Mitigação e proteção contra ransomware com o
Symantec Endpoint Protection
e o Symantec Endpoint Security

O que é ransomware?

Ransomware é uma categoria de malware que criptografa documentos, o que os torna inutilizáveis, e deixa o restante do computador acessível. Os invasores de ransomware forçam suas vítimas a pagar um resgate por meios indicados especificamente e, depois disso, talvez concedam às vítimas o acesso a seus dados.
O ransomware direcionado é mais complexo do que os ataques de ransomware originais e envolve mais do que apenas a infecção inicial.Os invasores encontraram mais maneiras de extorquir suas vítimas lançando mão da seguinte variedade de métodos de distribuição:
  • Phishing
    : consiste em emails enviados aos funcionários disfarçados de correspondência relacionada ao trabalho.
  • Anúncios maliciosos
    : visa comprometer os sites de mídia para dar espaço a anúncios maliciosos que contêm uma estrutura com base em JavaScript, conhecida como SocGholish, que se mascara como uma atualização de software.
  • Exploração de vulnerabilidades
    : explorando o software vulnerável em execução em servidores voltados para o público.
  • Contaminações secundárias
    : aproveitando botnets pré-existentes para se instalar na rede da vítima.
  • Serviços pouco protegidos
    : tem como objetivo atacar as organizações por meio de serviços de RDP com pouca proteção, tirando proveito de credenciais perdidas ou fracas.

Proteja-se contra o ransomware usando o
Symantec Endpoint Protection Manager
ou o Symantec Endpoint Security

De maneira geral, os ataques de ransomware direcionados podem ser divididos nas seguintes fases: comprometimento inicial, elevação de privilégios e roubo de credenciais, movimento lateral e criptografia e exclusão de backups.A melhor defesa é bloquear os vários tipos de ataques e conhecer a cadeia de ataques que a maioria dos grupos de crimes cibernéticos usam para identificar as prioridades de segurança.Infelizmente, a descriptografia do ransomware não é possível usando ferramentas de remoção.
No
Symantec Endpoint Protection Manager
ou no Symantec Endpoint Security, implante e ative os seguintes recursos. Alguns recursos são ativados por padrão.
Recurso
Symantec Endpoint Protection
Symantec Endpoint Security
Proteção com base em arquivos
A Symantec coloca em quarentena os seguintes tipos de arquivos: Ransom.Maze, Ransom.Sodinokibi e Backdoor.Cobalt
A proteção contra vírus e spyware é ativada por padrão.
Como impedir e controlar ataques de vírus e spyware nos computadores cliente
A política antimalware está ativada por padrão.
SONAR
A proteção baseada no comportamento do SONAR é outra defesa crucial contra o malware. O SONAR impede que os nomes duplos de arquivo executável de variações do ransomware, como CryptoLocker, sejam executados.
Em uma política de proteção contra vírus e spyware, clique em
SONAR
>
Ativar o SONAR
(ativado por padrão)
Como gerenciar o SONAR
Em uma política antimalware, clique em
Enable behavioral analysis
(ativada por padrão)
Download Insight ou Proteção intensiva
Modifique o Symantec Insight para colocar em quarentena os arquivos que ainda não foram comprovados como seguros pela base de clientes da Symantec.
O Download Insight faz parte da política padrão
Vírus e spyware - Segurança alta
O Download Insight está sempre ativado e faz parte da política
Proteção intensiva
. Para modificar as configurações da Proteção intensiva, consulte:
IPS (Intrusion Prevention System - Sistema de Prevenção contra Intrusões)
:
  • O IPS bloqueia algumas ameaças que as definições de vírus tradicionais sozinhas não podem parar. O IPS é a melhor defesa contra downloads não solicitados, que ocorrem quando um download de software é feito involuntariamente na internet. Os invasores frequentemente usam kits de exploração para um ataque com base na Web, como o CryptoLocker, por um download não solicitado.
  • Em alguns casos, o IPS pode bloquear a criptografia de arquivos interrompendo a comunicação C&C (Command and Control - Comando e Controle).Um servidor de C&C é um computador controlado por um invasor ou criminoso cibernético e que é usado para enviar comandos para sistemas comprometidos por malware e receber dados roubados de uma rede de destino.
  • A
    reputação do URL
    impede as ameaças vindas da web de acordo com a pontuação de reputação de uma página. A opção
    Ativar a Reputação do URL
    bloqueia páginas com pontuações de reputação abaixo de um limite específico. (14.3 RU1 e posterior).
Introdução à prevenção contra intrusões
A reputação do URL não é ativada por padrão.
Bloquear arquivos PDF e scripts
Na Política de exceções, clique em
Exceções do Windows
>
Acesso ao arquivo
.
Use a Lista de permissão e a Lista de negação para impedir arquivos e domínios incorretos conhecidos.Clique em
Parâmetros
>
Deny List and Allow List
.
Faça download dos patches mais recentes para frameworks de aplicativos web, navegadores e plug-ins de navegadores.
  1. Use o Controle de dispositivos e aplicativos para evitar que os aplicativos sejam executados nos diretórios de perfil de usuário, como Local e LocalLow.Os aplicativos de ransomware se instalam em muitos diretórios além de Local\Temp\Low.
  2. Use o Endpoint Detection and Response (EDR) para identificar os arquivos com comportamento de ransomware:
    1. Desative os scripts de macros de arquivos do MS Office transmitidos por email.
    2. Clique com o botão direito do mouse nos terminais detectados e selecione
      Isolar
      . Para isolar e refazer a junção dos terminais a partir do console, é necessário ter uma Política de firewall para quarentena no Symantec Endpoint Protection Manager que seja atribuída a uma Política de integridade do host.
  • Verificações de detecção - O console de nuvem fornece uma visão abrangente de arquivos, aplicativos e executáveis que aparecem em seu ambiente. É possível exibir informações sobre riscos, vulnerabilidades, reputação, origem e outras características associadas a esses itens detectados.
  • Use itens detectados quando o EDR estiver ativado. O agente de detecção no SES é semelhante ao detector não gerenciado no SEP, mas o agente fornece muito mais informações sobre os arquivos e aplicativos individuais.
  • O Controle de aplicativos controla e gerencia o uso de aplicativos indesejados e não autorizados em seu ambiente.O Controle de aplicativos no SES é um recurso diferente do apresentado no SEP.
    Introdução ao Controle de aplicativos
    • Para os agentes do Symantec 14.3 RU1 e posteriores, use a opção Behavioral Isolation para terminais que não usem o Isolamento de aplicativos e o Controle de aplicativos. A política Behavioral Application Isolation identifica como tratar comportamentos suspeitos que podem ser executados por aplicativos confiáveis.Você obtém alertas no console de nuvem e uma mensagem dentro da política quando uma nova assinatura de comportamento ou uma assinatura de comportamento existente está disponível na política. Determine se o comportamento é resultado de um ataque em um arquivo e especifique uma ação em relação a ele.
Parte do Symantec Endpoint Security concluída
Proteção de acesso a web e nuvem
e Web Security Service
Use a
Proteção de acesso a web e nuvem
e as configurações de conexão segura para que, em uma rede corporativa, em casa ou fora do escritório, os endpoints tenham a capacidade de se integrar ao Symantec WSS (Web Security Service). O NTR redireciona o tráfego da internet no cliente para o Symantec WSS, onde o tráfego é permitido ou bloqueado de acordo com as políticas do WSS.
Mitigação de explorações da memória
Protege contra vulnerabilidades conhecidas em softwares sem patches, como JBoss ou Apache Web Server, que os invasores exploram.
AMSI (Antimalware Scan Interface) e a verificação sem arquivos
Os desenvolvedores de aplicativos de terceiros podem proteger seus clientes contra malware dinâmico com base em scripts e contra caminhos não tradicionais de ataque pela internet. O aplicativo de terceiros chama a interface AMSI do Windows para solicitar uma verificação do script fornecido pelo usuário, que é roteado para o cliente do Symantec Endpoint Protection. O cliente responde com um veredito para indicar se o comportamento do script é ou não malicioso. Se o comportamento não for malicioso, a execução do script prosseguirá. Se o comportamento do script for malicioso, o aplicativo não o executará. No cliente, a caixa de diálogo de resultados da detecção exibe o status Acesso negado. Exemplos de scripts de terceiros incluem o Windows PowerShell, JavaScript e VBScript. O Auto-Protect deve estar ativado. Essa funcionalidade funciona para computadores Windows 10 e posteriores.
14.3 e posterior.
Não disponível.
Endpoint Detection and Response (EDR)
O EDR concentra-se em comportamentos em vez de arquivos, e pode fortalecer as defesas contra o spear phishing e o uso de ferramentas para ataques do tipo Living off the land. Por exemplo, se o Word não iniciar normalmente o PowerShell no ambiente do cliente, ele deverá ser colocado no modo de bloqueio. A UI do EDR permite que os clientes compreendam com facilidade quais comportamentos são comuns e devem ser permitidos, quais são observados e devem ser alertados e quais não são comuns e devem ser bloqueados. Você também pode lidar com lacunas de forma reativa como parte da investigação e resposta a alertas de incidentes. O alerta de incidente mostrará todos os comportamentos observados como parte da violação e fornecerá o recurso para colocá-los no modo de bloqueio diretamente na página detalhes do incidente.
Proteção com base em AI
A análise de nuvem sobre ataques direcionados da Symantec utiliza o aprendizado de máquina avançado para identificar os padrões de atividades associadas a ataques direcionados.
Parte do Symantec Endpoint Security concluída.
Use as ferramentas de auditoria para ajudá-lo a obter informações sobre os terminais dentro e fora da rede corporativa antes que o ransomware tenha a oportunidade de se espalhar.

Melhores práticas para mitigar o ransomware

Hardening Your Environment Against Ransomware (em inglês)
Além de ativar a proteção do SEP ou do SES, para evitar infecções de ransomware, siga estas etapas.
Etapa
Descrição
1. Proteja seu ambiente local
  1. Certifique-se de que você tenha a versão mais recente do PowerShell
    e de que o registro em log esteja ativado.
  2. Restrinja o acesso aos serviços RDP.
    Permita apenas o RDP de endereços IP conhecidos específicos e certifique-se de que esteja usando a autenticação de vários fatores. Use o FSRM (File Server Resource Manager - Gerenciador de Recursos de Servidor de Arquivos) para bloquear a capacidade de gravar extensões de ransomware conhecidas em compartilhamentos de arquivos nos quais seja necessário o acesso de gravação por parte do usuário.
  3. Crie um plano para considerar a notificação de partes externas
    . Para garantir a notificação correta das organizações necessárias, como o FBI ou outras autoridades/agências de aplicação de leis, certifique-se de ter um plano em vigor para verificar.
  4. Crie um kit emergencial com cópias físicas e arquivos de software de todas as informações administrativas críticas
    . Para se proteger contra o comprometimento da disponibilidade dessas informações críticas, armazene-as em um kit emergencial com o hardware e o software necessários para solucionar problemas. O armazenamento dessas informações na rede não é útil quando os arquivos de rede são criptografados. Implemente a auditoria e o controle adequados do uso da conta administrativa. Também é possível implementar credenciais de uso único para o trabalho administrativo para ajudar a impedir o roubo e o uso de credenciais administrativas.
  5. Crie perfis de uso para as ferramentas administrativas
    . Muitas dessas ferramentas são usadas por invasores para se moverem lateralmente dentro da rede sem serem detectados. Uma conta de usuário que historicamente seja executada como administrador usando PsInfo/PsExec em um pequeno número de sistemas provavelmente está correta, mas uma conta de serviço que esteja executando PsInfo/PsExec em todos os sistemas é suspeita.
2. Proteja seu sistema de emails
  1. Ative a autenticação de dois fatores (2FA) para impedir o comprometimento de credenciais durante ataques de phishing.
  2. Reforce a arquitetura de segurança em torno dos sistemas de email
    para minimizar a quantidade de spam que atinge as caixas de entrada do usuário final e para garantir que você esteja seguindo as melhores práticas para o seu sistema de email, incluindo o uso do SPF e outras medidas defensivas contra ataques de phishing.
3. Faça backups
Faça backup regularmente dos arquivos clientes e servidores. Faça backup dos arquivos quando os computadores estiverem offline ou use um sistema em que os computadores e os servidores conectados não possam gravar. Caso você não tenha um software de backup dedicado, pode também copiar os arquivos importantes em uma mídia removível. Então ejete e desconecte a mídia removível; não deixe a mídia removível plugada.
  1. Implemente o armazenamento externo das cópias de backup
    .Organize o armazenamento externo de pelo menos quatro semanas de backups semanais completos e incrementais diários.
  2. Implemente backups offline feitos no local
    .Certifique-se de que você tenha backups que não estejam conectados à rede para evitar que eles sejam criptografados pelo ransomware.A remoção é melhor com o sistema fora das redes para evitar qualquer possível disseminação da ameaça.
  3. Verifique e teste a solução de backup no nível do servidor.
    Isso já deve fazer parte do processo de recuperação de falhas.
  4. Proteja as permissões no nível do arquivo para backups e bancos de dados de backup.
    Não deixe que os backups sejam criptografados.
  5. Teste o recurso de restauração.
    Certifique-se de que os recursos de restauração ofereçam suporte às necessidades dos negócios.
Trave as unidades de rede mapeadas, protegendo-as com uma senha e com restrições de controle de acesso. Use o acesso somente leitura para arquivos em unidades de rede, a menos que seja absolutamente necessário ter acesso de gravação a esses arquivos. Restringir as permissões do usuário limita os arquivos que as ameaças podem criptografar.

O que você deve fazer se você tiver ransomware?

Não há ferramenta de remoção de ransomware.Nenhum produto de segurança pode descriptografar os arquivos criptografados pelo ransomware. Em vez disso, se seus computadores-cliente forem infectados com ransomware e seus dados forem criptografados, siga estas etapas:
  1. Não pague o resgate.
    Se você pagar o resgate:
    • Não há nenhuma garantia de que o invasor fornecerá um método para desbloquear seu computador ou para descriptografar seus arquivos.
    • O invasor usa o dinheiro do resgate para financiar ataques adicionais contra outros usuários.
  2. Isole o computador infectado antes que o ransomware possa atacar as unidades de rede a que ele tem acesso.
  3. Uso o
    Symantec Endpoint Protection Manager
    ou o SES para atualizar as definições de vírus e verificar os computadores cliente.
    É provável que as novas definições detectem e corrijam o ransomware. O
    Symantec Endpoint Protection Manager
    fará o download das definições de vírus automaticamente no cliente, contanto que o cliente seja gerenciado e esteja conectado ao servidor de gerenciamento ou ao console de nuvem.
    • No
      Symantec Endpoint Protection Manager
      , clique em
      Clientes
      , clique com o botão direito do mouse no grupo e em
      Executar comando no grupo
      >
      Atualizar conteúdo e verificação
      .
    • No Symantec Endpoint Security, execute o comando
      Verificar agora
      .
      Como executar comandos nos dispositivos do cliente
  4. Reinstale o usando uma instalação limpa.
    Se você restaurar arquivos criptografados de um backup, poderá ter os dados restaurados, mas é possível que outros malwares tenham sido instalados durante o ataque.
  5. Enviar o malware ao Symantec Security Response.
    Se você puder identificar o email malicioso ou o executável, envie-o ao Symantec Security Response. Essas amostras permitem à Symantec criar assinaturas novas e melhorar a defesa contra o ransomware.