Como se precaver contra um ransomware ‘mortal’, segundo o CISO da Unisys

Aproximadamente 1,5 milhão de novos sites de phishing são criados a cada mês. E mais de 850 milhões de infecções por ransomware foram detectadas em 2018. Essas estatísticas ilustram a ameaça que o ransomware representa para os profissionais de TI e todos os tipos de organização.

Ransomware é um tipo específico de malware desenvolvido para criptografar o conteúdo do computador até que seu usuário pague para receber a chave de criptografia ou de recuperação. Isso interrompe a produtividade e afeta a receita das empresas. No entanto, profissionais de segurança podem tomar medidas importantes para minimizar o impacto dessa praga cibernética.

A primeira linha de defesa é sempre um bom ataque. Para evitar que um invasor ganhe posição nas redes, as organizações devem colocar as seguintes medidas em prática:

• Práticas recomendadas como políticas sólidas de aplicação de patches, backups regulares do sistema, autenticação multifatorial, lista de permissões para aplicativos e restrições de direitos e privilégios de administrador;
• Programas de conscientização para educar os usuários sobre phishing e outras formas de engenharia social;
• Ferramentas de segurança para filtrar spam e links, bloquear ou filtrar DNS, identificar vírus, detectar e prevenir invasões;
• Estrutura de confiança zero para identificar, autenticar e monitorar cada conexão, login e uso de recursos;
• Políticas com menos privilégios para restringir permissões para instalar e executar aplicativos.

Minimizar o impacto do ransomware é mais do que apenas defender sistemas contra-ataques. Também envolve medidas para reduzir o impacto das violações quando elas ocorrem. Isso é fundamental, pois qualquer sistema pode ser atacado por invasores que disponham de tempo e recursos suficientes.

É preciso implementar programas rigorosos de resposta a incidentes. Planejar com antecedência gera confiança nessa capacidade de reação. Para isso, as empresas devem revisar suas políticas e realizar exercícios de simulação. Devem usar benchmarkings operacionais para melhorar a capacidade de resposta antes que um incidente ocorra.

Os hackers continuam evoluindo e desenvolvendo ataques mais sofisticados. Portanto, é provável que qualquer empresa, em algum momento, seja atacada por um ransomware. Quando isso ocorrer, as quatro etapas a seguir podem minimizar os impactos e ajudar a recuperar os dados da organização, segundo Mat Newfield, CISO – Chief Information Security Officer da Unisys.

Passo 1: isolamento

Antes de fazer qualquer outra coisa, é necessário ter certeza de que os dispositivos infectados foram removidos da rede. Se usarem uma conexão física, é preciso desconectá-los. Se estiverem em uma rede sem fio, vale desligar o hub/roteador. Além disso, vale desconectar também qualquer sistema de armazenamento ligado diretamente para tentar proteger os dados nesses equipamentos. O objetivo é impedir que a infecção se espalhe.

Passo 2: identificação

Esse passo é frequentemente esquecido. Com apenas alguns minutos para descobrir o que aconteceu, as empresas podem levantar informações importantes, tais como qual variante do ransomware foi responsável pela infecção, quais arquivos esse tipo de ransomware costuma criptografar e quais são as opções de descriptografia. As empresas também podem aprender como derrotar o ransomware sem pagar ou restaurar o(s) sistema(s) do zero.

Passo 3: relatório

Esse é outro passo que muitos profissionais de segurança ignoram, por conta de constrangimentos ou restrições de tempo. No entanto, ao relatar o ataque de ransomware, as empresas podem ajudar outras organizações a evitar situações semelhantes. Além disso, fornecem às agências policiais uma melhor compreensão do invasor. Existem várias maneiras de denunciar um ataque de ransomware. Uma delas é entrar em contato com um escritório do FBI nos Estados Unidos ou registrar uma denúncia no site do Centro do FBI para Reclamações sobre Crimes na Internet . No Brasil, a organização sem fins lucrativos SaferNet, coordenadora da Central Nacional de Denúncias de Crimes Cibernéticos e as principais capitais brasileiras já contam com delegacias específicas para denunciar criminosos que agem pela internet.

Passo 4: recuperação

Em geral, existem três opções para se recuperar de um ataque ransomware: a) Pagar o resgate: isso não é recomendado porque não há garantias de que a organização recuperará os dados após o pagamento. Em vez disso, o invasor pode solicitar ainda mais dinheiro antes de descriptografar os dados.

b) Remover o ransomware: dependendo do tipo de ransomware envolvido, a empresa pode removê-lo sem que seja necessária uma reconstrução completa. Esse processo, no entanto, pode consumir muito tempo e, portanto, não é a opção preferida.

c) Limpar e reconstruir: o método mais fácil e seguro de recuperação é limpar os sistemas infectados e reconstruí-los a partir de um bom backup. Uma vez reconstruídas, as organizações precisam garantir que não permanecerá nenhum vestígio do ransomware.

O trabalho, de fato, começará depois de reconstruído o ambiente. A organização deverá fazer uma revisão completa para entender exatamente como a infecção começou e determinar quais etapas devem ser tomadas para reduzir outra possível invasão. É claro que não é possível evitar todos os ataques de ransomware. No entanto, é possível garantir que, em caso de invasão, o estrago não se espalhe, não afete os negócios nem se torne digno de se tornar uma manchete.

Ao afastar a maioria dos ataques e lidar rapidamente com os maus atores que entram pela porta – com a ajuda de isolamento dinâmico, microssegmentação e outras tecnologias modernas de segurança cibernética -, as organizações serão capazes de manter seus negócios nos trilhos.