Ransomware: o vilão de faroeste da cibersegurança

A maioria das pessoas conhece histórias de faroeste, e uma delas é a do Butch Cassidy, que ficou conhecido por atacar bancos e trens no final do século XIX. Em seu assalto mais icônico, ele identificou a vulnerabilidade de um trem e usou sinalização falsa para pará-lo no meio do deserto. Isso deu a ele e sua gangue muito tempo para embarcar e roubar os objetos de valor. Hoje, a tecnologia mudou completamente, mas a mentalidade dos ladrões cibernéticos não.

Assim como Cassidy, os cibercriminosos tentam identificar fraquezas e vulnerabilidades nos processos de segurança das empresas para que possam roubar seus ativos mais valiosos. Ainda querem garantir a recompensa máxima, correndo o mínimo risco de serem pegos.

Caçadores de recompensas

De acordo com um relatório da Emsisoft divulgado em abril, o ransomware gerou um prejuízo global de centenas de bilhões de dólares em 2020. Com a pandemia e a adoção em massa do trabalho remoto houve aumento tanto dos ataques quanto na média do valor de resgate, que cresceu mais de 80% em uma estimativa de 18 bilhões de dólares pagos neste período. E com muitas empresas ainda tentando se organizar para se adequar a um novo normal nos últimos 12 meses, os cibercriminosos se aproveitaram da situação para colocar em prática intensas caças por recompensas.

As empresas precisam encarar que o aumento desses ataques é a nova realidade e é inevitável que, cedo ou tarde, todas se tornem alvos. As equipes precisam garantir uma estratégia confiável e robusta de proteção de dados para que possam se recuperar de um ataque, caso o pior aconteça.

Backups na mira

Os cibercriminosos sabem muito bem que os backups estão na última linha de defesa, e se a vítima conseguir recuperar os dados, não pagará o resgate. Na verdade, um hacker passa em média mais de 200 dias na rede antes de criptografar qualquer coisa, planejando cuidadosamente o roubo e tentando obter acesso ao maior número possível de sistemas antes de começar a agir, inclusive aos backups.

O ataque inicial é usado para conseguir entrar na rede sem ser detectado. Uma vez lá dentro, os cibercriminosos passam muito tempo tentando acessar credenciais comprometidas. Esta é a chave para o ataque, existem até ferramentas projetadas especificamente para atacar serviços de diretório e obter credenciais. E, assim que conseguem, podem fazer praticamente qualquer coisa.

A tripla barricada

As empresas precisam de três passos estratégicos para se preparar, minimizar o impacto e se recuperar de um ataque:

1. Analisar as melhores práticas de forma holística para observar cada detalhe da segurança corporativa. Isso ajuda na proteção e agiliza a detecção. As melhores práticas básicas incluem atualização de software e sistemas operacionais com os patches mais recentes, treinamento de equipe para reforçar o cuidado com links ou anexos em e-mails, principalmente os não solicitados, e fazer backup de dados regularmente, mantendo-os em um dispositivo isolado, o famoso air gap. Os backups precisam estar protegidos e imutáveis para limitar as ações do hacker, caso ele tenha acesso;
2. Saber como agir durante um ataque. É preciso conhecer a própria infraestrutura para conseguir identificar o que é “normal” na operação. Caso contrário, pode levar semanas para perceber algo “anormal” e constatar que os dados ou sistemas estão comprometidos.
3. Se garantir com recuperação rápida após um ataque. As empresas precisam de cópias válidas e imutáveis de backup dos dados, protegidas para que não possam ser destruídas, modificadas ou criptografadas. Isso é fundamental, junto com a capacidade de restaurar os dados rapidamente.

Air gap: cuidado com o vão

O objetivo do air gap é isolar os dados críticos das redes locais e de áreas mais vulneráveis aos ataques, mas é preciso ter cuidado com essa estratégia. O air gap não resolve completamente dois fatores essenciais para uma recuperação bem-sucedida – confiabilidade e velocidade – e não é 100% imune aos ciberataques.

A implementação e a operação podem ser caras e difíceis de gerenciar, e o air gap não é super escalonável. Isso significa risco de lentidão para recuperar grandes volumes de dados, ainda mais com restrição de RPOs (a quantidade de dados que a empresa toleraria perder). Além disso, não protegem contra ameaças internas, comprometimento de credenciais de storage ou de adms de backup.

Um novo xerife na cidade

Mesmo com snapshots imutáveis e air gaps, ainda assim a velocidade de restauração de dados é limitada. Se uma grande empresa ficar inativa por pelo menos uma hora, isso pode custar milhões e causar danos irreparáveis em relação a confiança do cliente.

Além disso, se recuperar de um ransomware não é simples e geralmente requer a restauração de todos os arquivos ou vários bancos de dados. O processo para restaurar apenas um banco de dados pode levar muitas horas ou até dias. Ou seja, se for necessário restaurar 50 ou 100 bancos de dados, dá para ter uma ideia da importância da velocidade da recuperação após um ataque.

Ao buscar por fornecedores de armazenamento e de backup, é fundamental que as empresas estabeleçam SLAs e escolham uma solução capaz de restaurar dados a uma velocidade de centenas de terabytes por hora.

Resumindo, as empresas precisam de uma estratégia de proteção que combine medidas preventivas adequadas, snapshots imutáveis dos dados e de uma solução de restauração rápida para garantir tempo mínimo de inatividade. Caso contrário, elas ficam expostas aos riscos de grande impacto financeiro, organizacional e de reputação, e todo o esforço investido para proteger os dados se torna inútil.

Independentemente da plataforma ou tecnologia, é fundamental garantir a velocidade de restauração dos dados para que a empresa não fique esperando enquanto o mercado segue adiante. É a única maneira de manter os cowboys fora da rede e evitar que os dados sejam sequestrados.

* Paulo de Godoy é country manager da Pure Storage no Brasil