Ataques ransomware cresceram no Brasil e no mundo. Como se prevenir e o que fazer no caso de sofrê-los
Não é de hoje que a cibersegurança tem se tornado um problema crescente para as organizações, na esteira da transformação e da economia digitais das quais dependem boa parte de seu crescimento. No entanto, a pandemia deu um empurrão a mais, trazendo novas e urgentes preocupações para a linha de frente, muitas delas oriundas de vulnerabilidades originadas pelo home office. Uma delas é o ataque do ransomware.
Ransomware é um software malicioso que criptografa, tornando inacessíveis, arquivos e documentos – muitas vezes todos – de uma rede ou servidor. Em bom português, ele sequestra uma rede, pelo resgate da qual suas vítimas devem pagar um resgate (daí, ransom), sob pena de terem informações vazadas ou deletadas.
O vírus não é novo: sua primeira aparição tem mais de 30 anos. Mas, de lá para cá, tanto as formas pelas quais é aplicado quanto o nível de complexidade da criptografia aumentaram muito.
No rastro da pandemia, os ataques ransomware têm crescido junto: em volume de vítimas, frequência e valor do resgate. E o Brasil lidera a lista de países sob ataque, segundo dados da Kasperski.
Agora que sabemos o que é ransomware, neste post, veremos os tipos de ransomware mais comuns atualmente, como evitá-los e, no caso de um ataque, o que fazer.
Tipos de ransomware mais comuns em 2020
Com 31 anos de vida, o ransomware também evoluiu, assumindo novas formas ao longo do tempo. Algumas sumiram rapidamente, mas outras, muito bem-sucedidas, perduraram. Vejamos os ransomware mais ativos em 2020:
- Sodinokibi ou Revil (2019-20)
- Snake (2019)
- Phobos (2019)
- VHD (2019)
- Snacke ou Ekans (2019)
- GrandCrab (2018-1019)
- SamSam (2017-2018)
- WannaCry (2017)
- STOP (2017)
- Cerber (2017)
- Locky (2016)
- Crisis ou Dharma (2016)
Como o ransomware ataca
Da entrada do malware no dispositivo até o pedido de um resgate, vários outros ataques o antecedem, num processo que pode durar de 45 minutos a dois ou quatro meses.
Primeiro, o ransomware se instala nos dispositivos das vítimas. Isso pode acontecer por meio de e-mails ou mensagens phishing com arquivos ou links infectados, downloads em sites maliciosos ou por vulnerabilidades em certos pontos de acesso, como no serviço RDP – Remote Desktop Protocol, VNC – Virtual Network Computing e na Porta TS.
Após entrar, normalmente os criminosos vasculham a rede em busca de novos pontos fracos e roubo de dados. É nesse ponto que eles podem demorar, porque quanto mais silenciosamente se moverem mais difícil será percebê-los.
A criptografia ou, então, o bloqueio do dispositivo é o último passo. Se os criminosos roubaram dados da rede antes de criptografá-los, ameaçam suas vítimas duplamente: se ela se negar a pagar o ransom no prazo, o grupo vaza as informações na internet. A ZDNet tem uma lista de sites em que esses dados são comercializados.
Como evitar o ataque de um ransomware
Um ataque de ransomware sempre envolverá perdas: seja de informações relevantes, seja financeira, seja de credibilidade de seus clientes e parceiros, seja de energia da organização.
Ter um plano de prevenção a um possível ataque é fundamental para evitar e, no caso de que o pior aconteça, minimizar o impacto e os danos.
A medida é básica, mas, quando falamos de Brasil, o cenário é desanimador: segundo dados da Kasperski & CORPA, 40% das empresas brasileiras não têm políticas de cibersegurança.
A boa notícia é que a maioria das vulnerabilidades exploradas nos ataques ransomware são bem conhecidas e, inclusive, fáceis de consertar.
Mas onde atuar para evitar o ataque ransonware?
1. Redes
Com o home office, você deve estar acessando a rede da empresa da própria wi-fi, quando não de seu próprio computador ou celular pessoal. Não é incomum conectar dispositivos sejam da empresa ou particulares a redes de internet desconhecidas, como de hotéis, cafés e aeroportos.
Mas para tal alguns cuidados devem ser tomados, para que a empresa não tenha que contar com o nível de segurança – geralmente bem menor – desses equipamentos e conexões.
Além de criar senhas fortes e diferentes para o acesso à rede da organização, ative firewalls e use uma VPN corporativa para acesso ao RDP, para garantir a segurança.
Leia mais: Cibersegurança: sua empresa está segura no home office
Além disso, obtenha visibilidade do que acontece na rede, por meio de SIEM, para observar de cara novas anomalias.
2. E-mails e sites
Como vimos, a maioria dos ataques de ransomware começa em e-mails phishing. E se você se acha imune, a pesquisa da Kasperski & CORPA é reveladora: um de cada 10 funcionários clicaria em links suspeitos desde dispositivos da empresa, se fossem de ofertas imperdíveis.
Logo, verifique a origem da mensagem e evite clicar em links não verificados, assim como baixar anexos, caso desconfie.
Em sites, a recomendação é a mesma: evitar navegação e downloads em páginas suspeitas, e manter um bom antivírus.
3. Antivírus e auditorias
Adote ferramentas de proteção para escanear tanto automaticamente quanto sob demanda arquivos suspeitos antes de que eles sejam abertos ou instalados, assim como análises de comportamento de arquivos, a fim de identificar possíveis vulnerabilidades antes de que elas se tornam portas de entrada para malwares.
4. Softwares
Muitos ataques ransomware se aproveitam de falhas em softwares, a maioria delas corrigidas pelas companhias.
Por isso, ter softwares licenciados sempre atualizados para sua versão mais recente é uma das maneiras mais simples de protegê-las de ataques ransomware.
5. Backup
Fazer um backup regular dos arquivos não impede um ataque ransomware, mas é uma maneira de evitar a perda de informações importantes no caso de sofrer um.
Então, saber quais informações são críticas para a organização e criar uma estratégia de backup forte para tais dados é uma boa forma de conseguir se recuperar rapidamente de um ataque.
6. Educação
A velha e boa conscientização, que se dá pela educação, é uma aliada de peso contra ataques ransomware. Afinal, as pessoas são o elo mais fraco da cibersegurança e, com o home office, essa assertiva ficou mais verdadeira ainda.
Ainda assim, 15% das organizações que já têm um estrutura de segurança não conseguem informá-las e, consequentemente, nem fazê-las cumprir por seus funcionários, segundo a Kasperski.
Orientar sobre riscos e treinar seus times para reconhecer links e arquivos suspeitos, assim como para agir de acordo com a política da organização, é lição de casa básica. Mas dá para fazer mais.
Especialistas em cibersegurança recomendam que os colaboradores se tornem a primeira linha de defesa da organização.
Sofreu um ataque ransomware: não pague o resgate
Qualquer organização está sujeita a um ataque ransomware: o malware não as discrimina nem por setor, nem por porte. Sua empresa sofreu um ataque ransomware?
Muitas organizações pensam não ter muitas escolhas nesse caso: ou elas pagam ou assumem o ônus de reconstruir sua rede do zero, o que pode sacrificar o negócio. Por isso, cerca de 50% das vítimas resolvem pagar pelo resgate de seus arquivos. E fazem mal ao pensarem que esse é custo inerente ao negócio.
Primeiro, porque não sabem se seus dados serão realmente restaurados após o pagamento. Os criminosos podem continuar a fazer ameaças, exigindo novos resgates.
Depois, porque pagar significa premiar e financiar novos ataques – inclusive à sua própria organização.
A recomendação é não pagar. Países como Inglaterra estão, inclusive, repensando sua legislação, a fim de tornar ilegal o pagamento de resgates.
1. Notifique a polícia
As empresas devem primeiro contactar a polícia. O ransomware é um ataque subnotificado às autoridades tanto no Brasil quanto no mundo.
Pesquisas como a Internet Organised Crime Threat Assessment 2020 mostram que as vítimas ainda não veem prioridade em fazer investigações criminais, ante a possibilidade de aumentarem os danos à reputação e ao negócio.
Não use essa estratégia: seja para negociar ransoms, seja para supostamente garantir que o ataque não vaze para o público ou ainda por acreditar que a polícia não poderá ajudar a empresa.
Essa prática impede a visibilidade das autoridades sobre o problema e tem como efeito o aprofundamento da inação em relação ao problema.
2. Acione especialistas em cibersegurança
Além da investigação criminal, acione especialistas em cibersegurança para localizar as áreas afetadas pelo vírus, adotar medidas para não proliferação e restaurar a infraestrutura afetadas, bem como analisar e investigar vulnerabilidades acessadas e oferecer suporte na criação de um plano de resposta a ataques é fundamental.
Ransomware: uma ameaça ao seu negócio
O ransomware pode destruir negócios, seja pelo seu impacto nas operações, seja pelo custo ou ainda pela perda de credibilidade da organização perante seus clientes.
Leia mais: Segurança na nuvem: que riscos a sua organização corre?
No entanto, como vimos, além de bem conhecido, ele entra na organizações por meio de vulnerabilidades bem comuns. Em última instância, o ransomware só está ainda rondando e sendo uma ameaça porque muitas organizações não estão fazendo o básico em segurança. Enquanto elas não fizerem, o ransomware continuará a ser um problema.
Lembre-se: empresas seguras não são alvos atrativos.
Você sabe qual a maturidade da sua organização em segurança? Se não, é hora de fazê-lo, porque a prevenção será bem mais barata que o remédio.