Ransomware: situação ainda mais crítica. Como aprimorar a defesa contra essa ameaça

É notório e impactante o prejuízo que as pessoas e empresas vêm sofrendo por conta dos ciberataques que utilizam uma classe de malware denominada de ransomware.

Os Malwares tradicionais podiam ser combatidos com ferramentas de antimalware convencionais, após a geração de sua vacina. Infelizmente isso não é mais suficiente para os ransomwares pelo seu grande potencial de impacto.

Pragas essas que além de evoluírem nas técnicas de infecção, tomaram uma proporção de crescimento devastadora, prejudicando muitas pessoas e organizações como empresas e até governos.

Isso tem acontecido principalmente porque os cibercriminosos enxergaram a forma lucrativa, escalável e de difícil rastreio.

Estamos enfrentando novos problemas

O ransomware padrão criptografa os dados e pede um resgate para entrega da chave que permitiria à vítima decriptar seus próprios dados.

Infelizmente o malware evoluiu e agora não apenas criptografa os dados, ele realiza um processo de vazamento por alguns chamado de exfiltração, ou seja, ele exporta a informação, podendo atingir informação confidencial e estratégica, bases de dados, no que podem se incluir dados pessoais, permitindo, assim, que os agentes realizem uma segunda ameaça com extorsão em troca da não exposição dos dados. Esse tipo de prática passou a ser conhecida como extortionware.

Os casos são dos mais variados, incluindo a dupla extorsão que pode ocorrer quando: além da organização que sofreu o ataque ser ameaçada de ter os dados divulgados, o terceiro afetado pelo ataque – como, por exemplo, uma pessoa física cujos dados foram furtados – também sofre essa mesma abordagem sob pena de ter os dados tornados públicos.

Quais são os vetores de entrada?

Esses malwares podem entrar por alguma fragilidade no dispositivo afetado. As formas mais comuns são os serviços de acesso remoto vulneráveis, por exemplo, por senhas fracas ou senhas padrões.

Outra forma, e mais problemática, são as vulnerabilidades catalogadas (CVEs) que às vezes permitem uma execução remota de código (RCE); havendo uma janela de exposição grande até a correção com a atualização da vulnerabilidade.

Portanto, logo que uma vulnerabilidade RCE é identificada, atacantes se encarregam de produzir um malware que explora essa vulnerabilidade e geralmente num formato que possa se espalhar de forma automática. O termo utilizado para essa situação, ou seja, para essa possibilidade de uma vulnerabilidade ser usada em um malware e se espalhar, é conhecido como wormable.

Atualmente enfrentamos um novo problema, não bastassem esses vetores acima citados, os atacantes estão agora aliciando funcionários de empresas para ajudarem a executar esses malwares na rede da organização em troca de ganhos financeiros, por vezes, parte do lucro obtido com o ataque.

O grande problema por trás de um incidente

Além da perda financeira com o alto custo de recuperação de incidentes, ou com as despesas provindas de multas e honorários legais, está a perda reputacional, que faz o nível de confiança de clientes, parceiros e investidores cair, seja por afetar a operação, seja apenas pela simples divulgação do fato ocorrido, impactando diretamente na continuidade dos negócios da empresa.

Lembre-se também que a vigência da LGPD também torna mais graves os incidentes de ransomware caso a organização afetada trate dados pessoais, o que atinge essencialmente qualquer operação, sendo certo que, dependendo do caso, a autoridade tem o poder de obrigar a publicização da ocorrência.

Para se proteger dessas ameaças aqui estão algumas recomendações:

1. Definição dos Ativos Críticos

Defina quais são os ativos críticos e de valor ao seu negócio: isso irá ajudar a priorizar os investimentos e ajudará na aplicação das melhores ferramentas e procedimentos de proteção sobre esses ativos.

2. Antimalware de próxima geração

Para proteção contra os malwares modernos, são necessárias medidas além de políticas e treinamentos de pessoal, mas ferramentas adequadas que aumentem a possibilidade de detecção e reação a esses incidentes.

Recomenda-se que a solução escolhida possua uma abordagem específica de proteção contra malwares modernos incluindo a antiransomware, de preferência que utilize inteligência artificial (IA) como base de proteção, parando o Ransomware pelo comportamento e não pela assinatura.

As ferramentas antimalware modernas, são estruturadas para responder de forma automática a um ataque ao endpoint, evitando maiores danos à rede e à operação da organização. Dentre as siglas utilizadas para essas ferramentas atualmente estão os chamados EDR - Endpoint Detection and Response ou XDR - Extended Detection and Response.

3. Backup de próxima geração

Como parte da estrutura de defesa da informação, uma solução de backup robusta deve ter proteção contra Ransomware. É importante verificar os recursos da ferramenta de backup escolhida, se atendem à finalidade do negócio e se a ferramenta atualmente possui tal proteção.

Além disso, é imprescindível criar e manter uma política de backup que reflita a realidade da organização, e que os backups sejam testados regularmente.

Tenha um plano de Disaster Recovery. Uma boa ferramenta de backups pode contribuir muito com esse plano de DR.

Um bom plano de backup, recomenda-se, deve seguir o padrão 3-2-1-1: 3 (três) cópias dos dados, em 2 (duas) mídias diferentes, estando 1 (uma) fora do local de serventia e 1 (uma) offline ou cópia imutável de dados.

4. Procedimentos, Planos e Políticas de Segurança

É fundamental que a organização tenha políticas de segurança aplicadas e publicadas internamente. São importantes também políticas e procedimentos complementares à PSI (Política de Segurança da Informação). Algumas fundamentais são: uso aceitável de ativos, backups, descarte e destruição de dados, classificação da informação etc.

Um plano de respostas a incidentes também é fundamental em caso de um ataque de Ransomware, de modo que a organização deverá estar preparada para responder a esse tipo de ataque.

É importante que os planos sejam revisados periodicamente e que a equipe esteja treinada acerca de quais ações deverão ser realizadas no primeiro momento do incidente.

Baikal Security: podemos ajudar!

Manter os dados de sua organização protegidos é fundamental para continuar as operações e preservar a reputação do seu negócio.

Podemos contribuir com todas as ferramentas de última geração como proteção de endpoints com XDR, backups e outras. Realizamos avaliações de segurança detalhadas, de alta qualidade e personalizadas. Auxiliamos no processo de identificação do que precisa ser protegido, na priorização de correções de lacunas e na otimização dos recursos de T.I da organização. Também contribuímos na confecção e melhoria das políticas de segurança e outras soluções fundamentais para seu negócio. Entre em contato conosco.

Autores:

Renan Cesco – Diretor Executivo da Baikal Security

Bruno Alvares – Diretor Técnico de Cibersegurança