É impossível evitar todos os ataques ransomware. No entanto, você pode garantir que, quando ocorrer, ele não se espalhe e não afete os negócios a ponto de ser digno de manchete.
Aproximadamente 1, 5 milhão de novos sites de phishing são criados a cada mês. E mais de 850 milhões de infecções por ransomware foram detectadas em 2018. Essas estatísticas ilustram a ameaça que o ransomware representa para os profissionais de TI e todos os tipos de organização.
Ransomware é um tipo específico de malware desenvolvido para criptografar o conteúdo do computador até que seu usuário pague para receber a chave de criptografia ou de recuperação. Isso interrompe a produtividade e afeta a receita das empresas. No entanto, profissionais de segurança podem tomar medidas importantes para minimizar o impacto dessa praga cibernética.
A primeira linha de defesa é sempre um bom ataque. Para evitar que um invasor ganhe posição nas redes, as organizações devem colocar as seguintes medidas em prática:
- Práticas recomendadas como políticas sólidas de aplicação de patches, backups regulares do sistema, autenticação multifatorial, lista de permissões para aplicativos e restrições de direitos e privilégios de administrador;
- Programas de conscientização para educar os usuários sobre phishing e outras formas de engenharia social;
- Ferramentas de segurança para filtrar spam e links, bloquear ou filtrar DNS, identificar vírus, detectar e prevenir invasões;
- Estrutura de confiança zero para identificar, autenticar e monitorar cada conexão, login e uso de recursos;
- Políticas com menos privilégios para restringir permissões para instalar e executar aplicativos.
Minimizar o impacto do ransomware é mais do que apenas defender sistemas contra-ataques. Também envolve medidas para reduzir o impacto das violações quando elas ocorrem. Isso é fundamental, pois qualquer sistema pode ser atacado por invasores que disponham de tempo e recursos suficientes.
É preciso implementar programas rigorosos de resposta a incidentes. Planejar com antecedência gera confiança nessa capacidade de reação. Para isso, as empresas devem revisar suas políticas e realizar exercícios de simulação. Devem usar benchmarkings operacionais para melhorar a capacidade de resposta antes que um incidente ocorra.
Os hackers continuam evoluindo e desenvolvendo ataques mais sofisticados. Portanto, é provável que qualquer empresa, em algum momento, seja atacada por um ransomware. Quando isso ocorrer, as quatro etapas a seguir podem minimizar os impactos e ajudar a recuperar os dados da organização:
Passo 1: Isolamento
Antes de fazer qualquer outra coisa, certifique-se que os dispositivos infectados foram removidos da rede. Se usarem uma conexão física, desconecte-os. Se estiverem em uma rede sem fio, desligue o hub/roteador sem fio. Desconecte também qualquer sistema de armazenamento ligado diretamente para tentar proteger os dados nesses equipamentos. O objetivo é impedir que a infecção se espalhe.
Passo 2: Identificação
Esse passo é frequentemente esquecido. Com apenas alguns minutos para descobrir o que aconteceu, as empresas podem levantar informações importantes, tais como qual variante do ransomware foi responsável pela infecção, quais arquivos esse tipo de ransomware costuma criptografar e quais são as opções de descriptografia. As empresas também podem aprender como derrotar o ransomware sem pagar ou restaurar o(s) sistema(s) do zero.
Passo 3: Relatório
Esse é outro passo que muitos profissionais de segurança ignoram, por conta de constrangimentos ou restrições de tempo. No entanto, ao relatar o ataque de ransomware, as empresas podem ajudar outras organizações a evitar situações semelhantes. Além disso, fornecem às agências policiais uma melhor compreensão do invasor.
Existem várias maneiras de denunciar um ataque de ransomware. Uma delas é entrar em contato com um escritório do FBI nos Estados Unidos ou registrar uma denúncia no site do Centro do FBI para Reclamações sobre Crimes na Internet. No Brasil, a organização sem fins lucrativos SaferNet, coordenadora da Central Nacional de Denúncias de Crimes Cibernéticos e as principais capitais brasileiras já contam com delegacias específicas para denunciar criminosos que agem pela internet.
Passo 4: Recuperação
Em geral, existem três opções para se recuperar de um ataque ransomware:
- Pagar o resgate: Isso não é recomendado porque não há garantias de que a organização recuperará os dados após o pagamento. Em vez disso, o invasor pode solicitar ainda mais dinheiro antes de descriptografar os dados.
- Remover o ransomware: Dependendo do tipo de ransomware envolvido, a empresa pode removê-lo sem que seja necessária uma reconstrução completa. Esse processo, no entanto, pode consumir muito tempo e, portanto, não é a opção preferida.
- Limpar e reconstruir: O método mais fácil e seguro de recuperação é limpar os sistemas infectados e reconstruí-los a partir de um bom backup conhecido. Uma vez reconstruídas, as organizações precisam garantir que não permanecerá nenhum vestígio do ransomware. O trabalho, de fato, começará depois de reconstruído o ambiente. A organização deverá fazer uma revisão completa do ambiente para determinar exatamente como a infecção começou e determinar quais etapas devem ser tomadas para reduzir outra possível invasão.
É claro que não é possível evitar todos os ataques de ransomware. No entanto, é possível garantir que, em caso de invasão, o estrago não se espalhe, não afete os negócios nem se torne digno de se tornar uma manchete.
Ao afastar a maioria dos ataques e lidar rapidamente com os maus atores que entram pela porta – com a ajuda de isolamento dinâmico, microssegmentação e outras tecnologias modernas de segurança cibernética -, as organizações serão capazes de manter seus negócios nos trilhos.
1 Comentários
Gostei do artigo
Ótimas informações, vão ajudar e muito a prevenir esse tipo de ataque, além disso quando não for possível evitar, pelo menos minimizar os estragos e recuperar as informações com mais rapidez.
Infelizmente algumas pessoas e empresas só lembram de proteger melhor, quando já é tarde de mais.