar um e-mail aos operadores do ransomware para saber como descriptografar suas máquinas.
Como se proteger contra o DearCry ransomware
Quando a nota de resgate do DearCry é exibida, o dano já foi feito. A melhor maneira de reagir ao DearCry - ou a qualquer tipo de ransomware - é detectar e bloquear o ransomware antes que a criptografia de dados possa começar.
A implementação de proteções antiransomware é o método mais eficaz de realizar isso. Ferramentas como o Threat Emulation da Check Point usam a análise comportamental para identificar os sinais de alerta de um ataque de ransomware, permitindo que o usuário corrija a ameaça antes que qualquer dano seja causado. Como todo ransomware precisa executar determinadas ações (como criptografar arquivos) para atingir seus objetivos, essa abordagem é eficaz contra todos os tipos de ransomware.
No entanto, as proteções direcionadas a um tipo específico de ransomware podem ajudar a melhorar a velocidade e a eficácia da resposta de uma organização. Além da proteção genérica Threat Emulation para ransomware (que bloqueia com sucesso o DearCry), a Check Point lançou duas proteções dedicadas para os seguintes produtos:
Essas ferramentas de detecção dedicadas tornam mais rápida e fácil a detecção e a erradicação de uma possível infecção pelo DearCry nos sistemas de uma organização.
Práticas recomendadas de prevenção de ransomware
Para se proteger contra o ransomware DearCry, as proteções direcionadas (como as implementadas no Threat Emulation e no Harmony Endpoint) são as soluções mais eficazes para um ataque ativo. As proteções mais gerais contra ransomware também podem detectar essa ameaça e são vitais para identificar e bloquear ataques de ransomware de dia zero.
No entanto, as organizações devem implementar a defesa em profundidade para minimizar o custo potencial e o impacto dos ataques de ransomware. Algumas práticas recomendadas para a prevenção de ransomware incluem:
- Gerenciamento de patches: O ransomware DearCry explora uma vulnerabilidade crítica nos servidores Microsoft Exchange. Manter o dispositivo corrigido e atualizado é essencial para minimizar os possíveis vetores de entrada dos quais um invasor pode se aproveitar.
- Educação dos funcionários: O ransomware é comumente distribuído por meio de phishing e outras técnicas que tiram proveito dos funcionários. O treinamento dos funcionários para reconhecer e responder adequadamente a esses tipos de ataques pode reduzir drasticamente o risco de ransomware e outros tipos de ataques em uma organização.
- Segurança de e-mail: O e-mail é um dos principais vetores de infecção para todos os tipos de malware, inclusive ransomware. Uma solução de segurança de e-mail pode usar aprendizado de máquina (ML) e emulação de sandbox para identificar e remover conteúdo malicioso de e-mails antes que ele chegue à caixa de entrada do usuário.
- Acesso remoto seguro: A pandemia da COVID-19 fez com que as redes privadas virtuais (VPNs) e o protocolo de área de trabalho remota (RDP) se tornassem alguns dos mecanismos de entrega mais populares para o ransomware. A proteção da infraestrutura de teletrabalho de uma organização pode ajudar a bloquear esse possível vetor de ataque.
- Segurança do endpoint: O ransomware pode ser distribuído por uma variedade de mídias. Uma solução de segurança de endpoint capaz de detectar e bloquear ransomware e outros tipos de conteúdo malicioso pode ajudar a minimizar a exposição de uma organização a essas ameaças.
Bloqueio de ataques de ransomware com a Check Point
O cenário de ameaças de ransomware está em constante evolução. O DearCry é uma das mais recentes iterações de uma ameaça que existe há anos e explora uma vulnerabilidade descoberta recentemente em um produto amplamente utilizado. As organizações precisam de soluções anti-ransomware direcionadas, capazes de acompanhar e mitigar as ameaças mais recentes de ransomware.
O ransomware ataca o endpoint, portanto, o endpoint deve ser o foco de qualquer estratégia antiransomware. O Harmony Endpoint da Check Point é uma solução completa de Segurança da endpoint que oferece proteção abrangente contra ransomware, incluindo detecção geral baseada em comportamento e proteções direcionadas a variantes específicas.
Seu suporte à caça de ameaças - mapeado para a estrutura MITRE ATT&CK - também permite que a equipe de segurança de uma organização procure e investigue proativamente possíveis ameaças e incursões em sua rede. Para saber mais sobre a caça a ameaças com o Harmony Endpoint, confira este passo a passo.
O Harmony Endpoint oferece proteção abrangente contra ameaças como o ransomware DearCry. Para saber mais sobre seus recursos, confira este tour do produto. O senhor também pode solicitar um demopersonalizado para ver por si mesmo o poder do Harmony Endpoint.
Opinião