Como estar mais bem preparado para uma nova onda de ransomware?

O ransomware é, de todos os tipos de malware existentes, o que teve a maior cobertura da mídia nos últimos anos devido ao fato de que várias empresas e governos de todos os tamanhos, em todo o mundo, foram suas vítimas. Em diversas ocasiões, organizações criminosas conseguiram impactar de forma bastante negativa as operações de seus alvos, como nos recentes casos ocorridos na Argentina, Chile ou México, para citar apenas alguns países da da América Latina.

Softwares maliciosos ou vírus de computador existem há muitos anos, este problema não é algo novo, mas o que é ransomware? Ransomware é um tipo de software malicioso que visa apropriar-se das informações que residem no computador da vítima, solicitando o pagamento de um resgate em troca da sua disponibilização. A técnica usada pelo ransomware é criptografar as informações no computador da vítima, tornando-as inacessíveis. Após o pagamento do resgate, que normalmente é em ativos criptográficos, a vítima recebe a chave para quebrar o algoritimo de criptografia das informações.

Inicialmente, os cibercriminosos visavam o público em geral, mas passaram a atacar empresas e agências governamentais em busca de maior lucratividade com suas atividades criminosas. E agora, além de sequestrar as informações, eles também realizam extorsões com a ameaça de divulgá-las publicamente.

Quem está por trás dos ataques de ransomware? São organizações criminosas, inclusive algumas com afiliações de pessoas de vários países, que possuem recursos para financiar suas operações e são muito bem capacitadas. Estima-se que até 2021 os custos com danos de ransomware em escala global serão de US$ 20 bilhões, um aumento de 5.700% em relação a 2015 (fonte: Cybersecurityventures).

A escolha do alvo de um ataque não é aleatória, é um processo com inteligência prévia. Existem inclusive criminosos que prestam serviços de ransomware, fornecendo conhecimento, ferramentas, infraestrutura e outros componentes necessários para realizar essa modalidade de ataque em larga escala, em modo de campanha.

Como um ataque de ransomware é realizado?

Tecnicamente, um ataque tem diferentes fases, cada uma com uma finalidade específica:

• Infecção: os criminosos tentarão enganar um funcionário da organização para que execute um programa malicioso de alguma forma, sendo um e-mail conhecido como phishing a forma mais comum, ou tentarão explorar uma vulnerabilidade conhecida e não corrigida para executar esse malware. Existe também a possibilidade de participação deliberada de um funcionário da organização vitimada.
• Movimento lateral: uma vez que um dispositivo da organização é controlado, os criminosos espalham o malware para o maior número de possível de computadores. Essa segunda fase é chamada de “movimento lateral” no jargão da cibersegurança. Isso pode levar longos períodos de tempo, até vários meses. Os criminosos trabalham furtivamente, usando técnicas de evasão, para passar despercebidos. Durante esta fase, eles procurarão violar os servidores de autenticação para criar usuários com privilégios administrativos, instalar maciçamente software para controlar os servidores de gerenciamento de atualizações e destruir os mecanismos de backup para que a informação sequestrada não possa ser recuperada. A conclusão desta segunda fase dependerá de quando os criminosos decidirem que podem causar danos suficientes à vítima para induzi-la a pagar um resgate. Paralelamente, os cibercriminosos estarão roubando o máximo de informações possível para usá-las de forma extorsiva ou para vendê-las a outros criminosos.
• Criptografia de dados: nesta fase é quando o software malicioso previamente instalado é instruído a criptografar as informações, usando uma chave que, até então, apenas os invasores conhecem. Ele é executado muito rapidamente e é muito difícil de mitigá-lo neste ponto. Então a vítima será notificada e o resgate exigido. O seguinte passo é muito semelhante à operação de um sequestro extorsivo convencional, os criminosos abrem canais de comunicação e negociação com a intenção de obter o pagamento em troca da entrega da chave que vai quebrar a criptografia.

Não basta prevenir, é preciso saber detectar e reagir

A segurança é um proceso e não uma ação isolada, por isso é preciso enfrentar o problema do ransomware com determinação e investimento. É preciso investir tanto na capacidade de prevenir quanto na capacidade de detectar e reagir. É aconselhável privilegiar uma visão central e unificada de toda a superfície de ataque. Incorporar a capacidade de análise e reação em velocidade digital, auxiliada por inteligência artificial para que haja detecção precoce e resposta automatizada, torna-se fundamental devido ao volume de informações.

Algumas recomendações sobre por onde começar:

• Realize treinamentos para aumentar a conscientização sobre esse problema e tenha uma força de trabalho cibernética em sua empresa ou órgão público. Uma prática comum é a realização de campanhas de teste de phishing, buscando identificar os funcionários que são enganados e assim aprofundar o treinamento dessas pessoas.
• Mantenha a higiene do dispositivo digital instalando as atualizações de segurança fornecidas pelo fabricante o mais rápido possível para reduzir a lacuna de exposição.
• Implante mecanismos de zero trust na rede por meio da segmentação, fortalecendo a autenticação e o gerenciamento de identidade, implementando firewalls de última geração com políticas de privilégios mínimos e analisando eventos de segurança em busca de indicadores de comprometimento.
• Implemente soluções de detecção e resposta. A prevenção baseada em assinaturas que os antivírus atualmente possuem para dispositivos não é suficiente e por isso é necessário adicionar um software de detecção e resposta, EDR por sua sigla em inglês, que tem como foco a pós-execução.

À medida que as redes se tornam mais complexas, o mesmo ocorre com sua defesa. Soluções que, além de previnir, detectam e respondem de forma integrada e automatizada a ameaças podem aliviar a carga da equipe de TI e ajudar a fechar as portas para o ransomware.