Cerca de 60% dos ataques de ransomware operados por humanos envolvem agora criptografia remota maliciosa. Continue lendo para saber mais sobre esse vetor de ataque de ransomware predominante e os recursos de proteção líderes do setor da Sophos.
O que é ransomware remoto?
O ransomware remoto, também conhecido como criptografia remota maliciosa, ocorre quando um endpoint comprometido é usado para criptografar dados em outros dispositivos na mesma rede.
Em ataques liderados por humanos, os adversários normalmente tentam implantar ransomware diretamente nas máquinas que desejam criptografar. Se a sua tentativa inicial for bloqueada (por exemplo, por tecnologias de segurança nos dispositivos alvo), eles raramente desistem, optando, em vez disso, por uma abordagem alternativa e tentando novamente e novamente.
Depois que os invasores conseguirem comprometer uma máquina, eles poderão aproveitar a arquitetura de domínio da organização para criptografar dados em máquinas gerenciadas ingressadas no domínio. Toda a atividade maliciosa – entrada, execução de carga útil e criptografia – ocorre na máquina já comprometida, contornando assim as pilhas de segurança modernas. A única indicação de comprometimento é a transmissão de documentos de e para outras máquinas.
Oitenta por cento dos comprometimentos de criptografia remota têm origem em dispositivos não gerenciados na rede, embora alguns comecem em máquinas pouco protegidas e sem as defesas necessárias para impedir que invasores entrem no dispositivo.
Por que o ransomware remoto é tão comum?
Um fator chave que impulsiona o uso generalizado desta abordagem é a sua escalabilidade: um único endpoint não gerenciado ou subprotegido pode expor todo o patrimônio de uma organização à criptografia remota maliciosa, mesmo que todos os outros dispositivos estejam executando uma solução de segurança de endpoint de última geração.
Para piorar a situação, os adversários não estão limitados na escolha da variante de ransomware para esses ataques. Uma ampla variedade de famílias de ransomware conhecidas suportam criptografia maliciosa remota, incluindo Akira, BitPaymer, BlackCat, BlackMatter, Conti, Crytox, DarkSide, Dharma, LockBit, MedusaLocker, Phobos, Royal, Ryuk e WannaCry.
Além disso, a maioria dos produtos de segurança de endpoint são ineficazes nesse cenário porque se concentram na detecção de arquivos e processos maliciosos de ransomware no endpoint protegido. No entanto, com ataques de criptografia remota, os processos são executados na máquina comprometida, deixando a proteção do endpoint cega para atividades maliciosas.
Felizmente, o Sophos Endpoint inclui proteção robusta contra criptografia remota maliciosa, alimentada pela nossa proteção CryptoGuard líder do setor.
Sophos CryptoGuard: proteção universal contra ransomware líder do setor
O Sophos Endpoint contém múltiplas camadas de proteção que defendem as organizações contra ransomware, incluindo o CryptoGuard, nossa tecnologia anti-ransomware exclusiva que está incluída em todas as assinaturas do Sophos Endpoint.
Ao contrário de outras soluções de segurança de endpoint que procuram apenas arquivos e processos maliciosos, o CryptoGuard analisa arquivos de dados em busca de sinais de criptografia maliciosa, independentemente de onde os processos estão sendo executados. Essa abordagem a torna altamente eficaz na interrupção de todas as formas de ransomware, incluindo criptografia remota maliciosa. Se detectar criptografia maliciosa, o CryptoGuard bloqueia automaticamente a atividade e reverte os arquivos para seus estados não criptografados.
O CryptoGuard examina ativamente o conteúdo de todos os documentos à medida que os arquivos são lidos e gravados, usando análise matemática para determinar se eles foram criptografados. Essa abordagem universal é única no setor e permite que o Sophos Endpoint interrompa ataques de ransomware que outras soluções não percebem, incluindo ataques remotos e variantes de ransomware nunca antes vistas.
Detecta criptografia maliciosa analisando o conteúdo do arquivo
Ao contrário de outras soluções que analisam o ransomware de uma perspectiva antimalware, concentrando-se na detecção de código malicioso, o CryptoGuard procura criptografia rápida em massa de arquivos, analisando o conteúdo usando algoritmos matemáticos.
Bloqueia ataques de ransomware locais e remotos
Como o CryptoGuard se concentra no conteúdo dos arquivos, ele pode detectar tentativas de criptografia de ransomware mesmo quando o processo malicioso não está em execução no dispositivo da vítima.
Reverte automaticamente a criptografia maliciosa
O CryptoGuard cria backups temporários de arquivos modificados e reverte automaticamente as alterações quando detecta criptografia em massa. O Sophos usa uma abordagem proprietária, ao contrário de outras soluções que usam o Windows Volume Shadow Copy, que os adversários costumam contornar. Não há limites para o tamanho e tipo de arquivo que pode ser recuperado, minimizando o impacto na produtividade do negócio.
Bloqueia automaticamente dispositivos remotos
Em um ataque remoto de ransomware, o CryptoGuard bloqueia automaticamente o endereço IP do dispositivo remoto que tenta criptografar arquivos na máquina da vítima.
Protege o registro mestre de inicialização (MBR)
O CryptoGuard também protege o dispositivo contra ransomware que criptografa o registro mestre de inicialização (evitando a inicialização) e contra ataques que limpam o disco rígido.
CryptoGuard é um dos recursos exclusivos do Sophos Endpoint e está incluído em todas as assinaturas do Sophos Intercept X Advanced, Sophos XDR e Sophos MDR. Além disso, a capacidade é ativada automaticamente por padrão, garantindo que as organizações desfrutem imediatamente de proteção total contra ataques de ransomware locais e remotos – sem necessidade de ajustes ou configurações.
Descubra dispositivos desprotegidos
Um único endpoint desprotegido pode deixar sua organização vulnerável a um ataque remoto de criptografia. A implantação do Sophos Endpoint fornece proteção universal robusta contra ransomware contra criptografia maliciosa. Mas como você pode identificar se possui dispositivos desprotegidos em sua rede?
É aqui que o Sophos Network Detection and Response (NDR) pode ajudar. O Sophos NDR monitora o tráfego de rede em busca de fluxos suspeitos e, ao fazê-lo, identifica dispositivos desprotegidos e ativos não autorizados no ambiente.
Para obter a proteção mais forte contra ataques remotos de ransomware, instale o Sophos Endpoint em todas as máquinas do ambiente e implante o Sophos NDR para descobrir dispositivos desprotegidos em sua rede.
Aumente sua proteção contra ransomware remoto hoje mesmo
A criptografia remota maliciosa é uma técnica popular de ransomware que a maioria das principais soluções de segurança de endpoint lutam para impedir. Se você não estiver usando o Sophos Endpoint, há uma grande chance de você estar exposto.
Para saber mais sobre o Sophos Endpoint e como ele pode ajudar sua organização a se defender melhor contra os ataques avançados atuais, incluindo ransomware remoto, fale hoje mesmo com um consultor Sophos ou com seu parceiro Sophos. Você também pode fazer um test drive em seu próprio ambiente com uma avaliação gratuita de 30 dias sem compromisso.