O ransomware é um software malicioso que criptografa arquivos, impedindo que os usuários acessem ou usem os sistemas de computador. Um ataque de ransomware, geralmente acompanhado de um pedido de resgate, paralisa computadores, servidores e arquivos infectados. Os ataques são comuns. O Relatório Global sobre Tendências de Ransomware de 2023, da Veeam, revelou que, nos últimos 12 meses, 85% das empresas sofreram pelo menos um ataque virtual. Enquanto 80% pagaram o resgate, apenas 75% recuperaram o acesso aos seus dados e, em média, recuperaram apenas 66% dos seus dados. Os hackers atacaram especificamente os repositórios de backup 75% das vezes.
Por outro lado, 16% das empresas atacadas recuperaram seus dados sem pagar o resgate. Essas organizações tinham backups limpos, imutáveis e confiáveis, e uma estratégia integrada de resposta ao ransomware que funcionou como deveria. A conclusão é que é possível se recuperar de um ataque de ransomware se você tiver um plano robusto para lidar com ataques de ransomware.
Componentes principais de um plano de resposta a ransomware
Como os ataques são tão comuns, saber como se recuperar rapidamente de um ataque de ransomware é essencial. Os elementos essenciais do seu plano de recuperação contra ransomware devem abranger sistemas de proteção robustos, estratégias rigorosas de prevenção, detecção e resposta a ataques, além de medidas eficazes para recuperação e restauração. Também é fundamental incluir procedimentos para notificar as autoridades competentes e as partes afetadas. Sempre realize uma análise pós-incidente para ajudar a prevenir ataques futuros.
Etapa 1: Medidas Preventivas
Você pode tomar várias medidas para prevenir e mitigar ataques de ransomware. Isso inclui educação de funcionários, avaliações de risco, fortalecimento de soluções de hardware e software, segmentação de rede e backups de dados seguros:
Instrua os funcionários: Seus funcionários são sua primeira linha de defesa contra ataques de malware, então você deve treiná-los para reconhecer ataques e educá-los sobre ameaças de ransomware e como detectar sinais de sistemas comprometidos.
Realize avaliações de risco: Utilize equipes de especialistas para realizar avaliações de risco, a fim de identificar vulnerabilidades em suas defesas contra malware e ransomware.
Endurecer as configurações de porta e endpoint: Desative as Portas de Área de Trabalho Remota (RDPs) não utilizadas e limite as RDP e outras portas de protocolo de acesso remoto a hosts confiáveis. Da mesma forma, fortaleça os endpoints adotando configurações de segurança rigorosas.
Segmente redes e imponha controles de acesso: Segmente redes usando VPNs e ferramentas físicas. Mantenha as seções da rede voltadas para o cliente isoladas das áreas da rede dedicadas à empresa. Adote o princípio de zero trust ao conceder acesso.
Implemente todas as atualizações de software e patches: Limite o risco de invasão implementando meticulosamente atualizações e patches de segurança.
Adote políticas de backup seguro e redundância de dados: Planeje cuidadosamente sua estratégia de backup, pois isso representa sua última linha de defesa. Faça backup com frequência, garantindo que você tenha cópias imutáveis que não possam ser alteradas. Mantenha pelo menos um conjunto de backups totalmente offline. Verifique a integridade do backup regularmente.
Etapa 2: Detecção e resposta
É crucial reagir imediatamente a qualquer incidente de ransomware. Com as ferramentas de monitoramento adequadas, muitas vezes é possível interromper um ataque enquanto ele está em andamento. Para fazer isso, você deve ter cobertura 24 horas por dia, 7 dias por semana e ferramentas on-line de detecção de ransomware. Dessa forma, você mitiga os danos e pode limpar seus sistemas mais rapidamente, da seguinte forma:
Determine os sistemas afetados: Estabeleça quais sistemas são afetados e isole-os imediatamente do resto da rede. Se o ataque tiver afetado vários sistemas e não for possível verificar inicialmente sua extensão, coloque a rede offline. Se você não puder facilmente colocar os sistemas offline, limite o escopo da infecção desconectando os cabos ethernet e desativando o Wi-Fi.
Desligue o equipamento: Se não for possível desconectar dispositivos da rede, desligue o equipamento afetado. Observe que esta etapa pode remover evidências mantidas na memória volátil.
Triagem de sistemas afetados: Identificar sistemas que são críticos para a organização e listá-los em ordem de importância em termos de prioridades da organização.
Examinar logs: Revise os registros do sistema para identificar precursores, como malware dropper, ataques anteriores e redes comprometidas.
Determine o que aconteceu: Estabeleça a sequência de eventos que levaram ao ataque e como o agente invasor conseguiu penetrar em sua rede.
Encontre a ameaça: Identifique o ransomware, sua variante e qualquer outro malware no sistema.
Etapa 3: Comunicação e denúncia
Denuncie o incidente e comunique de forma transparente o que aconteceu com as partes afetadas. Comunicações rápidas ajudarão a mitigar consequências de longo prazo, como perda de credibilidade e danos punitivos. As ações a serem tomadas incluem:
Comunique-se internamente: Informar imediatamente todos os funcionários e funções afetados e notificá-los sobre as medidas tomadas para conter o incidente. Emitir atualizações regulares.
Notificar as autoridades competentes: Denuncie o incidente às autoridades policiais locais ou nacionais, conforme exigido pelas leis ou regulamentos locais. Certifique-se de cumprir todas as obrigações legais relativas a regulamentos específicos de privacidade e proteção de dados.
Comunique-se externamente: Notificar clientes e parceiros de negócios sobre o incidente e divulgar informações apropriadas sobre a extensão dos danos. Observe que é comum que os criminosos ameacem divulgar informações confidenciais para coagir as vítimas a pagar o resgate.
Seja transparente: Embora seja natural que as empresas queiram esconder informações prejudiciais, notícias de ataques cibernéticos inevitavelmente saem. A transparência minimiza os danos à reputação, ajuda os investigadores e oferece às partes afetadas a oportunidade de tomar medidas para proteger dados confidenciais.
Etapa 4: Estratégias de Contenção
Antes de tomar medidas para erradicar o ransomware do seu sistema, capture imagens do sistema e conteúdo volátil da memória de todos os dispositivos infectados. Essas informações são úteis durante investigações forenses para determinar o que aconteceu e como seus sistemas foram comprometidos. É vital preservar informações voláteis armazenadas na memória do sistema, logs de segurança e buffers de log do firewall.
Consulte as autoridades policiais federais, o Multi-State Information Sharing and Analysis Center (MS-ISAC) e seu fornecedor de segurança para identificar se os pesquisadores desenvolveram ferramentas de descriptografia ou identificaram falhas de criptografia que você pode usar para descriptografar seus dados. Esses recursos também podem fornecer informações adicionais sobre as etapas para identificar os sistemas afetados e como desativar os binários do ransomware. Outras etapas incluem:
Identificação dos sistemas envolvidos
Desativação de VPN, endpoints baseados na nuvem e endpoints voltados para o público
Desativando a criptografia de dados do lado do servidor
Identificação de mecanismos de persistência internos e externos
Etapa 5: Estratégias de erradicação
O principal objetivo da sua estratégia de erradicação é a remoção de todos os vestígios de ransomware e malware dos seus sistemas (distinto de dados). Embora às vezes seja possível higienizar seus sistemas, geralmente é mais simples e muito mais seguro limpá-los e reconstruí-los do zero usando modelos e imagens limpas. As etapas incluem:
Limpar ou higienizar todos os sistemas infectados
Reconstruir sistemas corporativos, começando com sistemas críticos
Redefinir todas as senhas
Abordar e bloquear vulnerabilidades, sites e malware identificados
Emita uma declaração da autoridade de TI designada quando tiver erradicado todos os vestígios do ransomware e recriado os sistemas, para confirmar que o incidente de ransomware terminou
Etapa 6: Recuperação e restauração
A essa altura, você já pode restaurar seus dados e voltar ao trabalho. É também quando vai se beneficiar da previsão que levou você a usar soluções inovadoras para se recuperar rapidamente de ataques de ransomware. A Veeam oferece várias soluções, incluindo uma réplica de backup para criar uma máquina virtual que você pode colocar em funcionamento rapidamente. As etapas na recuperação e restauração incluem:
Use backups seguros para restaurar sistemas
Garanta que seus backups estejam limpos para não reinfectar seus sistemas durante a recuperação
Implemente as lições aprendidas com o ataque para fortalecer as medidas de segurança
Implante soluções contínuas de monitoramento de ransomware
Faça uma avaliação pós-incidente
Melhores práticas de resposta a incidentes de ransomware
A incidência de ataques de ransomware é tal que você deve considerá-los na mesma categoria de outros planos de geranciamento de continuidade de negócios. Isso inclui estratégias para lidar com grandes incidentes, desastres naturais e recuperação de desastres.
O ponto de partida para um plano de resposta a incidentes de ransomware é um plano de recuperação minuciosamente pesquisado e documentado. Normalmente, esse plano inclui todas as partes interessadas, uma declaração clara dos objetivos de recuperação e estratégias de comunicação. O plano identifica as partes responsáveis e define claramente as ações a serem tomadas quando um ataque de ransomware atinge você.
Os pontos a considerar incluem:
Equipe de resposta: Identificar todos os membros da equipe de resposta, suas responsabilidades e funções. Nomear um líder designado responsável pela coordenação das atividades.
Inventário: Compile uma lista completa de todos os ativos de hardware e software físicos e de nuvem, juntamente com diagramas de como eles se interconectam, incluindo recursos especiais como VPNs, nuvens privadas virtuais, WANs e APIs.
Funções críticas: Liste e priorize funções críticas de negócios, aplicações, conjuntos de dados e backups.
Lista de contatos de emergência: Inclua todos os funcionários, provedores de serviços, fornecedores e clientes que possam ser afetados por um incidente de ransomware.
Formação: Treine os membros da equipe em suas funções e responsabilidades e simule um incidente com um Kit de Prevenção de Ransomware para garantir que cada pessoa conheça e esteja confortável com a respectiva função.
Plano de ação contra ransomware: Prepare um plano de ação detalhado de resposta a ransomware.
Lições aprendidas: Documente as lições aprendidas durante simulações de treinamento e ataques reais.
Formalizar e adotar essas melhores práticas de proteção contra ransomware ajudará sua empresa a responder de forma rápida e eficaz quando houver um ataque, garantindo que você tenha backups limpos para restaurar e reconectar os serviços.
Comece a usar a Veeam
Embora seja possível reconstruir infraestruturas de TI, uma empresa não sobreviverá a um ataque de ransomware se não tiver acesso a dados íntegros e seguros. A solução de backup online da Veeam resolve esse problema. A Veeam oferece uma solução única que dá a você controle total sobre sua recuperação, com imutabilidade multicamadas, monitoramento abrangente e automação. A Veeam trabalha com soluções comuns baseadas na nuvem, além de soluções locais para Windows, Linux e Mac.
Ligue para o nosso departamento de vendas para saber mais sobre nossas soluções de recuperação de dados contra ransomware ou faça o download do nosso white paper dedicado Construindo uma estratégia de recuperação de dados com resiliência cibernética para ver mais dicas sobre como alcançar a resiliência cibernética.