O ransomware é um problema com o qual muitas empresas se deparam. Segundo o Relatório sobre Tendências de Ransomware 2023, 85% das empresas participantes indicaram ter sido alvo de pelo menos um ataque cibernético nos últimos 12 meses. Das empresas impactadas, apenas 66% conseguiram recuperar seus dados após o ataque. Embora o ransomware seja, sem dúvida, uma ameaça significativa, o risco pode ser consideravelmente diminuído com a implementação de uma estratégia de defesa eficaz.
As mesmas estatísticas mostram que 16% dessas empresas não pagaram resgate. A recuperação foi possível graças à presença de sistemas de prevenção contra ransomware bem estruturados.
A prevenção contra ransomware é uma série de medidas proativas que você pode tomar para reduzir o risco de ataques. Para tornar mais difícil a realização de ataques cibernéticos, é essencial garantir a implementação de políticas sólidas de Identity and Access Management (IAM). Para complementar seu IAM, você deve ter ferramentas de segurança fortes, como SIEM e XDR, para ajudar suas equipes de segurança a detectar, monitorar, investigar e responder a ameaças. Por fim, certifique-se de ter um conjunto de backups à prova de falhas que permitam uma recuperação rápida e limpa, caso o ataque seja bem-sucedido. Estas medidas podem incluir:
Controles robustos de identidade e acesso
Segurança de e-mail
Segmentação de rede
Atualizações regulares de software
Treinamento contínuo dos funcionários
Segurança do navegador da Web
Endpoints fortalecidos
O segundo objetivo é garantir que você tenha acesso a backups e snapshots seguros e imutáveis, para facilitar a recuperação de dados em caso de um ataque bem-sucedido.
Compreendendo o Ransomware: Uma rápida introdução
O ransomware é um software malicioso que criptografa as informações e dados da vítima. De acordo com o FBI, os métodos comuns que os cibercriminosos usam para obter acesso a dispositivos e aplicativos incluem:
Phishing: E-mails, mensagens de texto ou postagens em redes sociais que incluam links para sites que distribuem malware.
Ataques do tipo “drive-by”: Acessar um site comprometido que baixa malware para o dispositivo ou sistema da vítima
Explorando falhas de software: Obter acesso a sistemas por meio de vulnerabilidades de software em endpoints e servidores
Unidades removíveis infectadas: Conectar unidades removíveis, como USBs, que contêm vírus ou malware, com o objetivo de infectar dispositivos
Ataques de engenharia social: Esses ataques visam funcionários ou contratados de uma empresa, com o intuito de fazer com que a vítima revele informações sensíveis ou confidenciais, visando causar danos à organização.
Quando os criminosos virtuais obtêm acesso aos seus sistemas, eles fazem o download de um software de execução de ransomware que procura servidores de dados para criptografar. Depois de criptografados, os criminosos virtuais exigem que as vítimas paguem um resgate em troca de uma chave de decodificação. Também é comum que esses criminosos exfiltrem arquivos contendo dados confidenciais e ameacem liberar ou vender esses dados a menos que você pague o resgate.
Infelizmente, pagar o resgate nem sempre funciona. Em um em cada quatro casos, a chave de descriptografia apresenta falhas. Mesmo quando a chave funciona, em média, apenas 55% dos dados criptografados são recuperáveis.
O Papel Crucial da Prevenção contra Ransomware
Os ataques de ransomware são altamente lucrativos para os criminosos virtuais. Segundo a Financial Crimes Enforcement Network, os registros da Lei de Sigilo Bancário indicam que as perdas totais decorrentes de incidentes de ransomware em 2021 foram de cerca de US$ 1,2 bilhão. Outro dado preocupante é que, em média, as empresas levam cerca de três semanas e meia para se recuperar de um incidente de ransomware. As empresas podem sofrer perdas financeiras significativas e danos à reputação após um incidente, mas os clientes são igualmente impactados, já que suas informações de identificação pessoal (PII), como endereços, números de seguridade social, detalhes de cartão de crédito e muito mais, agora são públicas e/ou vendidas no mercado negro.
Isso destaca a importância vital de adotar medidas preventivas contra ransomware e garantir que estratégias de mitigação estejam implementadas de forma eficaz. Embora não exista uma forma infalível de evitar ataques à sua empresa, uma estratégia sólida de resiliência cibernética pode minimizar os impactos desses ataques e aumentar as chances de recuperação das informações confidenciais.
A seção a seguir mostra como evitar ataques de ransomware.
Construindo uma estratégia forte de prevenção contra ransomware
Derrotar o ransomware requer uma estratégia de múltiplas camadas. É essencial ter várias camadas de defesa, para que, caso um hacker consiga penetrar em uma camada, as demais ainda ofereçam proteção. Não há uma solução, mas sim um conjunto de estratégias abrangentes de prevenção e recuperação.
Múltiplas camadas podem impedir ataques de ransomware em vários pontos e contra diferentes tipos de ataques. Essa estratégia inclui treinamento de funcionários, fortalecimento dos sistemas contra ataques e resiliência de dados.
Autenticação e autorização fortes: Protegendo o acesso
A primeira linha de defesa é uma estratégia robusta de Identity and Access Management (IAM), que elimina o uso de senhas. As senhas são facilmente hackeadas, difíceis de lembrar e manter. Recomendamos fortemente que sua organização adote uma abordagem sem senha ou chaves de acesso para os funcionários, bem como suas cargas de trabalho.
Fortaleça sua abordagem de Zero Trust implementando a autenticação multifator (MFA) para o acesso a informações, sistemas e dispositivos corporativos. Por exemplo, aproveite uma solução sem senha como o Windows Hello, com uma forma secundária de identificação, como um PIN e o Microsoft Authenticator, que solicita uma validação física do local para autorização.
Soluções de Segurança: Seu melhor aliado
As soluções de segurança existem para ajudar suas equipes de segurança cibernética em seus esforços para proteger seus servidores e sistemas operacionais de forma rápida e eficaz contra ataques. As soluções SIEM e XDR podem monitorar o tráfego de rede para detectar e sinalizar atividades de rede incomuns e ameaças cibernéticas. Os firewalls impedem o tráfego não autorizado entre a rede e a Internet e entre VPNs e partições de rede. O software antivírus é projetado para detectar e bloquear vírus de computador e malware, enquanto a segurança de endpoint protege os dispositivos conectados à rede, como computadores, impressoras, servidores e dispositivos IoT. As soluções baseadas em nuvem usam segurança virtualizada para proteger máquinas virtuais, servidores e redes. Escolha soluções de segurança confiáveis e mantenha o software de segurança atualizado.
Controles de acesso e segmentação de rede
Utilize controles de acesso robustos. Segregue seus sistemas para conter possíveis infecções. Assegure que sistemas vulneráveis e críticos não tenham acesso direto à Internet. Adote o princípio do menor privilégio para limitar o acesso do usuário somente aos recursos necessários para realizar seu trabalho.
Filtragem de e-mail e segurança na Web
Os e-mails são um dos meios mais frequentes de disseminação de ransomware e malware. Os hackers disfarçam esses e-mails de tal forma que eles parecem ser genuínos. Configure filtros de e-mail robustos para detectar tentativas de phishing e ative filtros de spam robustos. As aplicações de colaboração, como o Microsoft 365, contam com recursos avançados de proteção contra phishing integrados. Outras formas de phishing incluem SMS e voice phishing em dispositivos móveis.
Atualizações de software e sistema: Mantendo as vulnerabilidades afastadas
Nenhum software é perfeito. E mesmo após testes completos, inevitavelmente contém vulnerabilidades. Os cibercriminosos os procuram e, quando os encontram, os exploram para inserir malware, roubar dados ou criptografar arquivos. É vital instalar patches de segurança o mais rápido possível para evitar que hackers explorem essas vulnerabilidades. Software desatualizado e sem suporte é particularmente vulnerável a ataques.
Treinamento e conscientização consistente de funcionários
Os funcionários têm um papel crucial no fortalecimento da postura de segurança da empresa e na proteção do seu patrimônio digital. Invista em seu treinamento e conscientização para que eles possam se proteger, bem como sua organização. Use ferramentas educacionais, como KnowBe4 e Gophish, para treinar os funcionários nas diferentes formas de ataques de phishing e como eles devem responder. O Wi-Fi gratuito é o melhor amigo de um hacker e deve ser evitado em dispositivos pessoais e corporativos. Mostre como os criminosos virtuais usam URLs enganosos e aumente a conscientização sobre os perigos de acessar sites de pirataria que normalmente exibem malware oculto em anúncios.
Práticas de download seguro
É crucial adotar práticas de download seguro porque os hackers podem facilmente anexar malware a arquivos, aplicativos, mensagens ou navegadores. Baixe apenas arquivos ou software de sites confiáveis e certifique-se de que esses sites tenham “https” na barra de endereços do navegador. Evite sites “http”, pois estes não são seguros. Além disso, procure um emblema de escudo ou símbolo de cadeado que geralmente esteja no lado esquerdo da barra de endereços antes da URL do site. Se você suspeitar das credenciais de um site, verifique a página “Sobre” e outras informações, como endereço físico e número de telefone fixo. Não baixe arquivos de sites suspeitos ou links desconhecidos em e-mails ou aplicativos de mensagens. Denuncie e-mails suspeitos. É uma boa prática verificar anexos com seu software de segurança antes de abri-los.
O poder dos backups: Resiliência de dados
Seus backups representam a mais importante e última linha de defesa contra um determinado ataque de ransomware. O primeiro passo é proteger o seu console de backup e replicação, pois, sem essa segurança, você ficará vulnerável. Além de reforçar a proteção do seu patrimônio digital e garantir medidas sólidas de identidade e segurança, é essencial que você realize backups regulares das suas configurações, permitindo a rápida restauração dos dados, tanto seus quanto da sua empresa. Isso permite restaurar o console se ele estiver corrompido ou criptografado. Também é vital proteger seu storage de backup contra ataques de ransomware seguindo estas diretrizes:
Realize backups regularmente: O seu último backup é o mais importante, pois contém as transações mais recentes. Realize backups regularmente para reduzir ao máximo a perda de dados em caso de um ataque de ransomware. Escolha uma frequência de backup que esteja alinhada com o volume de transações, seu valor e o custo de realizar múltiplos backups.
Garanta a imutabilidade: Torne seus backups imutáveis. Isso significa que eles não podem ser substituídos, alterados ou modificados. A imutabilidade protege contra ataques de ransomware e exclusão acidental.
Criptografar backups: Sempre criptografe seus backups. A criptografia significa que, se um hacker acessar ou interceptar seus backups, ele não poderá lê-los ou exfiltrá-los. Isso adiciona uma camada extra de segurança aos seus backups.
Verificar backups: Você deve verificar seus backups. Dependendo do software de backup utilizado, há o risco de que o backup esteja corrompido, incompleto ou até inutilizável. A melhor maneira de verificar seus backups é configurar uma máquina virtual e fazer uma restauração de teste. Como alternativa, use uma solução de validação de backup automatizada que verifica o backup no nível do arquivo. Além disso, verifique seus backups em busca de vestígios de malware que possam criptografar seus dados durante o processo de restauração.
Limite o acesso ao backup: Limite o acesso ao menor número possível de pessoas-chave e use procedimentos de autenticação de alto nível para controlar o acesso. Mantenha seus servidores de backup separados dos sistemas on-line.
Use a regra de backup 3-2-1-0: Mantenha três conjuntos redundantes de backups além dos seus conjuntos de dados on-line. Use pelo menos dois tipos diferentes de mídia para armazenar os dados. Isso pode ser feito em um disco rígido, em um repositório seguro na nuvem ou em mídia de fita. Mantenha uma cópia dentro dos seus sistemas corporativos para fácil acesso, mas garanta que uma cópia esteja off-site, off-line e segura. Isso oferece proteção contra desastres naturais, outros imprevistos e também contra ataques de ransomware. O último dígito da regra, o zero, mostra a importância de testar seus backups para ter certeza de que há zero erros.
Conclusão: Fortaleça suas defesas contra o ransomware
O ransomware continua sendo uma ameaça.
Enquanto isso, as empresas que contavam com backups imutáveis, fora do alcance dos cibercriminosos, conseguiram restaurar seus sistemas e retomar suas operações com mínima interrupção.
O sucesso foi resultado de uma estratégia robusta de prevenção contra ransomware, que envolvia várias camadas de defesa, incluindo:
Uma abordagem forte de Identity and Access Management
Fornecedores de soluções de segurança especializados na detecção, monitoramento, investigação e resposta a ameaças.
Controles de acesso robustos e segmentação de rede
Filtragem de e-mail e segurança na web
Atualizações frequentes de software e aplicação de patches para evitar vulnerabilidades
Programas consistentes de treinamento e conscientização dos funcionários
Práticas de download seguro
A última camada de proteção é uma estratégia eficaz de backup que depende de múltiplos backups redundantes, armazenados em diferentes lugares, em mídias diferentes e off-line. Isso é reforçado pela imutabilidade, criptografia de backups e verificações de backups. Quando tudo mais falha, uma solução de recuperação de ransomware segura é a melhor proteção contra ransomware.
O ransomware é uma ameaça crescente para todas as empresas. As estatísticas mostram que a maioria das empresas sofreu ataques de ransomware. Muitos foram forçados a pagar um resgate porque seus backups foram criptografados. Em média, a maioria das empresas incorreu em tempo de inatividade de três semanas ou mais ao tentar se recuperar desses ataques.