Como prevenir a evolução de ataques de ransomware

As tendências de ataque de ransomware continuam evoluindo e as iterações atuais não são exceção. Durante o ano passado, atores mal-intencionados atacaram organizações de saúde, ensaios clínicos, escolas e empresas de transporte.

Considerando o impacto que esses ataques modernos podem ter nas organizações em todos os lugares, não importa o setor, os profissionais de segurança devem estar sempre prontos para proteger seus sistemas, redes e software de novas maneiras. E de acordo com um recente Relatório de cenário de ameaças global do FortiGuard Labs, o ransomware continua sendo uma ameaça prolífica que aumentou em 2020 e se tornou ainda mais prejudicial. Ter um software de segurança de endpoints e as soluções de proteção de dispositivos em vigor permitirão que sua organização proteja todos os usuários e dispositivos dentro e fora da rede com resposta avançada.

O que é ransomware?

Ransomware é um tipo de malware, geralmente distribuído por meio de ataques de phishing, downloads drive-by, trojans e ataques engenharia social. Ele infecta secretamente os dispositivos em sua rede, permitindo que um operador acesse dados confidenciais e/ou bloqueie dispositivos na rede. 

Depois que o invasor tiver reunido o máximo possível de dados importantes, ele irá criptografar os dados e torná-los inacessíveis até que o resgate seja pago. Ele pode ameaçar corromper, excluir ou vazar dados confidenciais se o resgate não for pago, resultando em perdas comerciais significativas. Por esse motivo, o ransomware se tornou uma das ameaças de segurança modernas mais urgentes.

Quais vulnerabilidades de segurança os ataques de ransomware exploram?

O ransomware como metodologia de ataque tem o potencial de causar danos graves. Ataques avançados levam segundos para comprometer endpoints e ataques de ransomware levam segundos para causar danos aos seus sistemas e infraestrutura, tornando fundamental garantir que sua organização esteja preparada. Atores maliciosos podem explorar as seguintes vulnerabilidades para atacar sua organização:

• Software ou hardware legado
• Dispositivos modernos e software com vulnerabilidades não corrigidas
• Firewalls configurados incorretamente
• Acesso à rede irrestrito
• Planos de contingência insatisfatórios, especialmente aqueles com práticas de backup não avançadas

À medida que os ataques crescem em sofisticação, o impacto vai além de apenas perdas financeiras e da falta de produtividade frequentemente associada à queda de sistemas. Em vez disso, os pesquisadores de ameaças estão cada vez mais vendo publicações on-line de versões criptografadas de dados — não apenas retidas para resgate — junto com a ameaça de que, se o resgate não for pago, todos os dados serão liberados ao público ou vendidos a um comprador. Como resultado, as organizações começaram a aparecer no Darknet com um modelo de negócio centrado na negociação de resgates. E embora sistemas como este possam parecer uma solução fácil, eles podem, na verdade, ter efeitos negativos de longo prazo, incluindo a normalização do comportamento criminoso. 

Além disso, como há convergência dos sistemas de TI e de tecnologia operacional (TO), as tendências de ataque de ransomware começaram a visar novos tipos de dados e tecnologia. Dispositivos de campo e sensores se tornaram novos alvos, resultando em atores mal-intencionados mudando seu foco de redes corporativas para a borda de TO. Por sua vez, redes de energia, infraestruturas de gerenciamento de transporte, sistemas médicos e outros recursos críticos estão sendo ameaçados mais do que nunca. E essa mudança afeta mais do que informações confidenciais. Na borda de TO, esses dispositivos de Internet das coisas industrial (IIoT) também são responsáveis pela segurança física das pessoas, demonstrando a gravidade dos ataques a essas redes. 

Como prevenir ataques de ransomware e proteger seus dados

Os invasores sabem que os usuários finais são ativos de alto valor e altamente visados. O ransomware usufrui dos ataques de engenharia social, aproveitando-se do medo como uma forma de executar códigos maliciosos em dispositivos. Com isso em mente, a higiene cibernética deve começar como uma conversa no nível da diretoria. 

Uma abordagem de cima para baixo para criar uma estratégia sólida de mitigação de ransomware inclui: 

• Fornecer continuamente aos funcionários atualizações sobre novas metodologias de ataque de engenharia social para que saibam o que procurar.
• Estabelecer uma estratégia de acesso zero trust (ZTA) que inclui segmentação e microssegmentação.
• Fazer backup dos dados regularmente, armazenando-os offline e fora da rede para garantir uma recuperação rápida.
• Criptografar todos os dados dentro da rede para evitar exposição.
• A prática regular garante que todas as partes responsáveis saibam o que fazer em caso de ataque, reduzindo assim o tempo de inatividade. 
• Implementar uma postura de segurança forte que inclui segurança de endpoints baseada em comportamento para detectar e neutralizar ameaças potenciais em tempo real, mesmo em hosts já infectados.
• Patch, Patch, Patch. Patches de emergência fora de banda acontecerão. As organizações precisam ter um plano em vigor por meio de processos de controle de alterações para garantir que possam responder a patches de emergência.
• Levar a sério o treinamento de segurança cibernética e a conscientização de colaboradores, familiares e alunos. Hoje, a residência é a nova filial e um vetor para a rede central.

Além disso, ao desenvolver e compartilhar manuais de defesa, que oferecem uma visão detalhada das “impressões digitais” dos cibercriminosos, as organizações podem aprimorar suas atividades de resposta. Detalhar a forma como os grupos de cibercriminosos conhecidos trabalham, apenas permite que os defensores se tornem mais fortes e estratégicos. Os manuais de Blue Team (segurança defensiva) fornecem aos defensores estratégias de vitória contra ataques cibernéticos presentes e futuros. E quando emparelhados com a Inteligência artificial (IA), as equipes de segurança podem aproveitar os manuais para construir uma estrutura de proteção proativa avançada, permitindo que respondam a novas ameaças em tempo real. A IA também oferece as ferramentas necessárias para desenvolver suas metodologias na mesma velocidade que os criminosos cibernéticos, para que possam criar respostas mais refinadas e granulares no início do ciclo de ataque. 

Priorização do trabalho colaborativo para ficar à frente das tendências de ataques de ransomware

Outro fator importante para desenvolver uma postura de segurança forte é trabalhar com todas as partes interessadas internas e externas, incluindo as autoridades de fiscalização. Mais dados garantem respostas mais eficazes. Por causa disso, os profissionais de segurança cibernética devem fazer parceria abertamente com as autoridades policiais globais ou regionais, como o US-CERT. Compartilhar inteligência com essas autoridades e outras organizações de segurança global é a única maneira de derrubar efetivamente os grupos de crimes cibernéticos. Derrotar simplesmente um único incidente de ransomware em uma organização não reduz o impacto geral dentro de um setor ou grupo de pares.

Sabe-se que os cibercriminosos têm como alvo várias empresas, verticais, sistemas, redes e software. Para tornar os ataques mais difíceis e com uso intensivo de recursos para os cibercriminosos, as entidades públicas e privadas devem colaborar compartilhando informações sobre ameaças e dados sobre ataques. As parcerias público-privadas também ajudam as vítimas a recuperar seus dados criptografados, reduzindo, em última análise, os riscos e custos associados ao ataque. 

Quando entidades públicas e privadas trabalham juntas, elas também expandem a visibilidade. Por exemplo, um banco pode sofrer um ataque de ransomware, mas não consegue compartilhar informações de maneira responsável com as autoridades. Então, os departamentos de polícia podem acabar trabalhando com uma empresa de cartão de crédito também afetada pelo mesmo grupo de crime cibernético e sem informações importantes para entender o escopo completo da organização criminosa. 

O crime cibernético não tem fronteiras. Threat Intelligence acionável com visibilidade global ajuda os setores público e privado a deixar de adotar uma abordagem reativa para se tornar proativa. 

Reação ao ransomware: pagar ou não pagar?

Quando afetadas por um ataque de ransomware, algumas organizações podem achar mais fácil pagar do que fazer sua equipe de TI passar dias tentando recuperar dados, enquanto as operações de negócios permanecem paradas. Mas nem sempre é assim. Para lembrar às organizações esse fato, o Departamento do Tesouro dos Estados Unidos alertou que facilitar o pagamento de resgates em nome das vítimas pode resultar em consequências jurídicas, pois cria um péssimo precedente para outros cibercriminosos.

Também deve ser observado que pagar um resgate não garante que a ameaça desapareça instantaneamente. Em alguns casos, as informações que as organizações trabalharam tanto para proteger já foram expostas e podem causar problemas adicionais de longo prazo.

Conhecimento é igual a poder e proteção contra tendências de ataque de ransomware

Os ataques de ransomware modernos colocam dados e vidas em risco, o que significa que as organizações devem ter uma abordagem mais proativa com detecção e proteção de endpoints em tempo real e soluções de resposta automatizada para proteger seus ambientes. Do ponto de vista técnico, higiene cibernética, políticas de zero trust, segmentação de rede e criptografia oferecem proteções. Além disso, essas estratégias funcionam melhor quando as organizações utilizam ferramentas de visibilidade de ativos para identificar seus ativos críticos — sabendo onde os dados residem, elas podem criar uma estratégia de proteção proativa. 

Por fim, o elemento humano continua tão importante quanto a tecnologia. Construir relacionamentos com os departamentos policiais para compartilhar informações e threat intelligence é a peça final do quebra-cabeça do ransomware. A única maneira de derrotar os cibercriminosos é trabalhar em conjunto contra eles.