O ransomware é um software maligno que bloqueia o acesso ao sistema de computador ou aos dados que ele contém até que a vítima transfira um pagamento especificado para o invasor. Ocorreram 493,33 milhões de ataques de ransomware no mundo todo em 2022, tornando o ransomware uma das ameaças virtuais mais sérias enfrentadas pelas empresas hoje. Neste guia, discutiremos ataques de ransomware comuns e como se defender contra eles.
Se você está preocupado com o ransomware, proteja seus dados com a proteção da Veeam contra ransomware hoje.
O ransomware é uma ameaça crescente para as empresas modernas
Os ataques de ransomware são tão comuns agora que a maioria das pessoas já tem pelo menos uma noção básica do que é ransomware, mas elas podem não entender completamente como ele funciona ou por que é tão sério. De acordo com o relatório do Reino Unido sobre os Custos econômicos e sociais do crime, o custo médio de um crime virtual apenas no Reino Unido é medido “em bilhões”. Globalmente, o custo dos ataques de ransomware deve alcançar US$ 265 bilhões até 2031.
Embora algumas vítimas do ransomware tenham sorte suficiente para descriptografar seus dados, há muitas variantes de ransomware para as quais não há descriptografadores disponíveis, o que significa que a empresa precisará restaurar backups para se recuperar de um ataque. Se não possuírem backups, ou se os seus backups também tiverem sido atacados, o custo em termos de tempo e dados perdidos pode ser gravíssimo para a empresa. Nosso Relatório sobre Tendências de Ransomware em 2023 destaca como os ataques de ransomware podem ser sérios para algumas empresas.
Compreender a defesa contra ransomware
A defesa contra ransomware é algo que requer uma variedade de estratégias. Isso começa com as melhores práticas básicas de cibersegurança e envolve o uso de estratégias e tecnologias mais focadas para detectar e responder aos ataques de ransomware, incluindo aqueles em andamento.
Os softwares tradicionais de firewall e antivírus podem impedir alguns ataques, e treinar todos os seus funcionários para identificar e-mails de phishing, sites maliciosos e arquivos executáveis potencialmente perigosos pode ajudar muito a impedir ataques. Porém, as ferramentas modernas de defesa contra o ransomware podem ir além, monitorando a atividade da rede e do sistema de arquivos para identificar sinais de um ataque, como padrões incomuns de comunicação ou atividade de acesso/criptografia de arquivos.
Os administradores de redes podem aplicar várias ferramentas de segurança e TI em sua defesa contra ransomware. A proteção de endpoints, sistemas de detecção de intrusão (IDS) e sistemas de prevenção contra intrusão (IPS) podem ser combinados com técnicas de análise baseada em comportamento para identificar ataques rapidamente, de forma que qualquer dano possa ser corrigido.
Cada uma dessas estratégias, isoladamente, não deve ser suficiente para proteger um sistema de TI corporativo contra o ransomware. Combinando técnicas de defesa, análise passiva e medidas proativas de defesa, é possível reduzir a superfície de ataque e aumentar a probabilidade de qualquer medida corretiva ter sucesso, caso um ataque ocorra.
Componentes principais da defesa contra ransomware
Uma defesa eficaz contra ransomware requer uma abordagem múltipla.
Segurança e monitoramento de rede
Firewalls e sistemas de detecção de intrusão (IDS) são a primeira linha de defesa contra vários ataques, não só o ransomware. Um firewall analisa a atividade de entrada e saída da rede e bloqueia conexões que considerar como não autorizadas.
Atividades não autorizadas podem ser uma varredura de portas, em que um invasor tenta se conectar a portas aleatórias para descobrir quais serviços estão sendo executados em um servidor. Alternativamente, pode ser um invasor tentando fazer login em um servidor usando força bruta ou simplesmente para executar um ataque de negação de serviço contra um servidor, enviando um número enorme de solicitações em rápida sucessão.
Os sistemas de detecção de intrusão são similares aos firewalls, pois também detectam atividade maliciosa. Essas ferramentas então agem com base em um conjunto de regras predefinidas. Por exemplo, elas podem ativar outras ferramentas para execução ou alertar o administrador do sistema para que ele possa analisar o problema e intervir manualmente.
A defesa contra ransomware é uma corrida armamentista, e não é possível confiar apenas em regras estáticas e definições de malware. Até a verificação antivírus heurística não garante a identificação de todo código maligno. Portanto, é importante usar monitoramento em tempo real e análise comportamental para identificar alterações em atividade no seu sistema. Usar essa forma de monitoramento aumenta a probabilidade da atividade suspeita ser notada.
Por exemplo, o monitoramento em tempo real pode vigiar um grande número de arquivos sendo acessados ou alterados em um período de tempo curto. Ele também pode detectar a abertura de arquivos que não são usados há muito tempo. Mesmo se for provado que essa atividade não é ransomware, pode ser outro problema de segurança, como uma ameaça interna.
Resposta e recuperação de incidentes
As ferramentas de segurança são só uma parte da equação. Mesmo com ferramentas sofisticadas implementadas, ainda existe o risco de ocorrer uma violação de segurança, e ter um plano de resposta a incidentes claro e efetivo nas mãos é vital para minimizar os danos em caso de ataque.
Um plano de resposta a incidentes com ransomware inclui várias etapas:
- Determinar quais sistemas estão afetados.
- Desconectar dispositivos da rede, quando possível.
- Desligar o equipamento afetado, se necessário.
- Revisar os registros do sistema para determinar como o ataque ocorreu.
- Identificar o ransomware e determinar se existe ou não qualquer outro malware no sistema.
Dependendo da natureza do ataque, os passos que você vai seguir podem variar. Os administradores devem calcular o custo potencial de deixar os dispositivos infectados ligados (permitindo que o ataque continue) ou desligar o sistema e perder qualquer evidência armazenada na memória volátil.
Quando backups recentes estão disponíveis e são protegidos e isolados contra ransomware, pode fazer sentido deixar os sistemas infectados ligados, mas desconectados da LAN ou Wi-Fi para analisá-los.
A recuperação de dados é só uma parte da equação. Idealmente, o ataque será contido de forma rápida para impedir que se espalhe. Em muitos casos, o ransomware ganha acesso a uma rede por meio de algo como um ataque direcionado de phishing no laptop de um funcionário e, a partir daí, o software malicioso se espalha para as unidades de rede e outros sistemas, procurando qualquer coisa que tenha permissão para acessar e gravar.
Identificar o ataque rapidamente significa que o malware tem menos tempo para se espalhar e infectar unidades. Dependendo do sistema inicialmente infectado e de quão bem configurados estão os privilégios de acesso a arquivos na rede, o dano pode ser limitado apenas à máquina do usuário e a algumas pastas de rede que não são de missão crítica.
Adotar uma abordagem sistemática para a contenção e a recuperação
Os administradores do sistema devem sempre se lembrar que o ransomware pode agir de várias formas diferentes. Alguns tipos de ransomware apenas criptografam os arquivos. Outros scripts maliciosos excluirão os dados da vítima após algum tempo, se o resgate não for pago. Também existe um tipo de ransomware especialmente perigoso, que examina arquivos em busca de dados possivelmente valiosos e envia esses dados para o invasor, que ameaça divulgá-los se o resgate não for pago.
Violações de dados desse tipo podem ser excepcionalmente prejudiciais a qualquer empresa, então é importante avançar com cuidado ao responder a um ataque de ransomware. Em vez de correr para a fase de restauração de dados, gaste algum tempo para higienizar detalhadamente qualquer sistema infectado. Dependendo da gravidade do ataque, pode ser mais eficiente simplesmente apagar ou reinstalar esses sistemas a partir de imagens.
Para reduzir o risco de um ataque ocorrer novamente, mude todas as senhas do seu sistema e revise as regras de firewall, listas de bloqueio e sistemas de detecção de malware que você possui para garantir que estejam apropriadamente atualizados e funcionando corretamente. Forneça à equipe treinamento sobre ataques de phishing e de engenharia social.
Quando estiver confiante de que todo o malware foi completamente removido da sua rede, você pode iniciar o processo de restauração dos dados essenciais a partir dos backups. Certifique-se de verificar os backups antes de restaurá-los, a fim de garantir que não estejam infectados. Se a infecção foi detectada rapidamente, isso é improvável. Porém, se estiver realizando backups frequentes, pode ser que o mais recente esteja infectado e você precise restaurar um dos seus backups “frios” ou “off-site” mais antigos em vez disso.
Evitar o pagamento do resgate
Embora tenha havido alguns exemplos de destaque de ataques com ransomware a grandes organizações, exigindo delas enormes somas de dinheiro, a maioria dos ataques de ransomware é de oportunidade. Os invasores muitas vezes pedem valores menores, entre US$ 700 e US$ 1.500, supondo que, se deixarem o resgate relativamente barato, a vítima tem uma chance maior de pagá-lo, pois simplesmente quer recuperar seus arquivos o mais rápido possível.
Os métodos mais frequentes de pagamento ao ransomware são as criptomoedas, como Litecoin ou até Dogecoin. Essas moedas são escolhidas porque estão amplamente disponíveis nas principais bolsas, de modo que as vítimas podem encontrá-las facilmente. Os invasores também podem usar “misturadores” para ofuscar o histórico das moedas recebidas, facilitando a conversão dessas moedas em dinheiro real mais tarde.
Pagar o resgate do ransomware pode ser uma opção tentadora para um empresário com pouco tempo, diante da tela bloqueada em seu computador. Porém, antes de decidir entre recuperar os dados ou apenas pagar o resgate, é importante considerar o impacto de cada escolha. A única garantia que você tem de que o pagamento do resgate trará seus dados de volta é a promessa do desenvolvedor do ransomware – alguém antiético o suficiente para escolher essa forma de ganhar dinheiro. Além disso, mesmo que você recupere seus dados, não há garantia de que o malware restante não será usado para infectar você com alguma outra coisa no futuro, se você não tiver higienizado seus sistemas.
Outra coisa a considerar são as questões éticas relacionadas ao pagamento de ransomware. As criptomoedas muitas vezes são usadas para financiar o tráfico humano e de drogas, lavagem de dinheiro e atividades terroristas. Ao comprar criptomoedas, você está apoiando indiretamente essas atividades, além de que pagar o resgate também é uma recompensa para os crimes virtuais.
Em algumas partes do mundo, pode ser ilegal pagar um resgate de ransomware, pois fazer isso pode envolver pagamentos a uma entidade sujeita a sanções econômicas. Isso não vale para todos os países, mas é algo a se considerar. Se você foi vítima de um ataque de ransomware e está pensando em pagar o resgate, busque aconselhamento legal antes de fazer isso.
Melhoria e aprendizado constantes
É fácil sentir vergonha se a sua empresa tiver sido vitimada por um ataque de ransomware. Você pode se perguntar como isso aconteceu e se você poderia ter feito algo para evitar isso. Lembre-se de que até mesmo empresas enormes, com equipes dedicadas de TI e grandes orçamentos, foram vítimas de crimes virtuais. Tente aprender com o incidente e crie novas estratégias para derrotar o ransomware.
Divulgue o ataque e ajude outras pessoas a aprender com ele, se você puder fazer isso sem violar contratos de não divulgação ou sem compartilhar dados corporativos. Compartilhe informações sobre o que deu errado e inicie uma discussão sobre como você e outros podem se defender melhor.
Outra opção possível é fazer treinamentos simulados de ataques de ransomware para testar sua prontidão e identificar áreas nas quais as pessoas podem precisar de mais treinamento ou em que seu IDS ou outros sistemas têm deficiências.
Interconexões com outros aspectos do ransomware
Aqui, estamos focados principalmente na defesa contra ransomware, mas há outros problemas relacionados:
- Impedir que os ataques aconteçam
- Responder aos ataques, se forem identificados
- Recuperar os dados após um ataque
Todas essas coisas se combinam para formar uma estratégia eficaz contra o ransomware. Há muitas áreas de sobreposição entre elas. Uma boa estratégia de defesa contra ransomware pode usar ferramentas similares à prevenção contra ransomware, e uma parte dessa sua estratégia incluirá a criação de um plano de resposta rápida. Porém, vale a pena desenvolver cada estratégia individualmente, para que você se sinta confiante de que possui sistemas robustos de segurança e backup implementados.
Fortalecer a defesa contra ransomware da sua empresa
Se a sua empresa estiver preocupada com o impacto potencial do ransomware, aproveite essa oportunidade para analisar sua estratégia de defesa.
Criar uma estratégia abrangente
Analise as suas medidas atuais de cibersegurança e faça uma auditoria de segurança completa. Considere a realização de simulações de incidentes para identificar possíveis buracos em sua segurança.
Após essa análise, crie um plano que integre a prevenção, a proteção, a defesa e a resposta para cobrir cada eventualidade que você conseguir imaginar. Não copie o plano de alguém. Certifique-se de personalizar o plano para as necessidades específicas da sua empresa.
Uso de tecnologia e colaboração
Hoje, o ransomware é um problema tão disseminado que há muitas ferramentas disponíveis para monitoramento e detecção de intrusão, além de inteligência sobre ameaças. Não tente criar suas próprias ferramentas. Aproveite o grande conhecimento que já está disponível e colabore com os outros no setor. Juntos, podemos vencer o ransomware.
O ransomware não discrimina
O ransomware é uma ameaça oportunista e sempre presente. Ele tem chances iguais de infectar um usuário doméstico individual e uma corporação multinacional. É por isso que é tão importante que os responsáveis pela proteção de seus dados sejam proativos em relação à defesa contra um ataque de ransomware.
Ao criar uma estratégia de defesa contra ransomware que combine prevenção, proteção, resposta e recuperação, é possível criar uma estrutura resiliente de cibersegurança capaz de combater com eficiência o cenário de ameaças em constante evolução dos ataques de ransomware.
Se quiser saber mais sobre como podemos ajudar a proteger os dados da sua empresa, faça o download do nosso white paper As 7 melhores práticas de recuperação de ataque de ransomware.
