Segurify

Devo pagar resgate em um ataque Ransomware?

Ransomware

Um ransomware é um tipo de malware (software malicioso) que criptografa arquivos e dados, exigindo um pagamento (ransom, em inglês) para descriptografá-los. Os principais tipos são os de encriptação de dados, bloqueio de tela (lock screen) e master boot record (que impede a inicialização do sistema operacional).

O primeiro ransomware conhecido foi o AIDS (Trojan Horse), desenvolvido em 1989 por Joseph Popp, um pesquisador de Harvard. Popp distribuiu o malware pelo correio, através de disquetes, posteriormente alegando que doaria o dinheiro arrecadado para pesquisas sobre AIDS, mas acabou sendo preso, embora liberado depois por razões relacionadas à sua saúde mental.

Atualmente, os ransomwares representam uma ameaça significativa. Segundo a Sophos, 59% das organizações sofreram ataques no último ano, com cerca de 49% dos dispositivos sendo criptografados em média por esses ataques.

Como evitar?

A ordem das ações não é necessariamente essa e aqui vamos falar sobre como diminuir o impacto ou a probabilidade de materialização desse risco. E para não reinventar a roda, vamos mencionar o guia contra ransomware da CISA (Agencia federal dos Estados Unidos responsável pela cibersegurança e segurança de infraestrutura).

Preparando para o evento:

As iniciativas a seguir tem a principal função de diminuir o impacto do evento.

  • Backups de todos os sistemas(códigos, IaC, dados, DBs, etc), preferencialmente offline e criptografados, de dados críticos. Não vale fazer o backup e não testar regularmente a integridade e disponibilidade dele. A consideração do offline se dá pois há variantes de ramsonwares que buscam especificamente por backups para encriptar.
  • Tenha um plano de restauração. Crie, mantenha e exercite regularmente um plano de resposta a incidentes considerando a ocorrência de um ataque ransonware.
  • Tenha um ambiente computacional com rigoroso controle de acesso. Uma das principais abordagens para isso é a implementação da chamada zero trust architecture. Com a ZTA e através de um controle de acesso granular, o isolamento entre os dispositivos diminui a disseminação da ameaça.

Prevenindo que ele aconteça:

Aqui vamos listar condutas que tendem a diminuir a probabilidade de ocorrência do ataque.

  • Controle a superfície de ataque. Só exponha à internet sistemas e serviços realmente necessários, adotando os controles pertinentes, como Firewalls e hardenização dos sistemas.
  • Faça análises de vulnerabilidades recorrentes, buscando sistemas comprometidos, alem de manter o ambiente atualizado.
  • Faça a gestão da configuração de todos os dispositivos conectados à rede, priorizando as configurações de segurança.
  • Limite o uso de RDP e outros serviços de acesso remoto. Os atacantes podem fazer uso destes mecanismos de acesso para entrar nos sistemas.
  • Faça uso de mecanismos de gerenciamento de acesso. Aqui é importante considerar toda a política de gestão de acesso: MFA, Senhas fortes, ZTA, utilização de cofre de senhas, etc.
  • Treine os usuários acerca das melhores práticas de uso de senhas.
  • Treine os usuários para evitar ataques phishing.
  • Utilize ferramentas antimalware. É importante que as vacinas antimalware estejam sempre atualizadas!
  • Soluções EDR (Endpoint detection and Response) são aliadas na criação de listas de aplicações permitidas, bloqueando softwares não autorizados.
  • Considere a implementação de sistemas detectores de intrusão (IDS). Estes sistemas monitoram o comportamento na rede e podem identificar sinais de atividade de “Comando e Controle” que é comum em ataques ransomware quando o dispositivo infectado se comunica com um servidor que faz a gestão das chaves de criptografia.
  • Treine os usuários para evitarem Engenharia Social.
  • Considere a implementação de um sistema de proteção para chamadas DNS. Esses serviços impedem que chamadas DNS maliciosos sejam respondidas.
  • Considere a contratação de uma consultoria em Segurança da Informação para te apoiar. Já que são tantas as ações necessárias para mitigar um ataque ransoware, é recomendada a contratação de especialistas que cuidarão de todos esses aspectos em nome da sua organização.

Existem mais recomendações, mas já listamos as principais. Vamos agora à conclusão:

Sofri um ataque ransonware. Devo pagar o resgate?

Depois de todas essas considerações, onde levamos em contas diversos mecanismos e formas de se evitar o ataque, pode ter acontecido de se chegar nesse texto exatamente pois seu ambiente já está comprometido. É tarde demais para prevenir…

A seguir vamos usar as recomendações da No More Ransom, projeto lançado em 2016, que reúne a expertise de diversas organizações públicas e privadas, incluindo a Europol, a Polícia Holandesa e várias empresas de cibersegurança.

  1. Imediatamente desconecte completamente da rede o dispositivo afetado (mas não o desligue);
  2. Atualize senhas, especialmente de administradores de sistemas, dos usuários envolvidos;
  3. A LGPD não deixa claro, mas convém, a critério da empresa, informar a ANPD acerca do incidente de segurança, caso haja dados pessoais envolvidos no ataque.
  4. Preserve as evidências, criando uma imagem forense do dispositivo comprometido, visando a colaboração com autoridades competentes.
  5. Busque por ferramentas de decriptografia. A própria www.nomoreransom.org dispõe gratuitamente de ferramentas capazes de descriptografar o sistema e recuperar o dispositivo infectado, dependendo da variante de ransom.
  6. Faça a formatação segura do dispositivo infectado e reinstale o sistema operacional.
  7. Restaure o backup, sem antes ter certeza de que qualquer vestígio do malware tenha sido excluído.
  8. Atualize o dispositivo para a versão mais atual do sistema operacional através de uma rede apartada e segura.
  9. Instale e execute um software de antivirus.
  10. Reconecte a rede e monitore o equipamento para avaliar se ainda resta algum tipo de infecção.

Sobre a possibilidade de pagar o resgate, o conselho geral é de não fazê-lo. Quando você envia seu dinheiro para um cibercriminoso, você confirma a eficácia do ransomware, e não há garantias de que você receberá a chave de decriptografia necessária em troca.

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *