Você sabia que apenas 65% dos dados são recuperados durante um ataque de ransomware, conforme o estudo A Situação do Ransomware, da Sophos? Hoje vamos ver algumas das perguntas mais frequentes sobre a recuperação de ransomware e as coisas que todos devem saber antes que sejam atacados por ele.
O que é recuperação de ransomware?
A recuperação de dados de ransomware é o processo seguido para colocar os sistemas de TI de volta on-line após um ataque de ransomware. A recuperação pode ser simples, ela pode seguir muitos dos processos de recuperação de desastres que você tem hoje, desde que os seus planos de recuperação de desastres sejam bem documentados e testados, inclusive recentemente.
No espaço de proteção de dados, há um grande foco na recuperação, especialmente a de VMs criptografadas a partir do backup. Embora essa seja uma parte importante da recuperação de ransomware, também há impactos mais abrangentes para o resto do seu ambiente de TI.
A análise forense é realizada como parte da resposta a incidentes de segurança virtual para determinar como o ransomware contaminou o ambiente e quais sistemas foram infectados. Nesse momento, é possível tomar medidas para erradicar o ransomware, remover as vulnerabilidades que permitiram a entrada dos invasores e restaurar os sistemas afetados.
O ransomware pode ser removido?
Durante o processo de resposta a incidentes de segurança virtual, medidas serão tomadas para avaliar como o ransomware entrou no ambiente e como os sistemas foram afetados, além da criptografia dos dados.
Embora o software do ransomware deva ser removido das máquinas criptografadas, também é necessário adotar medidas para determinar como os invasores entraram e fechar esses vetores de ataque. Quando um evento de ransomware ocorre, você poderá garantir que seus sistemas antimalware tenham as definições adequadas para detectar a variedade de ransomware em questão.
Os sistemas afetados pelo ransomware podem ser recuperados?
A pergunta mais importante para a maioria das organizações de TI hoje em dia é, “eu posso me recuperar do ransomware?”. A recuperação quase sempre é possível. Infelizmente, muitas empresas não têm confiança no processo de recuperação, e é por isso que é importante adotar as medidas para garantir que o seu ambiente possa se recuperar do ransomware.
A primeira coisa a fazer para proteger seus dados contra o ransomware é garantir que você tenha um backup recente e bem-sucedido. Esse backup se torna crucial depois que as máquinas forem criptografadas. Após a criptografia, você terá que restaurar um backup anterior.
Dependendo de quanto tempo o ransomware ficou inativo no seu sistema, você também precisará verificar o sistema restaurado para garantir que não está reintroduzindo a ameaça no ambiente.
Como é a recuperação após um ataque de ransomware?
Um dos aspectos mais confusos do ransomware é muitas vezes o que acontece depois que o ataque ocorre. O primeiro passo é acionar a equipe de segurança de TI para que eles possam iniciar o processo de resposta a incidentes. Esse processo pode ser um pouco diferente do que a maioria dos administradores de backup estão acostumados, em relação à restauração dos dados.
Antes que você possa se recuperar do ransomware, há algumas fases do plano de resposta a incidentes que precisam ser concluídas, como a detecção e análise, contenção e, depois, erradicação e recuperação. COMO a recuperação de ransomware será feita dependerá do que for determinado na fase de detecção e análise, então é importante ter múltiplas estratégias de recuperação implantadas e cuidadosamente testadas.
Não tem familiaridade com respostas a incidentes de segurança virtual? Confira os guias de Respostas a Incidentes de Segurança Virtual e Vulnerabilidades publicados recentemente pela CISA.
Quais são os diferentes tipos de ataques de ransomware?
Há vários tipos diferentes de ataques de ransomware, com o mais clássico sendo a criptografia de dados. Também há ataques com extorsões duplas ou triplas. Um ataque de extorsão dupla é quando o ransomware não só criptografa os dados como também os rouba. Um ataque de extorsão tripla é quando as máquinas são criptografadas e os dados, roubados. Os agentes maliciosos vão um passo além e procuram dados sobre clientes e fornecedores da empresa para atacá-los.
O ransomware rouba dados?
O ataque de ransomware que costumamos imaginar é a criptografia de dados. Outro tipo de ataque de ransomware cada vez mais comum é a exfiltração. Isso é quando os agentes maliciosos em seu ambiente roubam seus dados e ameaçam divulgá-los a menos que você pague o resgate.
Como o ransomware se espalha?
O ransomware pode de propagar de várias maneiras diferentes. Uma das mais comuns é por meio de e-mails de phishing. Quando um invasor está dentro do seu ambiente, as possibilidades se tornam ilimitadas. Lembre-se, um invasor só precisa de um ponto de entrada para paralisar o seu ambiente.
Qual é a melhor solução para impedir que seus arquivos importantes sejam atacados por ransomware?
Embora muitos queiram se proteger contra o ransomware, a verdade é que você provavelmente será atacado. Há vários grupos de ransomware buscando constantemente novas formas de explorar ambientes para entrar e implantar o ransomware. Embora uma estratégia de segurança de TI sólida possa ajudar muito na proteção contra o ransomware, nada pode impedir que ele aconteça com 100% de certeza.
A melhor solução é uma estratégia sólida de backup, incluindo backups imutáveis, para que os backups não possam ser criptografados ou excluídos por agentes maliciosos.
Quantos tipos de ransomware existem?
Existem muitos tipos diferentes de ransomware, e novos tipos estão surgindo o tempo todo. Alguns dos tipos de ransomware mais populares nos noticiários foram REvil, Conti e DarkSide.
Um detalhe sobre esses diferentes tipos de ransomware é que eles operam como qualquer outra organização de TI. Eles têm seus próprios desenvolvedores que estão constantemente refinando seu ransomware para torná-lo mais perigoso para os sistemas de TI.
Quanto tempo leva para se recuperar do ransomware?
Quando se trata da recuperação de ransomware, há muitas histórias de terror por aí sobre quanto tempo leva para se recuperar (se a empresa conseguir se recuperar). Com frequência, ouvimos histórias sobre períodos de semanas ou meses para a recuperação, mas não deveria ser assim.
A recuperação de ransomware é algo que precisa ser testado regularmente, assim como um plano de recuperação de desastres. De fato, o seu plano de recuperação de desastres é um ótimo lugar para começar quando se trata da recuperação de ransomware, desde que ele esteja atualizado e testado.
Depois de testar sua recuperação, você pode adotar medidas para torná-la mais rápida com base nos seus requisitos de negócios, como implantar infraestruturas adicionais no seu ambiente.
A recuperação de ransomware não precisa levar um período de tempo muito grande, mas os testes dos seus processos de recuperação são cruciais para cumprir seu RTO.
Quanto tempo leva a criptografia do ransomware?
As velocidades de criptografia de ransomware dependem do ransomware que infectou seu ambiente. Lembre-se, os grupos de ransomware estão aprimorando constantemente seu software, tentando fazer as coisas acontecerem o mais rápido possível para causar o máximo de estrago antes que as equipes de TI saibam o que está acontecendo.
Por exemplo, o ransomware REvil usa processos multithread para usar todos os recursos do alvo na criptografia.
É possível descriptografar o ransomware?
Embora os grupos de ransomware digam que podem descriptografar as informações atacadas se você pagar o resgate, o fato é que nem todos os dados são descriptografados com sucesso. Mais grave ainda é que a integridade dos dados após a descriptografia é inexistente. Mesmo se você descriptografar um servidor após um ataque de ransomware, ele ainda precisa ser restaurado do backup.
Reinstalar o Windows removerá o ransomware?
Reinstalar o Windows em uma máquina infectada não removerá o ransomware. Formatar totalmente a máquina e reinstalar o Windows garantirá que o sistema não terá mais malware, mas você perderá todos os seus dados, se não tiver feito backup primeiro.
O ransomware rouba dados pessoais?
Os invasores que usam ransomware aprendem a identificar vulnerabilidades no ambiente. Isso permite que eles ataquem os dados mais importantes que conseguirem encontrar no ambiente. Coisas como dados pessoais sobre funcionários e clientes, informações financeiras e dados proprietários. Lembre-se, um grupo de ransomware fará de tudo para garantir que você pague o resgate.
Quando se trata de recuperação de ransomware, há muitas coisas que devem ser analisadas. O mais importante é garantir que você está tomando as medidas para proteger seu ambiente hoje. Isso inclui não só reforçar a segurança do seu ambiente para que os invasores não possam entrar, mas também um treinamento de conscientização dos usuários sobre segurança virtual para garantir que os funcionários não cliquem em links suspeitos e permitam a entrada deles.
No final das contas, a última linha de defesa são os backups seguros. Além de ter backups imutáveis que o ransomware não pode criptografar ou apagar, é importante testar a recuperação. Os testes de recuperação permitem que você verifique se seus backups estão funcionando e se você é capaz de cumprir seus RTOs em caso de ataque.
Para saber mais sobre como proteger seus dados contra o ransomware, consulte o kit de prevenção contra ransomware da Veeam e comece hoje mesmo.
