Blog WatchGuard

Go to 

O que é o ransomcloud?

09 Maio 2022 Por Manu Santamaría Delgado
Ransomcloud

Os decisores tecnológicos inquiridos pela Pulse admitiram no ano passado que quase 3 em cada 4 empresas (71%) sofreram um incidente de ransomware e pelo menos 12% destes incidentes envolveram pagamentos. Isto demonstra que os ataques de ransomware estão a revelar-se um negócio lucrativo para os cibercriminosos, uma vez que põem constantemente à prova as medidas de cibersegurança das organizações numa série de diferentes sectores onde são utilizadas diferentes arquiteturas de TI. 

Nos últimos anos, assistimos a muitos incidentes envolvendo a encriptação de dispositivos on-premises em empresas, administrações públicas, escolas, hospitais e mesmo infraestruturas críticas, como o Colonial Pipeline. Mas, agora, os cibercriminosos estão também a visar os dados e aplicações que as organizações armazenam na cloud e estes ataques são denominados como "ransomcloud".  

No ransomcloud, os cibercriminosos bloqueiam dados ou a utilização de aplicações que estão na cloud e, depois, exigem um resgate para permitir que as organizações recuperem o acesso. São implementadas múltiplas técnicas e vetores de ataque nesta estratégia:

  • O malware foi especificamente concebido para operar na cloud e tornou-se altamente sofisticado. No ano passado explicámos no blogue como o grupo russo APT-28 tinha estado a utilizar a plataforma de container Kubernetes Cloud para entrar em instituições governamentais e redes de empresas. Os cibercriminosos também utilizam botnets, ataques de scripting e injeções de código SQL.
  • São utilizadas técnicas de ataque mais tradicionais, que coincidem com as utilizadas para o ransomware em sistemas on-premises, tais como a engenharia social através do phishing para obter credenciais de acesso aos serviços cloud ou a utilização de credenciais que foram obtidas na darkweb, após uma falha de segurança. Os hackers também tiram partido da expansão do perímetro de ataque devido ao aumento do trabalho remoto. Os computadores localizados fora do escritório são geralmente mais vulneráveis e são um vetor de acesso mais fácil à cloud de uma organização. 

Para evitar danos decorrentes desses incidentes, os MSP devem proteger os dados dos seus clientes seguindo as mesmas práticas e procedimentos descritos pelo Instituto Nacional de Normas e Tecnologia (NIST, na sigla original) no que diz respeito ao ransomware em geral, mas adaptados às características da arquitetura cloud ou híbrida. Isto significa que os MSP devem ter sempre em conta que os dados já não estão alojados inteiramente nos servidores de uma organização e que isto afeta medidas de segurança essenciais, como a encriptação de ficheiros utilizando ligações HTTPS e backups constantemente atualizados para restaurar ficheiros em caso de incidente. São recomendadas duas cópias sob diferentes tipos de armazenamento, o que significa que o ideal é que uma esteja offline e não na cloud.

Mas todas estas medidas podem ficar aquém das expectativas se as organizações não dispuserem também de tecnologias que permitam aos administradores alargar o seu perímetro de segurança à cloud, dando visibilidade a todos os conjuntos de dados, e, combinadas com soluções avançadas de Proteção, Deteção e Resposta (EPDR), para que possam lidar com todas as formas de malware e atividades suspeitas, por mais sofisticadas que sejam. Isto permite que os clientes dos MSP protejam todos os dados, aplicações e serviços que armazenam na cloud contra ameaças.

Compartilhe isso:

Registrado por: Modelos de Segurança, Privacidade de Dados e Compliance, Segurança de Endpoint, Protegendo Endpoints, MSP, Parceiros de canal, WatchGuard Firebox, Médias Empresas, Pequenos Negócios
< Blog Home

Posts relacionados

< Blog Home