Sequestro de dados: como as empresas podem se prevenir

Iníciosenhasegura, Tips & TricksSequestro de dados: como as empresas podem se prevenir

Sequestro de dados: como as empresas podem se prevenir

O ransomware é um tipo de malware que se tornou uma ameaça significativa para empresas, governos e indivíduos nos últimos anos, pois representa o principal vetor para uma modalidade de ataque também conhecida como sequestro de dados. A maioria das variantes atuais de ransomware criptografam arquivos no sistema ou rede infectados (crypto ransomware), embora algumas variantes sejam conhecidas por apagar arquivos ou bloquear o acesso ao sistema usando outros métodos (locker ransomware). Uma vez que o acesso ao sistema é bloqueado, o ransomware exige um resgate para desbloquear os arquivos. As variantes de ransomware quase sempre agem de maneira oportunista, infectando uma variedade de dispositivos, de computadores a smartphones.

As vítimas correm o risco de perder seus arquivos, mas também podem sofrer perdas financeiras devido ao pagamento de resgate, perda de produtividade, custos de TI, honorários legais, modificações de rede e outros.

Algumas pesquisas mostraram que as perdas de ransomware para empresas podem chegar a US$ 2.500 para cada incidente, com empresas dispostas a desembolsar mais de US$ 50.000 para descriptografar seus dados.

A ameaça está apenas crescendo, como inúmeras pesquisas e estudos demonstraram. De acordo com a Dimension Data, os ataques de ransomware em todo o mundo aumentaram 350% em 2017 em relação ao ano anterior.

Embora muitos tenham optado por não pagar o resgate (e, de fato, a maioria dos profissionais de segurança diz que o pagamento é uma má idéia), os que pagam geralmente encontram seus arquivos ainda criptografados. Afinal, depositar confiança nas boas graças dos criminosos leva muitas vezes a decepção.

A dura verdade sobre o ransomware é que saber mais sobre a ameaça não se traduz necessariamente em um impacto menor. A FedEx é um bom exemplo disso. Apesar do conhecimento da ameaça há anos, a empresa registrou uma perda de US$ 300 milhões por ransomware. A perda não foi resultado do pagamento do resgate, mas principalmente pelo custo da recuperação de desastres e interrupções do sistema.

A maior parte das infecções por ransomware começa por meio de ações iniciadas pelo usuário, como clicar em um link mal-intencionado em um e-mail ou visitar um site mal-intencionado ou comprometido.  Embora quase todas as infecções sejam oportunistas, em alguns casos muito raros os atacantes visam uma vítima específica. Isso pode ocorrer depois que os atacantes perceberem que uma entidade sensível foi infectada ou devido a tentativas específicas de infecção. O Federal Bureau of Investigation (FBI) refere-se a essas instâncias como extorsão, em vez de ransomware, já que quase sempre há um valor maior de resgate que coincide com a segmentação estratégica.

Recentemente, variantes de ransomware foram criados para incluir a exfiltração de dados, a participação em ataques distribuídos de negação de serviço (DDoS) e componentes de anti-detecção. Uma variante exclui os arquivos, independentemente de um pagamento ter sido feito ou não. Outra variante inclui a capacidade de bloquear backups baseados em nuvem quando os sistemas fazem backups contínuos em tempo real (também durante a sincronização persistente). Outras variantes são voltadas para smartphones e dispositivos da Internet das Coisas (IoT).

Um fato importante a ser considerado: O Adobe Flash é o responsável pela disseminação mais recente de Ransomwares: 8 das 10 principais vulnerabilidades foram descobertas como relacionadas ao Flash.

 

Como reduzir o risco de infecções por ransomware

Essas recomendações fornecem práticas recomendadas gerais.

  1. Protegendo redes e sistemas
  • Tenha um plano de resposta a incidentes que inclua o que fazer durante um evento de ransomware.
  • Backups são críticos. Use um sistema de backup que permita que várias instâncias dos backups sejam salvas, no caso de uma cópia dos backups incluir arquivos criptografados ou infectados. Teste rotineiramente os backups para integridade de dados e para garantir que esteja operacional.
  • Use soluções antivírus e anti-spam. Habilite varreduras regulares de sistema e rede com programas antivírus habilitados para atualizar assinaturas automaticamente. Implemente uma solução anti-spam para impedir que emails de phishing cheguem à rede. Considere adicionar um banner de aviso a todos os e-mails de fontes externas que lembrem os usuários sobre os perigos de clicar em links e abrir anexos.
  • Desativar scripts de macros. Considere o uso do software Office Viewer para abrir arquivos do Microsoft Office transmitidos por e-mail.
  • Mantenha todos os sistemas atualizados, incluindo todo o hardware, dispositivos móveis, sistemas operacionais, software e aplicativos, locais de nuvem e sistemas de gerenciamento de conteúdo (CMS), corrigidos e atualizados. Use um sistema centralizado de gerenciamento de patches, se possível. Implemente white-listing de aplicativos e diretivas de restrição de software (SRP) para impedir a execução de programas em locais comuns de ransomware, como pastas temporárias.
  • Restringir o acesso à Internet. Use um servidor proxy para acesso à Internet e considere o software de bloqueio de anúncios. Restringir o acesso a pontos comuns de entrada de ransomware, como contas de e-mail pessoais e sites de redes sociais.
  • Aplique os princípios de menor privilégio e segmentação de rede. Categorize e separe os dados com base no valor organizacional e, quando possível, implemente ambientes virtuais e a separação física e lógica de redes e dados. Aplique o princípio do menor privilégio.
  • Monitorar terceiros que tenham acesso remoto à rede da organização e / ou suas conexões com terceiros, para garantir que sejam diligentes com as práticas recomendadas de segurança cibernética.
  • Participe de programas e organizações de compartilhamento de informações de segurança cibernética.
  1. Protegendo o usuário final
  • Fornecer treinamento em engenharia social e phishing aos funcionários. Incentive-os a não abrir e-mails suspeitos, a não clicar em links ou abrir anexos contidos nesses e-mails e a ter cautela antes de visitar sites desconhecidos.
  • Lembre os usuários de fechar o navegador quando não estiverem em uso.
  • Ter um plano que garanta que a equipe saiba onde e como relatar atividades suspeitas.
  1. Respondendo a um compromisso / ataque
  • Desconecte imediatamente o sistema infectado da rede para evitar a propagação da infecção.
  • Determine os dados afetados, pois alguns dados confidenciais podem exigir relatórios adicionais e / ou medidas de mitigação.
  • Determine se um decodificador está disponível. Recursos online como No More Ransom! pode ajudar.
  • Restaurar arquivos de backups regularmente mantidos.

Dado o rápido aumento dos ataques de ransomware direcionados, a tendência é que eles continuem a evoluir para formas mais sofisticadas em um futuro próximo. Seguir as recomendações acima ajudará a diminuir o risco de uma infecção, bem como atuar de maneira mais eficaz caso ela ocorra.

2018-08-01T12:02:30+00:00

Deixe seu comentário