Os ataques de ransomware representam sérios riscos de segurança cibernética para as empresas em geral, e acontecimentos recentes em diversos setores — como o de varejo, educação, governamentais e de infraestrutura — nos mostraram como as organizações brasileiras cada vez mais se tornam alvos de ataques durante a pandemia da covid-19.
O início deste período trouxe muitas incertezas para os negócios, especialmente nos meses de março e abril de 2020. O pânico dominou a mente dos executivos, que não entendiam ainda como seriam as novas relações de trabalho e de consumo. Encontros seriam reais ou virtuais? O varejo necessitava se adequar ao drive-thru e ao delivery? Os consumidores buscariam quais produtos e serviços novos?
Logo após essa época de incertezas, entramos na fase das oportunidades. As empresas passaram a planejar uma nova adaptação dos negócios, com aceleração nos meios de trabalho, expansão de novos negócios, novas transações online, agilidade nas soluções em nuvem e, principalmente, a quebra de paradigmas na realização de seus negócios. Foi um grande avanço tecnológico e uma expansão do perímetro das empresas. Não há praticamente uma empresa que não tenha modificado a maneira de realizar a venda de seus produtos.
Em conjunto com essa transformação, ocorreu o crescimento de quem explora esses momentos de incertezas. Em um passado não muito distante, atingir o máximo possível de empresas para um ataque de ransomware foi a principal estratégia adotada. Os pagamentos de resgates ocorriam, mas não em níveis considerados ideais.
Nessa nova fase de oportunidades, está ocorrendo uma mudança significativa nos principais alvos de ataques. Empresas de médio e grande portes (entre mil e 10 mil funcionários) com capital público na bolsa de valores ou privadas com boa saúde econômica passaram a receber os ataques de ransomware com muito mais intensidade. E tudo isso devido ao fato de elas passarem a pagar muito mais pelos resgates do que os alvos anteriores.
A cada 6 empresas que pagam o resgate, apenas 1 consegue recuperar 100% dos dados, de acordo com a pesquisa O Estado do Ransomware 2021 (Sophos). Além do transtorno do ransomware, ainda ocorre a frustração de não ter-se recuperado tudo após o pagamento.
Como se prevenir:
1. Assuma que sua empresa poderá ser atacada. É melhor estar preparado do que ser pego de surpresa, adotando essa postura você começará a entender melhor o que terá de ser feito para prevenir um incidente dessa natureza em sua organização.
2. Faça backups e não os mantenha conectados diretamente à sua rede. Muitas empresas cometem o erro de realizar backups críticos e os deixam conectados nas mesmas redes que podem sofrer ataques. Faça uma segregação e teste a sua ação constantemente.
3. Tenha múltiplas camadas de proteção. Não existe proteção 100%, então esteja o mais próximo possível dela. Erros de configuração e gestão de acessos são algumas das principais causas de início dos ataques. Habilite várias proteções em sistemas, análises de vulnerabilidades e proteja-se com firewalls e IPS, utilizando tecnologias de nova geração de antivírus (endpoints) para proteger estações e servidores em sua rede e na nuvem. Não renove uma solução apenas por renovar, ela pode estar ultrapassada em termos de proteções. XP e 2003 devem ser removidos de suas redes (são outras grandes fontes de ataques e não são atualizados há anos).
4. Combine soluções anti-ransomware com análises humanas de especialistas. Unir pessoas, processos a tecnologias é uma grande tendência para a melhoria da proteção de sua solução anti-ransomware. Já existe no mercado soluções que propiciam equipes internas (SOC) a realizar diversas análises de ameaças e também foi criado um novo conceito chamado de Managed Threat Response (MTR) — Resposta Gerenciada a Ameaças, no qual especialistas em ameaças prestam um serviço de 2° nível ao SOC do cliente, agregando o conhecimento e as mais avançadas técnicas de proteção para o seu ambiente, atuando 24 horas por dia, 7 dias por semana em conjunto com sua equipe de proteção.
5. Tenha um plano de recuperação de ransomware. Simule em sua empresa como seriam os processos e os impactos de um ataque de ransomware agora. Como os executivos da empresa seriam notificados? Como se comportariam? Quais são os sistemas críticos que têm maior necessidade de atuação? Quais são os impactos da perda de um backup? Como tratar os impactos psicológicos nas equipes? Como estão as ferramentas, as proteções e a atuação de terceiros? Simule o pânico e verifique as lacunas do seu plano de ação antes que o ataque ocorra.
Entretanto, caso sua empresa seja vítima de um ataque mesmo assim, é importante que algumas ações sejam tomadas e que posteriormente ocorra a ampliação da proteção de sua rede. Nesses casos siga as orientações abaixo.
1. Não pague o resgate. Por mais que este tipo de extorsão impulsione as empresas a buscar o pagamento como alternativa, essa prática é prejudicial tanto pelo baixo êxito de sucesso quanto pela diminuição do estímulo por parte de quem ataca. Menos pagadores certamente atrapalhariam o objetivo dos atacantes.
2. Não culpe sua equipe de TI. A ajuda e a solidariedade em um momento de ataque são muito mais saudáveis e úteis do que "apontar o dedo" a um culpado. Um ataque pode ter complexidades de diferentes níveis e causas distintas. Corrigir e identificar falhas é muito mais importante nesse momento.
3. Elimine o hacker da rede. Somente após detectar a causa raiz e a origem de um ataque é que podemos ter a tranquilidade para que uma rede infectada esteja protegida. Achar os motivos de origem do incidente é tão importante quanto a recuperação de um ransomware. Tenha soluções que permitam uma grande visibilidade dos seus ativos, que possam gerenciar e identificar as origens e a eliminação de um hacker da rede. Um ataque pode ter ocorrido até meses antes da data que um ransomware foi identificado, e ele poderá retornar pela mesma falha inicial se não for corretamente identificado.
***
André Carneiro, colunista do TecMundo, tem cerca de 20 anos de experiência na indústria de segurança. Na Sophos, já atuou como executivo de contas de canal e engenheiro de vendas. Desde setembro de 2019, é o Country Manager da marca para o Brasil e, nessa posição, Carneiro lidera a estratégia de crescimento da Sophos no Brasil, expandindo o alcance da companhia em diferentes mercados.
Categorias