Human Operated Ransomware (HumOR)

22 de novembro de 2022 Daniel Donda Threat Intelligence 0

O ransomware operado por humanos é o resultado de um ataque ativo de criminosos cibernéticos que se infiltram na infraestrutura de TI local ou na nuvem de uma organização, aumentam seus privilégios e implantam ransomware em dados críticos.

Você certamente verá muitos artigos com o termo “Human Operated Ransomware (HumOR)” , pois o Ransomware é operado por humanos, e esses operadores (invasores) executam etapas para se infiltrar e descobrir seus dados e sistemas mais valiosos. Uma detecção proativa de ransomware permite que a probabilidade de um ataque grave seja diminuído.

As principais etapas de um ataque ransomware são:

  • Acesso inicial
    • RDP
    • Sistema vulnerável
    • Configurações fracas
    • Phishing
  • Roubo de credenciais
    • Mimikatz
    • LSA secrets
    • Credential vault
    • Credentials in plaintext
    • Abuse of service accounts
  • Movimentação lateral
    • Cobalt Strike
    • WMI
    • Abuse of management tools
    • PsExec
  • Persistência
    • New accounts
    • GPO changes
    • Shadow IT tools
    • Schedule tasks
    • Service registration

Fase mais critica:

  • Exfiltração
    • Exfiltração de dados confidenciais Impacto (alavancagem financeira):
    • Criptografia de dados no local e em backups
    • Exclusão de dados no local e backups, que podem ser combinados com uma exfiltração anterior
    • Ameaça de vazamento público de dados confidenciais exfiltrados.

Tendo em mente as etapas, temos como objetivo ser rápidos na detecção e correção de ataques comuns.

O Microsoft Defender for Cloud fornece detecção de ameaças de alta qualidade e recursos de resposta, também chamados de Detecção e Resposta Estendida (XDR). Ele permite identificar esses incidentes aparentemente não relacionados, mas que possivelmente fazem parte de um ataque ransomware.

Quais os planos seguir para mitigar “Human Operated Ransomware (HumOR)”

  • Plano de segurança de e-mail e colaboração – implemente as melhores práticas para soluções de e-mail e colaboração para tornar mais difícil para os invasores abusar delas, enquanto permite que usuários internos acessem conteúdo externo com facilidade e segurança.
  • Endpoint Protection Plan – Implemente recursos de segurança relevantes e siga rigorosamente as melhores práticas de manutenção de software para computadores e aplicativos, priorizando aplicativos e sistemas operacionais de servidor/cliente diretamente expostos ao tráfego e conteúdo da Internet
  • Plano de segurança de acesso remoto – Siga as melhores práticas de segurança de confiança zero para soluções de acesso remoto a recursos organizacionais internos
  • Plano de proteção de conta – começando com administradores de impacto crítico, siga rigorosamente as práticas recomendadas para segurança de conta, incluindo o uso de autenticação sem senha ou multifator (MFA).
  • Plano de Acesso Privilegiado – Implemente uma estratégia abrangente para reduzir o risco de comprometimento do acesso privilegiado
  • Ransomware Data Protection Plan – Implemente a proteção de dados para garantir uma recuperação rápida e confiável de um ataque de ransomware + bloqueie algumas técnicas
  • Plano de backup seguro – Garanta que os sistemas críticos tenham backup e os backups sejam protegidos contra apagamento/criptografia deliberados do invasor.
  • Plano de Detecção e Resposta – Garanta a rápida detecção e remediação de ataques comuns em endpoints, e-mail e identidade

Baixe o poster proteja sua organização contra ransomware para obter uma visão geral das três fases como camadas de proteção contra invasores de ransomware.

Anúncio

Sobre Daniel Donda 538 Artigos
Olá, meu nome é Daniel Donda e sou especialista em cibersegurança, autor de livros, professor e palestrante. Saiba mais
Website Facebook Instagram Twitter YouTube Linkedin

Seja o primeiro a comentar

Faça um comentário

Seu e-mail não será divulgado.


*