Com novos casos relatados quase todos os dias, o ransomware se tornou uma preocupação constante para os profissionais de segurança de TI. Essa ameaça está crescendo, evoluindo e se espalhando mais rapidamente do que a maioria das empresas consegue acompanhar.
Em 2021, era difícil encontrar uma manchete de segurança cibernética que não remetesse de alguma forma ao ransomware. De acordo com um relatório da Verizon, essa ameaça impactou cerca de 80% dos negócios no ano passado e ameaçou algumas das instituições mais críticas para a nossa sociedade, de escolas primárias e secundárias a bancos e hospitais.
Além disso, o estudo aponta que as violações relacionadas a ransomware aumentaram 13% em 2021 – mais do que foi registrado nos últimos cinco anos combinados. Na verdade, quase 50% de todos os incidentes de invasão dos sistemas no ano passado envolveram ransomware. Esses ataques são observados em negócios de todos os tamanhos e setores, e as vítimas podem sofrer perda de produtividade, receita e confiança, além da ameaça de vazamento de informações confidenciais.
Embora essa ameaça tenha aumentado massivamente, os principais métodos de entrega de ransomware continuam sendo aqueles com os quais todos nós estamos familiarizados. O software de compartilhamento de desktop responde por 40% dos incidentes, enquanto a invasão feita por e-mail é responsável por 35%, segundo o mesmo estudo.
Mas não precisa ser assim. O ransomware pode ser combatido com a adoção de tecnologias de segurança e resiliência recomendadas. Embora seja quase impossível blindar completamente as empresas contra esses ataques, é possível melhorar drasticamente a sua capacidade de resistir a essas invasões.
Neste artigo, vamos explicar com mais detalhes o que é ransomware, como essa ameaça funciona e o que as empresas podem fazer para se proteger contra esses ataques.
O que é ransomware?
Basicamente, o ransomware é uma extorsão digital que usa criptografia para bloquear dados ou sistemas e os deixam retidos em troca de receber um resgate. Os invasores cibernéticos usam uma variedade de táticas para interromper as operações das empresas ou manter os dados delas como reféns para que possam forçá-las a pagar o resgate para garantir o retorno às operações.
O ransomware explora os pontos fracos de uma rede ou organização, que podem estar na arquitetura da rede, nos pontos de entrada de terceiros ou até mesmo nos próprios usuários.
Nos últimos anos, o ransomware se tornou um termo genérico para qualquer ataque baseado em extorsão que possa não incluir a entrega de malware em si. Por exemplo, alguns ataques de ransomware relatados realmente aproveitam a negação de serviço distribuída (DDoS), que não envolve malware, mas sim invasores que sobrecarregam os sistemas com muito tráfego até que eles falhem.
Para malware do tipo ransomware, os métodos de infiltração mais comuns incluem spear phishing, credenciais roubadas, exploração de acesso remoto/VPN, exploração de navegador da web ou aplicativo e mídia removível. A partir daí, os invasores encontram maneiras de se mover pela rede e criptografar dados para pedir um resgate. Esse movimento lateral pode acontecer de várias maneiras, incluindo: interface de linha de comando/interface gráfica, scripts, execução do usuário e outros.
Em última análise, prevenir ataques de ransomware significa defender muitos pontos de entrada, em uma rede inteira, de invasores desconhecidos, que buscam apenas um único ponto fraco para entrar.
Ataque de extorsão dupla
Muitas vezes, esses mesmos criminosos roubam dados e ameaçam vazá-los ou vendê-los para outras empresas nefastas se um segundo pagamento não for feito. Isso é conhecido como um ataque de extorsão dupla.
O ransomware de extorsão dupla é um componente relativamente novo e pernicioso para o universo geral do ransomware. Desde que apareceu, criado pelo grupo Maze, há apenas alguns anos, esse tipo de ataque se espalhou pelo mundo e passou a ser utilizado por muitos outros grupos. Para agravar a situação, os invasores agora estão trabalhando juntos, treinando uns aos outros, espalhando seus conhecimentos e compartilhando suas táticas e tecnologias.
Como evitar ataques de ransomware
Não existe uma única solução de cibersegurança capaz de evitar totalmente as invasões de ransomware, mas há muitas medidas que podem ser tomadas para evitar que elas sejam bem-sucedidas. Um componente principal de um plano de prevenção sólido inclui a instituição de práticas recomendadas em sua força de trabalho para que a sua empresa se torne capaz de se defender contra qualquer número de ataques.
Geralmente, um plano robusto de prevenção e remediação de ransomware tem três níveis para orientar as ações de uma empresa: o antes, o durante e o após o ataque.
Antes do ataque:
A chave para a prevenção é minimizar a superfície de ataque em que um agente mal-intencionado precisa trabalhar. Isso significa treinamento adequado da força de trabalho para evitar exploração de phishing, roubo de credenciais ou visitas a sites comprometidos. Outro fator importante é ter um regime de backup robusto que permita restaurar os seus dados para um momento anterior ao ataque.
Por fim, certifique-se de ter um plano completo de resposta a incidentes implementado. Isso inclui fazer perguntas francas sobre a sua preparação. Procure entender quais medidas você tomará para identificar o ransomware antes que a criptografia ocorra, quais são as maneiras de conter essas violações, como recuperar dados perdidos e erradicar uma ameaça existente. Certifique-se também de que o seu plano de resposta a incidentes esteja disponível offline.
Durante o ataque:
Depois que um ataque está em andamento, o objetivo mais importante que sua equipe deve ter é mitigar o impacto. Isso significa operacionalizar o seu plano de resposta a incidentes, restaurar dados de backups, emitir novos ativos limpos e livres de exposição e corrigir o acesso inicial e os vetores de execução para evitar ataques repetidos.
Uma das maiores questões que as empresas enfrentam neste momento é se devem ou não pagar o resgate. Essa questão é complicada, pois está repleta de interesses, pontos de vista e questões legais concorrentes. Lembre-se de que o pagamento de um resgate não garante o apagamento de dados exfiltrados, recuperação total de dados criptografados ou restauração imediata das operações.
Após o ataque:
Depois que o pior passar, é fundamental que a sua equipe faça um balanço para avaliar se o seu plano funcionou bem ou se existem lacunas ou fraquezas que precisam ser abordadas.
Há também várias etapas de correção e mitigação que devem ser seguidas, incluindo a reconstrução de sistemas a partir de uma linha de base em bom estado, a quarentena de endpoints, a alteração de credenciais e o bloqueio de contas comprometidas.
Como podemos ajudar?
Não há uma solução única para ransomware, mas existem muitas táticas e tecnologias que, quando usadas em conjunto, podem oferecer a melhor linha de defesa disponível.
Para aumentar a proteção, é recomendável o uso de ferramentas como antivírus, firewall e filtro antispam. Além disso, é necessário usar senhas fortes, uma Virtual Private Networks (VPN) confiável, e recursos de criptografia e duplo fator de autenticação.
Outra medida importante é importante proteger os seus endpoints e evitar que os malwares se espalhem pela rede corporativa e possam comprometer todas as informações. Novas soluções, como EDR e XDR, foram projetadas para fornecer detecção e resposta de ameaças de forma automatizada.
Além disso, as empresas precisam atentar para as vulnerabilidades não corrigidas em seus sistemas, que são o vetor mais proeminente para os cibercriminosos realizarem ataques de ransomware, segundo pesquisa da Ivanti. Diante disso, as empresas precisam priorizar a correção e o gerenciamento de vulnerabilidades, identificando brechas e corrigindo esses problemas antes que eles sejam detectados por invasores e explorados maliciosamente.
Uma Gestão de Vulnerabilidades é um serviço contínuo e de muitas etapas de análise que visa a minimizar as fragilidades do ambiente e garantir a segurança cibernética de maneira proativa.
Para encontrar a proteção mais adequada para a sua empresa, é importante contar com a ajuda de um serviço de gestão qualificado e especializado em Segurança da Informação. A AIM7 tem como principal objetivo oferecer soluções de Segurança da Informação para empresas preocupadas em ter uma proteção de dados efetiva.
