Um ransomware é um tipo de malware (software malicioso) que criptografa arquivos e dados, exigindo um pagamento (ransom, em inglês) para descriptografá-los. Os principais tipos são os de encriptação de dados, bloqueio de tela (lock screen) e master boot record (que impede a inicialização do sistema operacional).
O primeiro ransomware conhecido foi o AIDS (Trojan Horse), desenvolvido em 1989 por Joseph Popp, um pesquisador de Harvard. Popp distribuiu o malware pelo correio, através de disquetes, posteriormente alegando que doaria o dinheiro arrecadado para pesquisas sobre AIDS, mas acabou sendo preso, embora liberado depois por razões relacionadas à sua saúde mental.
Atualmente, os ransomwares representam uma ameaça significativa. Segundo a Sophos, 59% das organizações sofreram ataques no último ano, com cerca de 49% dos dispositivos sendo criptografados em média por esses ataques.
Como evitar?
A ordem das ações não é necessariamente essa e aqui vamos falar sobre como diminuir o impacto ou a probabilidade de materialização desse risco. E para não reinventar a roda, vamos mencionar o guia contra ransomware da CISA (Agencia federal dos Estados Unidos responsável pela cibersegurança e segurança de infraestrutura).
Preparando para o evento:
As iniciativas a seguir tem a principal função de diminuir o impacto do evento.
- Backups de todos os sistemas(códigos, IaC, dados, DBs, etc), preferencialmente offline e criptografados, de dados críticos. Não vale fazer o backup e não testar regularmente a integridade e disponibilidade dele. A consideração do offline se dá pois há variantes de ramsonwares que buscam especificamente por backups para encriptar.
- Tenha um plano de restauração. Crie, mantenha e exercite regularmente um plano de resposta a incidentes considerando a ocorrência de um ataque ransonware.
- Tenha um ambiente computacional com rigoroso controle de acesso. Uma das principais abordagens para isso é a implementação da chamada zero trust architecture. Com a ZTA e através de um controle de acesso granular, o isolamento entre os dispositivos diminui a disseminação da ameaça.
Prevenindo que ele aconteça:
Aqui vamos listar condutas que tendem a diminuir a probabilidade de ocorrência do ataque.
- Controle a superfície de ataque. Só exponha à internet sistemas e serviços realmente necessários, adotando os controles pertinentes, como Firewalls e hardenização dos sistemas.
- Faça análises de vulnerabilidades recorrentes, buscando sistemas comprometidos, alem de manter o ambiente atualizado.
- Faça a gestão da configuração de todos os dispositivos conectados à rede, priorizando as configurações de segurança.
- Limite o uso de RDP e outros serviços de acesso remoto. Os atacantes podem fazer uso destes mecanismos de acesso para entrar nos sistemas.
- Faça uso de mecanismos de gerenciamento de acesso. Aqui é importante considerar toda a política de gestão de acesso: MFA, Senhas fortes, ZTA, utilização de cofre de senhas, etc.
- Treine os usuários acerca das melhores práticas de uso de senhas.
- Treine os usuários para evitar ataques phishing.
- Utilize ferramentas antimalware. É importante que as vacinas antimalware estejam sempre atualizadas!
- Soluções EDR (Endpoint detection and Response) são aliadas na criação de listas de aplicações permitidas, bloqueando softwares não autorizados.
- Considere a implementação de sistemas detectores de intrusão (IDS). Estes sistemas monitoram o comportamento na rede e podem identificar sinais de atividade de “Comando e Controle” que é comum em ataques ransomware quando o dispositivo infectado se comunica com um servidor que faz a gestão das chaves de criptografia.
- Treine os usuários para evitarem Engenharia Social.
- Considere a implementação de um sistema de proteção para chamadas DNS. Esses serviços impedem que chamadas DNS maliciosos sejam respondidas.
- Considere a contratação de uma consultoria em Segurança da Informação para te apoiar. Já que são tantas as ações necessárias para mitigar um ataque ransoware, é recomendada a contratação de especialistas que cuidarão de todos esses aspectos em nome da sua organização.
Existem mais recomendações, mas já listamos as principais. Vamos agora à conclusão:
Sofri um ataque ransonware. Devo pagar o resgate?
Depois de todas essas considerações, onde levamos em contas diversos mecanismos e formas de se evitar o ataque, pode ter acontecido de se chegar nesse texto exatamente pois seu ambiente já está comprometido. É tarde demais para prevenir…
A seguir vamos usar as recomendações da No More Ransom, projeto lançado em 2016, que reúne a expertise de diversas organizações públicas e privadas, incluindo a Europol, a Polícia Holandesa e várias empresas de cibersegurança.
- Imediatamente desconecte completamente da rede o dispositivo afetado (mas não o desligue);
- Atualize senhas, especialmente de administradores de sistemas, dos usuários envolvidos;
- A LGPD não deixa claro, mas convém, a critério da empresa, informar a ANPD acerca do incidente de segurança, caso haja dados pessoais envolvidos no ataque.
- Preserve as evidências, criando uma imagem forense do dispositivo comprometido, visando a colaboração com autoridades competentes.
- Busque por ferramentas de decriptografia. A própria www.nomoreransom.org dispõe gratuitamente de ferramentas capazes de descriptografar o sistema e recuperar o dispositivo infectado, dependendo da variante de ransom.
- Faça a formatação segura do dispositivo infectado e reinstale o sistema operacional.
- Restaure o backup, sem antes ter certeza de que qualquer vestígio do malware tenha sido excluído.
- Atualize o dispositivo para a versão mais atual do sistema operacional através de uma rede apartada e segura.
- Instale e execute um software de antivirus.
- Reconecte a rede e monitore o equipamento para avaliar se ainda resta algum tipo de infecção.
Sobre a possibilidade de pagar o resgate, o conselho geral é de não fazê-lo. Quando você envia seu dinheiro para um cibercriminoso, você confirma a eficácia do ransomware, e não há garantias de que você receberá a chave de decriptografia necessária em troca.