Por que o UBA detecta ataques de zero-day e ransomware

A tecnologia de UBA é capaz de defender sistemas contra ransomwares sem depender de listas estáticas de assinaturas. Saiba mais sobre a tecnologia aqui.
Emilia Bertolli
2 minuto de leitura
Ultima atualização 1 de Dezembro de 2023

Os ataques de ransomware se tornaram uma grande ameaça para as empresas. No Brasil, dados da Kaspersky mostram que o País já é o mais afetado por esse tipo de ataque na América Latina, concentrando 92% dos casos envolvendo malwares sequestradores. Além disso, informações do FBI divulgadas no primeiro semestre deste ano mostram que o custo total dos ataques para as vítimas foi de US$ 209 milhões apenas nos três primeiros meses do ano – um aumento de US$ 24 milhões em relação a todo o ano de 2015.

A situação parece ficar cada vez mais complexa, com uma nova variante diferente sendo anunciada toda semana – Ransom32, 7ev3n. O malware provavelmente estará envolvido na próxima grande violação de dados. Novas variantes como Chimera ameaçam, inclusive, não apenas sequestrar os dados, mas também divulgá-los online, caso o resgate não seja pago.

Esses estelionatários virtuais não têm exatamente o que chamamos de “escrúpulos” e, portanto, que garantia temos de que os dados não serão publicados online mesmo que paguemos o resgate? Afinal, não aceitamos nenhum “termo de serviço” quando somos infectados.

Temos de reconhecer: eles têm um ótimo modelo de negócio.

Qual é a assinatura?

Algumas empresas estão recorrendo a soluções de segurança do endpoint na esperança de poder detectar e parar o ransomware. No entanto, a indústria está se apegando ao fato de que, como um observador colocou: “os softwares de antivírus baseados em assinatura dos quais a maioria das empresas depende para se defender não podem ajudar nesses ataques modernos”.

Um artigo divulgado recentemente pelo portal de notícias de tecnologia CIO descreveu bem essa situação:

“Uma abordagem baseada em assinaturas reduz o desempenho dos ataques aos sistemas que guardam, mas também significa que alguém terá de ser sacrificado. Alguém tem que ser infectado por um malware para que ele seja identificado e analisado para proteger os outros computadores. E, nesse período de tempo, os hackers podem criar um novo malware do qual as defesas baseadas em assinatura não podem se defender”

Ou seja: soluções de proteção do endpoint não podem bloquear variantes desconhecidas de ransomware por meio de métodos como, por exemplo, listas negras de conexões com uma atual (porém ultrapassada) lista de servidores C&C. Esses produtos também estão vinculados a um dispositivo/usuário/processo, e, por isso, não podem oferecer técnicas anti-heurísticas ou de depuração.

Prevenção eficiente contra ransomware

Se as soluções de proteção do endpoint não podem ajudar a prevenir o ransomware, o que pode fazer isso?

Uma pesquisa da Universidade de Northeastern, chamada de Cutting the Gordian Knot: A Look Under the Hood of Ransomware Attacks, analisou 1.359 amostras de ransomware e descobriu que as atividades do ransomware nos sistemas sugerem que, ao proteger o Master File TAble (MFT) no arquivo NTFS, é possível detectar e prevenir um número significativo de ataques de ransomware do tipo zero-day.

A tecnologia de User Behaviour Analytics (UBA) protege arquivos do sistema com base nessa ideia e, por isso, é uma medida essencial de prevenção contra ransomwres.

O UBA compara o que os usuários de um sistema normalmente fazem – suas atividades e padrões de acesso – com atividades anômalas de um hacker usando credenciais roubadas. Primeiro, o UBA monitora o comportamento normal do usuário – acesso aos arquivos, logins e atividades na rede. Depois disso, ao longo do tempo, o UBA vai criando um perfil que descreve o que significa ser aquele usuário.

Sem qualquer configuração, os modelos de UBA identificam sinais de atividades de ransomwre – quando os arquivos estão sendo criptografados – assim, a tecnologia pode parar os ataques sem depender de listas estáticas de assinaturas.

Depois de detectar a ameaça, o softwares dispara uma combinação de passos automatizados para impedir que a infecção de espalhe, desabilitando o usuário e o computador infectado, por exemplo.

O que devo fazer agora?

Listamos abaixo três recomendações para reduzir os riscos de dados na sua organização:

1

Agende uma demonstração conosco: Veja a usabilidade de Varonis em uma sessão personalizada com base nas necessidades de segurança de dados da sua organização. Responderemos a todas as suas perguntas.

2

Veja um exemplo do nosso Relatório de Risco de Dados: Conheça as ameaças que podem permanecer no seu ambiente. O Relatório da Varonis é gratuito e demonstra claramente como realizar a remediação automatizada.

3

Siga-nos no LinkedIn, YouTube e X (Twitter): Obtenha insights detalhados sobre todos os aspectos da segurança de dados, incluindo DSPM, detecção de ameaças, segurança de IA, entre outros.

Experimente Varonis gratuitamente.

Obtenha um relatório detalhado de risco de dados com base nos dados da sua empresa.
Implanta em minutos.

Keep reading

Varonis tackles hundreds of use cases, making it the ultimate platform to stop data breaches and ensure compliance.

as-novas-tendências-de-segurança-do-perímetro
As novas tendências de segurança do perímetro
Novas tecnologias contribuem para tornar a segurança do perímetro mais inteligente e eficiente, além de conectada aos negócios 
como-você-está-se-preparando-para-a-lgpd?
Como você está se preparando para a LGPD?
Embora esteja em vigor desde agosto passado, as empresas ainda têm até o mês de agosto desse ano para finalizar a adequação do seu ambiente à Lei Geral de Proteção de Dados (LGPD). Neste cenário, em que qualquer simples etapa ignorada pode levar a ineficiências ou impasses piores, independente das tecnologias escolhidas, é fundamental contar com tecnologias…
adylkuzz:-como-o-ransomware-wannacry-alertou-o-mundo-para-ameaças-piores
Adylkuzz: Como o ransomware WannaCry alertou o mundo para ameaças piores
A variedade de ransomwares no seu ambiente é um indício que anuncia, rudemente, porém, felizmente, problemas maiores de segurança: ameaças internas e ataques cibernéticos que tiram vantagem do excesso de arquivos aos quais seus funcionários têm acesso.
wikileaks-e-ransomware:-precursores-da-extorsão-em-massa?
Wikileaks e ransomware: precursores da extorsão em massa?
inda que Julian Assange tenha prometido não deixar que a “transparência radical” do Wikileaks afetasse “gente inocente”, uma investigação independente encontrou dados publicados pelo site de pessoas comuns, incluindo fichas médicas de vítimas de abuso sexual e crianças doentes.