Darktrace: como neutralizar o ransomware em todas as etapas!
O ransomware é um ataque de vários estágios que pode começar com um único dispositivo de endpoint comprometido e terminar com a criptografia dos dados de toda a empresa. Neste post, aprenda o que o Darktrace/Endpoint pode fazer para neutralizá-lo em cada uma das etapas de invasão.
Intrusão inicial: detecção de exploits
Interromper as ameaças no momento em que elas surgem em um endpoint, rede ou sistema de e-mail é a melhor maneira de evitar interrupções nos negócios. A Darktrace identificou exploits bem conhecidos, como Log4J, Hafnium, Kaseya sem Threat Intelligence, e detecta milhares de exploits menos conhecidos regularmente.
Cada ameaça é diferente, mas alguns padrões incomuns que o Darktrace/Endpoint avalia incluem:
- RDP de entrada incomum
- Download de arquivo incomum
- Arquivo .exe incomumTorrenting
Criação de ponto de apoio e balizamento: busca de anomalias
Nesta etapa, o Darktrace/Endpoint reúne anomalias para detectar quando um invasor está tentando entrar em contato e controlar remotamente um dispositivo. Com essa base, o Darktrace RESPOND/Endpoint neutraliza essa atividade bloqueando conexões específicas ou reforçando o ‘padrão de vida’.
Neste caso, alguns padrões incomuns que o Darktrace/Endpoint pode avaliar ao revelar esse tipo de ataque são:
- Beaconing para um endpoint jovem
- Downloads de arquivos anômalos
- Atividade de sinalização para endpoint raro externo
- Conexões para endpoint incomum
Exfiltração de dados: busca de desvios sutis
Seja “smash and grab” ou um “low and slow”, o DETECT/Endpoint identifica desvios sutis na atividade para evitar que os dados sejam exfiltrados dos dispositivos da empresa. Para isso, o Darktrace RESPOND/Endpoint neutraliza a atividade bloqueando conexões específicas, reforçando o ‘padrão de vida’ ou colocando o dispositivo em quarentena.
Alguns padrões incomuns que o Darktrace/Endpoint pode avaliar ao revelar esse tipo de ataque:
- Exfiltração baixa e lenta
- Saída de 1 GiB incomum
- Dados enviados para domínio raro
- Transferência de dados externos incomum
- Download / upload de dados incomuns para destino raro
Criptografia de dados: detecção sem assinaturas estáticas
Mesmo que ferramentas e métodos familiares sejam usados para conduzir a criptografia – seja simétrica ou assimétrica – o Darktrace detecta a atividade sem usar regras ou assinaturas estáticas. Feito isso, o Darktrace RESPOND/Endpoint neutraliza essa atividade bloqueando conexões específicas, reforçando o ‘padrão de vida’ ou colocando o dispositivo em quarentena.
Alguns padrões incomuns que o Darktrace/Endpoint pode avaliar ao revelar esse tipo de ataque:
- Extensão adicional anexada ao arquivo SMB
- Proporção de leitura/gravação SMB suspeita
- Conversão de tipo MIME sustentada
- Possível nota de resgate
- Atividade suspeita de PME
Mais sobre ransomwere: