O HOR difere do ransomware tradicional, pois visa pontos fracos específicos em seu sistema que são descobertos manualmente por humanos. Um exemplo é usar um serviço elevado em seu ambiente. A Microsoft diz que o HOR envolve o envolvimento humano em todas as etapas do ataque, e falhas do sistema ou erros humanos podem ser explorados para elevar privilégios, obter acesso a dados mais confidenciais e, finalmente, obter um pagamento maior. O que torna o HOR ainda mais perigoso é que os invasores geralmente não saem da rede mesmo depois de pagar. Eles continuam tentando monetizar seu acesso implantando novos malwares até que sejam completamente limpos.
A Microsoft enfatizou que o RaaS começou recentemente a gravitar em direção a um modelo de extorsão dupla, onde seus dados não são apenas criptografados, mas os invasores também ameaçam torná-los públicos até que você os pague. A empresa também observou que as campanhas HOR normalmente aproveitam as configurações e configurações incorretas herdadas, bem como a falta de higiene de credenciais, para elevar seus privilégios. Assim, os especialistas em segurança nas organizações precisam migrar para um modelo de confiança zero, em que não apenas procurem alertas individuais, mas também tenham uma visão holística de toda a postura e incidentes de segurança.
A Microsoft também alertou as organizações sobre o modelo de parceiro RaaS descrito abaixo:
No passado, observamos uma relação próxima entre o vetor de penetração inicial, as ferramentas e a seleção de carga útil de ransomware em cada campanha de uma única variedade de ransomware. O modelo de parceiro RaaS, que permite que mais criminosos, independentemente do conhecimento técnico, implantem ransomware criado ou gerenciado por outra pessoa, enfraquece esse vínculo. À medida que a implantação de ransomware se torna uma economia, fica cada vez mais difícil atribuir a habilidade usada em um ataque específico aos desenvolvedores de carga útil de ransomware.
[…] RaaS é um acordo entre uma operadora e uma afiliada. O operador de RaaS desenvolve e mantém ferramentas para dar suporte a operações de ransomware, incluindo linkers que geram cargas de ransomware e portais de pagamento para se conectar com as vítimas.
[…] Dessa forma, o RaaS cria um único tipo de carga útil ou campanha, que é uma única família de ransomware ou um conjunto de invasores. O que acontece, no entanto, é que o operador de RaaS vende o acesso à carga do ransomware e ao decodificador para um afiliado que executa a intrusão e o escalonamento de privilégios e é responsável por implantar a carga real do ransomware. As partes então dividem os lucros. Além disso, desenvolvedores e operadores de RaaS também podem usar a carga útil para obter lucro, vendê-la e executar suas campanhas com outras cargas úteis de ransomware, o que confunde ainda mais a situação quando se trata de rastrear os criminosos por trás dessas atividades.
Para combater essas ameaças crescentes e sofisticadas , a Microsoft recomenda que as organizações mudem para um modelo de confiança zero, criem higiene de credenciais, auditem a exposição de credenciais, protejam na nuvem, priorizem a implantação de atualizações do Active Directory, reduzam a superfície de ataque, mitiguem pontos cegos de segurança, e fortalecer perímetros, especialmente recursos voltados para a Internet. Por fim, ele também incentivou os clientes a usar a Investigação Unificada do Microsoft 365 Defender e a visibilidade entre domínios para detectar e responder proativamente a ameaças. A Microsoft planeja falar mais sobre essa direção no evento digital da conferência Microsoft Security Summit em 12 de maio, você pode se inscrever aqui .
Deixe um comentário