Contra-ataque mortal para ransomware: 4 passos

Aproximadamente 1, 5 mi l hão de novos sites de phishing são criados a cada mês. E mais de 850 milhões de infecções por ransomware foram detectadas em 2018. Essas estatísticas ilustram a ameaça que o ransomware representa para os profissionais de TI e todos os tipos de organização.

Ransomware é um tipo específico de malware desenvolvido para criptografar o conteúdo do computador até que seu usuário pague para receber a chave de criptografia ou de recuperação. Isso interrompe a produtividade e afeta a receita das empresas. No entanto, profissionais de segurança podem tomar medidas importantes para minimizar o impacto dessa praga cibernética.

A primeira linha de defesa é sempre um bom ataque. Para evitar que um invasor ganhe posição nas redes, as organizações devem colocar as seguintes medidas em prática:

• Práticas recomendadas como políticas sólidas de aplicação de patches, backups regulares do sistema, autenticação multifatorial, lista de permissões para aplicativos e restrições de direitos e privilégios de administrador;
• Programas de conscientização para educar os usuários sobre phishing e outras formas de engenharia social;
• Ferramentas de segurança para filtrar spam e links, bloquear ou filtrar DNS, identificar vírus, detectar e prevenir invasões;
• Estrutura de confiança zero para identificar, autenticar e monitorar cada conexão, login e uso de recursos;
• Políticas com menos privilégios para restringir permissões para instalar e executar aplicativos.

Minimizar o impacto do ransomware é mais do que apenas defender sistemas contra-ataques. Também envolve medidas para reduzir o impacto das violações quando elas ocorrem. Isso é fundamental, pois qualquer sistema pode ser atacado por invasores que disponham de tempo e recursos suficientes.

É preciso implementar programas rigorosos de resposta a incidentes. Planejar com antecedência gera confiança nessa capacidade de reação. Para isso, as empresas devem revisar suas políticas e realizar exercícios de simulação. Devem usar benchmarkings operacionais para melhorar a capacidade de resposta antes que um incidente ocorra.

Os hackers continuam evoluindo e desenvolvendo ataques mais sofisticados. Portanto, é provável que qualquer empresa, em algum momento, seja atacada por um ransomware. Quando isso ocorrer, as quatro etapas a seguir podem minimizar os impactos e ajudar a recuperar os dados da organização:

Passo 1: Isolamento

Antes de fazer qualquer outra coisa, certifique-se que os dispositivos infectados foram removidos da rede. Se usarem uma conexão física, desconecte-os. Se estiverem em uma rede sem fio, desligue o hub/roteador sem fio. Desconecte também qualquer sistema de armazenamento ligado diretamente para tentar proteger os dados nesses equipamentos. O objetivo é impedir que a infecção se espalhe.

Passo 2: Identificação

Esse passo é frequentemente esquecido. Com apenas alguns minutos para descobrir o que aconteceu, as empresas podem levantar informações importantes, tais como qual variante do ransomware foi responsável pela infecção, quais arquivos esse tipo de ransomware costuma criptografar e quais são as opções de descriptografia. As empresas também podem aprender como derrotar o ransomware sem pagar ou restaurar o(s) sistema(s) do zero.

Passo 3: Relatório

Esse é outro passo que muitos profissionais de segurança ignoram, por conta de constrangimentos ou restrições de tempo. No entanto, ao relatar o ataque de ransomware, as empresas podem ajudar outras organizações a evitar situações semelhantes. Além disso, fornecem às agências policiais uma melhor compreensão do invasor. Existem várias maneiras de denunciar um ataque de ransomware. Uma delas é entrar em contato com um escritório do FBI nos Estados Unidos ou registrar uma denúncia no site do Centro do FBI para Reclamações sobre Crimes na Internet. No Brasil, a organização sem fins lucrativos SaferNet, coordenadora da Central Nacional de Denúncias de Crimes Cibernéticos e as principais capitais brasileiras já contam com delegacias específicas para denunciar criminosos que agem pela internet.

Passo 4: Recuperação

Em geral, existem três opções para se recuperar de um ataque ransomware:

• Pagar o resgate: Isso não é recomendado porque não há garantias de que a organização recuperará os dados após o pagamento. Em vez disso, o invasor pode solicitar ainda mais dinheiro antes de descriptografar os dados.
• Remover o ransomware: Dependendo do tipo de ransomware envolvido, a empresa pode removê-lo sem que seja necessária uma reconstrução completa. Esse processo, no entanto, pode consumir muito tempo e, portanto, não é a opção preferida.
• Limpar e reconstruir: O método mais fácil e seguro de recuperação é limpar os sistemas infectados e reconstruí-los a partir de um bom backup conhecido. Uma vez reconstruídas, as organizações precisam garantir que não permanecerá nenhum vestígio do ransomware. O trabalho, de fato, começará depois de reconstruído o ambiente. A organização deverá fazer uma revisão completa do ambiente para determinar exatamente como a infecção começou e determinar quais etapas devem ser tomadas para reduzir outra possível invasão.

É claro que não é possível evitar todos os ataques de ransomware. No entanto, é possível garantir que, em caso de invasão, o estrago não se espalhe, não afete os negócios nem se torne digno de se tornar uma manchete.

Ao afastar a maioria dos ataques e lidar rapidamente com os maus atores que entram pela porta – com a ajuda de isolamento dinâmico, microssegmentação e outras tecnologias modernas de segurança cibernética -, as organizações serão capazes de manter seus negócios nos trilhos.

*Por Mat Newfield, CISO – Chief Information Security Officer da Unisys