Cinco recomendações para mitigar os crescentes ataques de Clop Ransomware

Ativo desde o começo de 2019, o Clop Ransomware nasceu com foco na criptografia de arquivos individuais. Com o tempo, o ataque passou a mirar empresas e redes inteiras, com novos recursos capazes de exfiltrar dados de grandes corporações em todo o mundo, inclusive na América Latina. 

Mesmo com diversas tentativas de remoção, a ameaça sobreviveu e tem ressurgido com frequência neste ano - supostamente 130 organizações foram violadas somente em fevereiro. De acordo com especialistas da Lumu Technologies, empresa de cibersegurança criadora do modelo Continuous Compromise Assessment™, que permite às organizações medir os comprometimentos em tempo real, a tendência é que as invasões do tipo continuem a ocorrer. 

“Isso porque o Clop tem sido um dos ransomware como serviço (RaaS) mais ativos nos últimos anos, visando quase qualquer tipo de organização. Ele foi conectado a ataques que afetam organizações públicas e privadas de diferentes setores, como manufatura, saúde, educação e energia. Ou seja, é muito versátil”, pontua German Patiño, vice-presidente de vendas da Lumu Technologies para América Latina. 

“Apenas para dar uma noção da escala do impacto, nossa equipe de inteligência de ameaças descobriu que, no final de março, o buscador Shodan mostrava 1.264 instâncias do software de transferência de arquivos GoAnywhere expostas à internet – embora nem todas sejam vulneráveis, elas são visíveis para os invasores”, completa Patiño. 

De acordo com o executivo, entre os fatores que potencializam a ameaça do Clop Ransomware estão sua aparência legítima, a capacidade de eliminar processos e criptografia, o fato de desativar recursos de reparo do Windows para que o sistema não possa ser facilmente restaurado, além de oferecer risco de extorsão dupla e se movimentar lateralmente pelas redes das organizações atingidas. 

Entre as principais iniciativas que podem ser tomadas a fim de mitigar o ataque, os especialistas da Lumu destacam:

1. Manter os sistemas atualizados: as atualizações para Windows devem ser aplicadas o mais rápido possível para evitar qualquer tipo de comprometimento do sistema. 
2. Procurar intencionalmente por conexões com servidor de comando e controle [C&C]: depois de fechar a porta publicamente conhecida para os invasores, é importante detectar se eles conseguiram entrar na organização. A melhor maneira de fazer isso é intencionalmente, por meio da análise dos metadados da rede.
3. Ficar atento aos movimentos laterais: caso os atacantes estejam dentro da organização, eles vão tentar se espalhar pela rede, infectando o máximo de endpoints que puderem. Desta forma, é fundamental ter visibilidade desse comportamento anômalo.
4. Atualizar as credenciais de acesso: como o objetivo final dos invasores é controlar o console do administrador, eles sempre tentam comprometer as credenciais de acesso, por isso é preciso evitar o risco de ter qualquer um dos painéis de administração - qualquer que seja o sistema integrado - acessíveis aos adversários.
5. Limitar a superfície de ataque: o que deve ser feito por meio da implementação de controles de mitigação de riscos e inspeção de qualquer instalação recente de aplicativos aparentemente legítimos. É importante ter atenção à criação de usuários incomuns e à eventual desativação do sistema de servidor de licenciamento integrado.