As ameaças digitais crescem cada vez mais em quantidade, complexidade e diversidade, condições que foram potencializadas com a pandemia, devido à adoção do trabalho remoto, ao aumento do número de endpoints, à uma maior dependência dos recursos de internet e à transformação digital. Segundo um levantamento da Check Point Software, os ataques de ransomware aumentaram em 92% no Brasil desde o início de 2021, seguindo uma tendência global que registrou uma alta de 41% em ataques no período.
Para agravar a situação, os ataques de ameaças como o ransomware estão cada vez mais numerosos, sofisticados e capazes de ultrapassar as proteções de segurança. Esses malwares podem interromper processos essenciais aos negócios, prejudicando, assim, a produtividade, e aumentando os custos operacionais.
Além disso, precisamos lembrar que a Lei Geral de Proteção de Dados (LGPD) já está em vigor no Brasil. Diante disso, as empresas tentam se adequar à nova legislação, realizando a revisão de processos e a implementação de novas medidas para garantir o cumprimento da LGPD, principalmente considerando que as multas e sanções previstas podem chegar a R$ 50 milhões.
Nesse artigo, vamos abordar o avanço dos ataques de ransomware nos últimos anos e dar dicas para se proteger contra essas ameaças.
Acompanhe a contínua reinvenção do ransomware
O ransomware manteve sua atividade e efetividade durante a pandemia, devido às novas condições de trabalho nas organizações e à sua contínua reinvenção. Além disso, o uso de famílias de ransomware em ataques direcionados se torna uma prática cada vez mais comum.
Nesse cenário, o ransomware se tornou um negócio cibercriminoso bastante lucrativo, como é o caso do modelo Ransomware-as-a-Service (RaaS), no qual os desenvolvedores do malware obtêm comissões dos grupos que usam suas ferramentas maliciosas.
De acordo com o ESET Security Report América Latina 2021, as famílias de ransomware como o WannaCry ou o WannaCryptor (56,4%), com suas características de worm, foram aquelas com maior porcentagem de detecção na América Latina. Em seguida, vieram as famílias do STOP (12,2%), Crysis (7,4%), Phobos (4,7%) e Philadelphia (1,9%).
Adicionalmente à exigência do pagamento de resgate pelas informações criptografadas, verificou-se o aumento da prática conhecida como doxing, ou seja, o roubo de informações e posterior extorsão sob ameaça de trazer a público os dados sensíveis extraídos. Com essa modalidade de ataque, as ameaças se tornaram ainda mais direcionadas e assertivas.
Embora o volume de tentativas de ataques continue alto, o mais preocupante é o grau de sofisticação e eficiência alcançado pelos cibercriminosos. Tecnologias avançadas e inteligência artificial (IA) são agora utilizadas para desenvolver ataques direcionados com maior chance de sucesso.
Além disso, novas táticas foram agregadas ao modus operandi do ransomware, como aquela chamada de print bombing, que utiliza as impressoras disponíveis na rede das vítimas para imprimir a exigência do resgate.
Outra tendência é que os ataques agora envolvem uma dupla extorsão – pela desencriptação e pelo não vazamento de dados. Nesse caso, os cibercriminosos invadem as redes das empresas, extraem conteúdo confidencial e depois impedem que elas acessem suas próprias informações. Em seguida, ameaçam publicar os dados confidenciais roubados na internet, caso o pagamento não seja realizado.
Outro meio de pressão usado pelos cibercriminosos consiste nas “chamadas a frio”, ou cold calls, feitas para a equipe das empresas afetadas que buscam evitar o pagamento do resgate. Essas chamadas confirmam a posse de informações essenciais das empresas para intimá-las a pagar o suborno, com o uso de ameaças e mecanismos de extorsão.
Não bastasse isso, agora também são feitos ataques DDoS sobre os websites das organizações afetadas, com o propósito de obrigá-las a retomar as negociações. Portanto, a operação dos grupos de ransomware envolve o uso de ameaças persistentes e a execução de código malicioso capaz de comprometer os dados e a infraestrutura tecnológica das empresas.
Os grupos de cibercriminosos por trás dos ataques direcionados tornaram-se ainda mais agressivos, atacando todo tipo de organizações. A lista de vítimas inclui desde hospitais, universidades, órgãos governamentais e bancos, até pequenas, médias ou grandes empresas.
Como se proteger contra ransomware e outras ameaças
Para corrigir vulnerabilidades e evitar ataques, as empresas devem adotar algumas medidas importantes:
1. Invista em ferramentas de segurança avançadas
Tenha uma solução de segurança de qualidade configurada para detectar comportamentos suspeitos e que permita a reversão automática de arquivos para o combate ao ransomware. Para se proteger contra esses ataques, é recomendável o uso de ferramentas como antivírus, firewall e filtro antispam. Além disso, é necessário usar senhas fortes, uma Virtual Private Networks (VPN) confiável, e recursos de criptografia e duplo fator de autenticação.
2. Atualize os sistemas e softwares
Para evitar que os hackers acessem seus sistemas e aplicativos de TI, as empresas devem procurar identificar e corrigir os seus pontos fracos antes que eles possam ser explorados. Por isso, é importante manter todos os programas e sistemas operacionais atualizados com a última versão.
As vulnerabilidades de segurança podem ser eliminadas por meio de patches de softwares, ou seja, atualizações lançadas pelos fabricantes para fechar brechas de segurança, adicionar funcionalidades ou melhorar o desempenho.
Para garantir a proteção, soluções como a avaliação da vulnerabilidade e o gerenciamento de patches são partes importantes da estratégia de segurança cibernética. Elas possibilitam que os sistemas sejam verificados quanto a quaisquer falhas de segurança conhecidas e corrigidos quando possível.
3. Faça um backup de dados robusto
O objetivo do ransomware é forçar a vítima a pagar um resgate para que ela possa recuperar o acesso aos dados criptografados. No entanto, isso só é eficaz se o destinatário realmente perder o acesso aos seus dados. Uma solução robusta e segura de backup de dados é uma maneira eficaz de reduzir o impacto desses ataques.
Se o backup do sistema é feito regularmente, os dados perdidos devem ser mínimos ou inexistentes. No entanto, é importante garantir que a solução de backup de dados também não possa ser criptografada. Os dados devem ser armazenados em um formato somente leitura para evitar a propagação de ransomware para unidades que contêm dados de recuperação.
Por isso, faça uma análise completa da estrutura de redes, do banco de dados, dos equipamentos, das aplicações e das configurações de servidores e avalie quais são os mecanismos de backup mais eficientes.
4. Proteja também os seus endpoints
Em função do home office e da migração para a nuvem, os endpoints estão cada vez mais numerosos e fora da rede corporativa. Por isso, a proteção dos endpoints deve ser uma das prioridades das empresas. Afinal, o ataque a um único dispositivo pode se espalhar pela rede corporativa e comprometer todos os seus dados e informações, gerando prejuízos milionários.
Por isso, novas soluções, como o EDR e o XDR, foram projetadas para fornecer detecção e resposta de ameaças de forma automatizada, maior visibilidade de dados e análise de informações complexas. Com recursos de Inteligência Artificial (IA) e Machine Learning (ML), essas soluções ajudam a detectar, investigar e responder a ataques, melhorando a visibilidade sobre os endpoints, automatizando tarefas de resposta manual e aumentando as capacidades de investigação.
Quadro: Soluções mais usadas pelas empresas
- Soluções antimalware: 86%
- Firewall: 75%
- Backup: 68%
- Soluções com dupla autenticação: 22%
- Criptografia: 18%
- EDR: 16%
- DLP: 15%
Fonte: ESET
5. Proteja o seu servidor de e-mail
Um clique em um link de phishing pode custar o dinheiro e a reputação da sua empresa. Os navegadores e alguns clientes de e-mail têm seus próprios filtros de segurança, mas os cibercriminosos possuem muitas técnicas para contorná-los. Por isso, impedir que e-mails de phishing cheguem às caixas de correio dos funcionários é um bom ponto de partida para aumentar a segurança. Use uma solução de segurança no nível do gateway de e-mail, que não apenas verifica links em e-mails recebidos, mas também detecta ameaças em arquivos enviados.
6. Dificulte as movimentações laterais
Uma vez que os criminosos conseguem acessar a rede corporativa, eles procuram ampliar o acesso aos sistemas corporativos e adquirir privilégios de administrador. Para isso, usam trojans para roubar credenciais e ferramentas legítimas, como o Power Shell. Para dificultar a evolução do ataque, é recomendado que as empresas usem ferramentas de duplo fator de autenticação.
7. Proteja-se contra ameaças internas
Funcionários atuais ou ex-funcionários, parceiros de negócios, contratados ou qualquer pessoa que já teve acesso a sistemas ou redes no passado podem ser considerados uma ameaça interna se abusarem de suas permissões de acesso. Ameaças internas podem ser invisíveis para soluções de segurança tradicionais, como firewalls e sistemas de detecção de intrusão, que se concentram em ameaças externas. Por isso, vale a pena investir em uma solução de Data Loss Prevention (DLP).
8. Treine os seus colaboradores
O treinamento dos usuários sobre como identificar e evitar possíveis ataques de ransomware é fundamental. Afinal, muitos dos ciberataques atuais começam com um e-mail direcionado que nem mesmo contém malware, mas uma mensagem de engenharia social que incentiva o usuário a clicar em um link malicioso. Por isso, a educação dos colaboradores é considerada uma das defesas mais importantes que uma organização pode implementar.
O treinamento de conscientização sobre segurança cibernética da equipe pode vir de seu próprio departamento de TI ou de especialistas externos. Explique aos funcionários os riscos de abrir links, sites e arquivos anexos suspeitos, e recomende a criação de senhas complexas e diferenciadas. Além disso, uma boa política de segurança da informação é fundamental.
A AIM7 tem como principal objetivo oferecer soluções de Segurança da Informação para empresas preocupadas em ter uma proteção de dados efetiva. Conte com o nosso time altamente capacitado para entregar os melhores serviços e garantir o correto funcionamento das soluções no ambiente de rede da sua empresa.
