Ransomware é um tipo de ataque cibernético no qual o malware se infiltra em um sistema de computador e criptografa os dados ou ganha o controle do computador. Os hackers, então, exigem que as vítimas paguem um resgate para recuperar o controle. Tanto os PCs quanto os computadores de uso empresarial são vulneráveis ao ransomware.
No entanto, as empresas se tornaram o alvo principal nos últimos anos, graças a seus sistemas em rede, que tendem a apresentar vulnerabilidades de segurança não detectadas. Além disso, são mais suscetíveis a pagar resgates, para evitar longos períodos de inatividade – e os invasores podem conseguir valores mais altos para devolver o controle do sistema.
Como funciona o ransomware?
Para atacar um sistema com ransomware, primeiro o hacker precisa obter acesso a esse sistema. Os métodos estão bastante sofisticados, com softwares de exploração de vulnerabilidades de dia zero ou sem correção/desconhecidos.
Geralmente, tudo começa com um ataque de phishing, e-mail malicioso, anexos de e-mail comprometidos, worms de computador agressivos, exploração de vulnerabilidades, ataques direcionados ou clickjacking (a prática de inserir hiperlinks alternados em conteúdo clicável e legítimo).
Mesmo que o sistema tenha algum antivírus instalado, o ransomware é capaz de invadir sem ser detectado ou possivelmente causar danos em arquivos caso o antivírus não tenha a assinatura do malware em seus arquivos ou não esteja com a verificação em tempo real ativada. Um computador em rede permite que o ransomware acesse outras máquinas e dispositivos de armazenamento conectados.
Existem dois tipos principais de ransomware: bloqueadores de tela e criptografadores. Os criptografadores criptografam os dados do sistema e exigem uma chave para descriptografar. Os bloqueadores de tela impedem o acesso a um sistema de computador com uma tela de bloqueio.
Geralmente, em ambos, é utilizada uma tela de bloqueio para informar o usuário de que o ransomware assumiu o controle. Também consta o valor do resgate e informações detalhadas sobre como recuperar o acesso aos dados ou o controle do sistema, geralmente por meio de uma chave para descriptografar ou algum outro código. A mensagem costuma conter um aviso de que os dados serão excluídos ou tornados públicos caso o pagamento não seja recebido.
Tradicionalmente, o resgate era cobrado via giftcards, transferências eletrônicas ou serviços pré-pagos, mas hoje, os invasores preferem bitcoin ou outras criptomoedas. O problema é que pagar o resgate não garante que o usuário ou a empresa irão recuperar o controle de seus dados.
Hoje, a maioria dos ransomware exporta os dados antes de criptografar, o que leva à perda da governança de dados e à violação de políticas como HIPAA e PCI. Não há garantias de que os dados serão totalmente devolvidos pelo agente invasor e, às vezes, esses hackers podem instalar ainda mais malware no sistema após receberem o resgate e devolverem o controle dos dados para a organização.
Quem são os alvos de ransomware?
Infelizmente, o ransomware tem um amplo campo de ataque, alcançando desde PCs domésticos a sistemas de computadores em rede de grande escala em empresas multinacionais. Resumindo, qualquer dispositivo conectado à internet está em risco.
Embora o ransomware tenha afetado empresas de todos os tamanhos em todos os setores e lugares, especialistas perceberam alguns padrões. Alguns setores da indústria correm mais risco de sofrer ataques de ransomware do que outros devido ao grande volume de dados confidenciais que possuem ou à extensão dos danos que um ataque poderia causar. Os setores mais afetados são serviços bancários e financeiros, saúde, manufatura, energia e serviços públicos, agências governamentais e educação.
Os ataques de ransomware são comuns?
O ransomware está se tornando cada vez mais comum conforme os métodos de ataque evoluem e os hackers encontram soluções alternativas para as medidas de defesa. Na verdade, durante o segundo trimestre de 2021, os ataques de ransomware totalizaram 304,7 milhões (mais de 3 milhões de ataques por dia) e o FBI divulgou uma nota informando que 100 novos tipos de ransomware já estão circulando pelo mundo. Compare esses 304,7 milhões de ataques em um único período de três meses com os 304,6 milhões de ataques de ransomware registrados em todo o ano de 2020.
Veja o que outros especialistas dizem:
- Um estudo de ransomware de 2021 da IDC apontou que aproximadamente 37% das organizações globais foram vítimas de algum tipo de ataque de ransomware naquele ano.
- O Internet Crime Complaint Center do FBI relatou ter recebido mais de 2.000 reclamações de ransomware no primeiro semestre de 2021. Esse número representa um aumento de 62% ano a ano.
- Alguns dos alvos também são sistemas altamente críticos. De acordo com a Cybersecurity and Infrastructure Security Agency, ocorreram ataques recentes de ransomware contra 14 dos 16 setores críticos de infraestrutura dos EUA.
Exemplos de ransomware
- WannaCry – Um dos sistemas de ransomware mais populares atualmente. Trata-se de um worm de criptografia de computador, lançado em maio de 2017. Conhecido por vários outros nomes semelhantes (WannaCrypt, WCry e outros), esse worm visava sistemas com versões desatualizadas do Microsoft Windows. Infectou cerca de 200.000 computadores em 150 países e provavelmente causou bilhões de dólares em danos.
- CryptoLocker – Este cavalo de troia criptografador esteve ativo entre 2013 e 2014. Ele se espalhou por uma botnet maliciosa e infectou anexos de e-mail que seriam notificações de rastreamento de pacotes. Foi um dos primeiros sistemas de ransomware a exigir bitcoins como resgate.
- Petya – Parte de uma família de ransomware ativa desde 2016, o Petya corrompe o registro mestre de inicialização do computador afetado, exclui o bootloader do Windows e força uma reinicialização. Após a reinicialização do sistema, o malware criptografa dados valiosos e exige bitcoins como resgate.
- NotPetya – Usando táticas semelhantes ao Petya, este ransomware é considerado um dos ataques mais devastadores. Ele também infecta e criptografa o registro mestre de inicialização do computador e se espalha por meio de um worm, assim como o WannaCry. Alguns especialistas o chamam de limpador, pois o ransomware não consegue desfazer suas alterações no sistema, portanto, um ataque torna o sistema irrecuperável.
- Bad Rabbit – Descoberto no final de 2017, esse ransomware se espalha por meio de uma falsa atualização do Adobe Flash e criptografa as tabelas de arquivos do sistema. Esse ransomware atingiu vários alvos importantes na Ucrânia e na Rússia, incluindo o Aeroporto Internacional de Odessa e o Ministério de Infraestrutura da Ucrânia.
- Locky – Lançado em 2016, se espalhou disfarçado de e-mail sobre uma fatura não paga. Quando os usuários abriam o anexo, eles viam uma página cheia de caracteres desconexos e o link: “ativar macro caso a codificação de dados esteja incorreta”. Ao clicar nesse link, um trojan de criptografia criptografava todos os arquivos com uma extensão específica.
- REvil – Esse ransomware rouba os dados antes de criptografá-los para que, mesmo que as vítimas não paguem o resgate, os invasores ainda possam chantageá-las ameaçando liberar seus dados confidenciais.
O impacto comercial do ransomware
Um ransomware pode afetar uma empresa de várias maneiras graves. A primeira e mais óbvia é atingindo o financeiro. De acordo com a Rede de Execução de Crimes Financeiros do Tesouro dos EUA, o primeiro semestre de 2021 registrou um gasto de US$ 590 milhões relacionado a ransomware. Durante todo o ano anterior, a agência havia registrado US$ 416 milhões. Mesmo que uma empresa não pague o resgate, ela ainda pode sofrer perdas financeiras significativas devido à perda de dados e produtividade.
Além dos danos financeiros, o ransomware também pode prejudicar uma empresa afetando sua reputação caso a notícia do ataque se espalhe ou o invasor libere dados confidenciais da vítima. Os processos envolvendo ataques de ransomware podem ser caros e demorados, afastando os colaboradores de suas funções diárias. O National Health Service (NHS) do Reino Unido serve como um exemplo clássico, ao registrar mais de US$ 100 milhões em perdas com cancelamento de consultas e tempo de inatividade.
As multas específicas da indústria também podem ser catastróficas, somandos-se exponencialmente aos custos combinados de resgate e recuperação.
Como evitar um ataque por ransomware
Embora não haja uma forma de prevenir ou se defender de todos os tipos de ransomware o tempo todo, existem muitos procedimentos que uma empresa pode adotar para se proteger e eliminar as vulnerabilidades exploradas pelos hackers. Essas são algumas das recomendações:
- Implemente uma segurança de defesa em profundidade. Contar com diversas camadas para proteger seu sistema de ponta a ponta é uma política inteligente para reduzir os riscos de ransomware e outros tipos de ataques cibernéticos.
- Eduque seu pessoal sobre ransomware e como ele se espalha. Conscientize seus colaboradores sobre as diversas maneiras que hackers podem invadir um sistema, como a engenharia social e a apresentação de documentos e anexos falsos que induzem os usuários a clicar neles.
- Monitore seus sistemas e realize backups dos dados com frequência. Utilize ferramentas de monitoramento para alertar a TI sobre atividades incomuns de tráfego e acesso a dados. Além disso, manter uma cópia dos backups de seus dados, com pelo menos uma cópia externa, pode ajudar a minimizar o risco de perda de dados.
- Fique por dentro do cronograma das correções.Como o ransomware geralmente invade um sistema explorando vulnerabilidades existentes, manter-se atualizado pode ajudar a fechar esses pontos de entrada.
- Desenvolva e pratique estratégias de resposta.Planejar com antecedência pode ajudar sua empresa a responder de forma rápida e eficiente a um ataque de ransomware. Preparar-se com uma simulação de mesa também ajuda a garantir que todos na empresa saibam o que fazer caso um ataque ocorra.
- Mantenha o e-mail e a navegação na web seguros.O e-mail é uma forma comum de um ransomware entrar em sistemas. Você pode utilizar gateways de e-mail seguros que irão identificar e bloquear e-mails potencialmente perigosos e proteger contra URLs e anexos duvidosos. Da mesma forma, os gateways de web podem monitorar o tráfego online para detectar anúncios ou links suspeitos.
- Proteja os dispositivos móveis.Algumas soluções de gerenciamento de dispositivos móveis alertam os usuários sobre aplicações e mensagens potencialmente maliciosas recebidas por um dispositivo móvel.
- Limite os privilégios administrativos. Saiba quem possui acesso de administrador e certifique-se de revogar o acesso e os privilégios quando funcionários deixarem a empresa.
- Whitelist de aplicações. Essa prática pode reduzir riscos ao permitir que aplicações predefinidas sejam executadas em um dispositivo ou computador enquanto outras que não foram especificamente autorizadas são bloqueadas. Isso pode ajudar a equipe de TI a eliminar instalações de usuários não autorizados e bloquear tentativas maliciosas de executar códigos de malware.
- Adote e implemente uma estratégia e arquitetura Zero Trust.O Zero Trust oferece uma estrutura de controle com o conceito “nunca confie, sempre verifique”. Esse conceito indica que nenhum dispositivo deve ser confiável por padrão, mesmo que esteja conectado a uma rede autorizada, como uma LAN corporativa, e tenha sido verificado anteriormente.
- Faça a separação de redes de aplicações gerenciadas usando a microssegmentação.A microssegmentação tira proveito de um modelo de política de segurança no nível da aplicação, VM ou dos dados para controlar o tráfego de rede para seus workloads e a partir deles. Utilizando o que chamamos de firewall de software gerenciado, as políticas implementadas por uma solução de microssegmentação garantem que apenas o tráfego que você deseja atravesse determinadas aplicações, sem aumentar riscos à rede.
Será que eu preciso de proteção contra ransomware?
A segurança dos dados deve ser prioridade para todas as empresas, grandes ou pequenas. A segurança e a proteção contra ransomware é uma abordagem em camadas com foco nos vetores de ataque críticos para o seu negócio. Os sistemas operacionais do seu computador podem contar com recursos de segurança integrados que ajudam a reduzir o risco de um ataque de ransomware, como proteção avançada de endpoint antimalware.
No entanto, é fundamental adicionar mais camadas de proteção robusta e holística no nível de infraestrutura, redes e também de dados. Esse tipo de estratégia chama-se defesa em profundidade e garante que mesmo que um ataque de ransomware funcione, seu impacto ou extensão de danos serão bem menores.
O Zero Trust é uma estratégia líder de proteção contra ransomware. Junto com o Zero Trust Network Access (ZTNA), o Zero Trust cria pontos de verificação críticos para acesso em todas as camadas da pilha de tecnologia, não apenas no perímetro de redes confiáveis, tradicionalmente orientado por senhas e VPNs.
Embora seja importante para uma postura de segurança, um ponto único de autenticação geralmente oferece amplo acesso aos recursos de uma só vez, enquanto o Zero Trust cria vários pontos de autenticação e se alinha ao que o usuário precisa, não ao que pode acessar.
O que devo fazer após um ataque de ransomware?
Apesar de a prevenção ser a melhor forma de evitar os danos de um ataque de ransomware, planejar a resposta da sua empresa para um evento como esse ainda é fundamental. Aqui estão algumas práticas recomendadas após um ataque de ransomware.
Mantenha a calma e responda com seu plano de continuidade de negócios
Perder o acesso aos seus arquivos críticos ou lidar com a ameaça de exclusão de dados não é nada fácil, mas é fundamental manter a calma e avaliar toda a situação antes de agir. Planejar com antecedência uma resposta alinhada às operações críticas para os negócios pode ajudar a definir prioridades nesse âmbito e manter todos alinhados com o que precisa acontecer para responder ao ataque.
Entre em contato com suas equipes de resposta a incidentes
Normalmente, você deve ter uma equipe interna de resposta a incidentes ou que seja vinculada ao seguro cibernético, para ajudar a organizar e priorizar sua resposta.
Informe o Governo sobre o incidente
Nos Estados Unidos, o stopransomware.gov é um recurso utilizado para denunciar ransomware e obter o apoio das autoridades federais. Saiba mais sobre o método de resposta do seu Governo para ransomware.
Documente a mensagem do ransomware
Tire uma foto da mensagem do ransomware, isso o ajudará a registrar um boletim de ocorrência na Polícia.
Identifique os sistemas comprometidos – e isole-os
Um ransomware é capaz de infectar outros computadores e dispositivos em rede, então coloque os sistemas afetados totalmente em quarentena o mais rápido. Você pode precisar desconectar as máquinas afetadas da rede.
Desative imediatamente as tarefas automatizadas de manutenção
Desative as tarefas nos sistemas afetados, como rotação de log ou remoção de arquivos temporários, e desligue todos os dispositivos afetados. Isso impedirá que essas tarefas alterem quaisquer arquivos de dados que você possa precisar no futuro para investigação e análise.
Desconecte todos os backups de dados
Como os ransomware mais recentes tentam impedir a recuperação indo atrás de seus backups, desconecte-os da rede. Também é uma boa ideia impedir que qualquer pessoa acesse os backups até que o ransomware seja removido.
Verifique a consistência dos backups de dados
Quando os backups confiáveis estiverem desconectados, use um terminal seguro e conhecido para verificar os status e a consistência dos backups. Os ataques de ransomware têm mirado nos backups como uma forma de garantir o pagamento do resgate.
Tente descobrir qual ransomware infectou seu sistema
Se você conseguir descobrir o tipo de ransomware que atacou seu sistema, pode ser mais fácil combatê-lo. Existem serviços gratuitos e úteis para fazer essa pesquisa na internet, como o ID Ransomware e uma ferramenta online de identificação de ransomware da Emsisoft. Nesses sites, há um campo para subir uma imagem com a mensagem de resgate e uma amostra dos dados criptografados. Eles tentarão identificar de que tipo de ransomware se trata.
Use ferramentas de descriptografia para tentar evitar maiores danos
Existem muitas ferramentas online para ajudar você a descriptografar dados sequestrados – como o No More Ransom. Saber o nome do ransomware que atacou seu sistema é útil nessa hora. Pesquise pelas descriptografias mais recentes na parte inferior da lista.
Redefina suas senhas online e de conta
Após desconectar os sistemas afetados da sua rede, crie novas senhas para suas contas e aplicações online. Altere-as novamente assim que o ransomware for completamente removido.
Decida se você pagará o resgate ou não
Não é uma decisão fácil e há vantagens e desvantagens qualquer que seja sua decisão. Algo a se ter em mente, no entanto, é que você só deve pagar um resgate caso já tenha esgotado seus esforços e se tiver determinado que perder os dados é pior do que pagar.
Trabalhe com especialistas para eliminar totalmente a ameaça
Reiterando a necessidade de ter uma equipe de resposta a incidentes cibernéticos, você deve trabalhar com um especialista certificado e confiável para fazer uma análise da causa raiz, descobrir as vulnerabilidades da sua rede e quais sistemas foram afetados. A limpeza e as investigações finais também devem ser realizadas por um especialista. Os invasores podem usar todos os tipos de backdoors e entradas desconhecidas em seu sistema.
Priorize a restauração do sistema
Isso deve estar bem definido no seu plano de continuidade de negócios. Caso não esteja, identifique os dados e sistemas essenciais para as operações da sua empresa, que devem ser os primeiros a serem restaurados. Estamos falando de todos os sistemas que afetam a receita e a produtividade.
Faça uma autópsia do ataque
Compreender como ocorreu o incidente de ransomware com todos os detalhes técnicos é essencial para evitar outros ataques no futuro. Isso também ajudará a desenvolver novas iniciativas e focos de segurança.
Consulte especialistas para otimizar a segurança
Tratando-se de ransomware, um raio pode cair duas vezes no mesmo lugar. Na verdade, é bastante comum uma empresa sofrer um novo ataque. Se a vulnerabilidade que permitiu o acesso do invasor ao sistema não for identificada, ela poderá ser explorada novamente. Aproveite seus parceiros de confiança ou as sugestões de sua equipe de resposta a incidentes para melhorar as medidas de segurança em geral.
Conclusão
As estatísticas dizem que você será vítima de um ataque de ransomware. É impossível eliminar completamente esse risco, pois os ataques de ransomware evoluem a cada dia e estão cada vez mais competentes em ultrapassar as barreiras de defesa. Por isso, é fundamental desenvolver um plano de continuidade de negócios com antecedência – uma estratégia inteligente sobre as medidas a serem adotadas em caso de ataque por ransomware.
Saber como reagir e o que fazer imediatamente após um ataque pode ajudar bastante, assim como uma boa higiene geral de segurança e a preocupação diária em manter os dados protegidos e os sistemas atualizados para reduzir possíveis vulnerabilidades.
Eliminando os pontos de entrada vulneráveis em seus sistemas e desenvolvendo um plano de resposta sólido, você pode reduzir bastante as chances de sua empresa sofrer efeitos duradouros de um ataque de ransomware.