O ransomware é, sem dúvida, uma das maiores ameaças cibernéticas
que afectam atualmente as organizações em todo o mundo.

Os piratas informáticos mudaram as suas tácticas e, em vez de visarem os consumidores quotidianos
, estão a perseguir o dinheiro e a concentrar a sua atenção nas empresas
, onde o retorno do investimento é muito maior.

Os ataques de ransomware contra empresas aumentaram 363% no último ano e, de acordo com o relatório de resumo de segurança da Trend Micro, foram detectados mais de 61 milhões de ataques de ransomware em 2019.

Os sectores mais frequentemente visados incluem as administrações locais, as instituições académicas, o sector tecnológico, os cuidados de saúde, a indústria transformadora, os serviços financeiros e as empresas de comunicação social. No entanto, todas as indústrias e empresas são um alvo potencial e devem tomar todas as medidas necessárias para evitar um ataque.

Infelizmente, muitas organizações não levam a ameaça
suficientemente a sério e só quando são vítimas de um ataque de ransomware
devastador é que investem o tempo e os recursos necessários para
melhorar as suas defesas de cibersegurança. Nesta fase, muitas vezes é demasiado tarde, pois os
danos já estão feitos.

O que é o ransomware?

O ransomware é um tipo de malware que impede os utilizadores de acederem ao seu sistema encriptando ficheiros e exigindo o pagamento de um resgate para que o sistema seja desbloqueado. O pagamento do resgate é normalmente solicitado em Bitcoin ou noutras moedas criptográficas difíceis de rastrear. Normalmente, os cibercriminosos atribuem um prazo para o pagamento do resgate e, se o prazo passar, o pagamento do resgate será duplicado ou os ficheiros serão bloqueados permanentemente.

Certas variantes de ransomware são concebidas para se espalharem rapidamente para outras máquinas numa rede. Foi exatamente isso que aconteceu no ataque WannaCry de 2017, quando o ransomware encriptou centenas de milhares de computadores em mais de 150 países. Numa questão de horas, o ransomware causou estragos em todo o mundo, paralisando praticamente um terço dos serviços de saúde do Reino Unido.

O que é o ransomware? MetaCompliance
Nota de resgate do WannaCry (Fonte: Bleeping Computer)

Como é que
apanhaste Ransomware?

Existem várias formas de o ransomware infetar o teu computador. A forma mais comum é através de e-mails de phishing que contêm links ou anexos maliciosos. Os e-mails parecem vir de uma fonte respeitável e, assim que se clica na ligação ou se abre o anexo, o malware instala-se no sistema e começa a encriptar ficheiros.

O ransomware também pode ser distribuído através do comprometimento da Ligação ao Ambiente de Trabalho Remoto, de sítios Web maliciosos, de dispositivos multimédia amovíveis infectados e até de aplicações de mensagens nas redes sociais.

O que fazer no caso de um ataque de ransomware

1. Isola as máquinas infectadas

Quando o ransomware ataca, a rapidez é essencial. Se suspeitares que o teu computador foi infetado, deves desligá-lo imediatamente da rede, desligando o cabo ethernet e desactivando o Wi-Fi, o Bluetooth e quaisquer outras capacidades de rede. O ransomware propaga-se através da tua ligação de rede, por isso, se conseguires isolar a máquina infetada, evitarás que se propague e infecte outros dispositivos na rede. Se suspeitares que mais do que uma máquina foi comprometida, aplica as mesmas medidas.

2. Notifica a tua equipa de segurança informática

A tua equipa de TI deve ser imediatamente notificada para que possa conter a propagação do ransomware e pôr em prática os procedimentos corretos para lidar com o ataque. É aqui que entra em ação um plano de resposta a incidentes. O plano ajudará a garantir que o incidente é gerido adequadamente, que todas as provas são recolhidas, registadas e mantidas e que a situação é tratada da forma mais rápida e eficiente possível. O fornecimento de uma cronologia detalhada da violação ajudará a identificar quaisquer deficiências nos procedimentos e a melhorar as defesas de segurança no futuro.

3. Identifica o tipo de ransomware

Identifica o tipo de ransomware | MetaCompliance

Se fores capaz de identificar o tipo de ransomware que está a ser utilizado no ataque, isso ajudar-te-á a compreender como se propaga, que tipos de ficheiros encripta e como pode ser removido. Existem muitos tipos diferentes de ransomware, mas os dois mais comuns são o ransomware de bloqueio de ecrã e o ransomware de encriptação. O primeiro é o mais fácil de resolver e, apesar de bloquear todo o sistema, os ficheiros estarão seguros até que seja feito o pagamento do resgate. O segundo é muito mais difícil de recuperar. Em vez de negar o acesso ao utilizador, encontra todos os dados sensíveis, encripta-os e exige um pagamento para que os dados sejam desencriptados e restaurados.

4. Informa os empregados

Deves informar imediatamente os teus empregados de que houve uma violação, explicar o que significa para a empresa e delinear as medidas que vais tomar para mitigar o incidente. Independentemente de os computadores terem sido ou não diretamente infectados, é provável que haja alguma baixa operacional enquanto decorrem as investigações sobre o incidente. É natural que os funcionários se preocupem com o impacto que o ataque terá no seu trabalho, pelo que é importante ser transparente e mantê-los informados sobre a evolução da situação.

5. Altera as credenciais de início de sessão

O ransomware pode espalhar-se rapidamente através da recolha de endereços IP e credenciais. Se os hackers conseguirem comprometer as credenciais administrativas, podem mover-se lateralmente nas redes, encriptar ficheiros e eliminar cópias de segurança no processo. Para garantir que o teu sistema está seguro e para evitar que os piratas informáticos impeçam os teus esforços de recuperação, deves alterar imediatamente todas as credenciais de administrador e de utilizador.

6. Tira uma fotografia do pedido de resgate

Tira uma foto da nota de resgate | MetaCompliance

Se possível, deves tirar uma fotografia do pedido de resgate com o teu telemóvel. Isto pode ser utilizado como prova quando comunicares o incidente à polícia. Esta prova é necessária se apresentares um pedido de seguro cibernético e a fotografia pode também fornecer mais informações sobre o método de ataque.

7. Notifica as autoridades

É importante notificar a polícia se tiveres sido atacado para que esta possa investigar o incidente e ajudar a evitar que outras empresas sofram o mesmo destino. Se a tua organização lida com dados que pertencem a cidadãos da UE, és legalmente obrigado, ao abrigo do RGPD, a informar o ICO no prazo de 72 horas após a ocorrência de uma violação. Se não o fizeres, podes incorrer em multas até 4% do volume de negócios global anual ou 20 milhões de euros (o que for maior).

8. Nunca pagues o resgate

Nunca pagues o resgate | MetaCompliance

A National Crime Agency aconselha vivamente as organizações a não efectuarem um pagamento de resgate, uma vez que isso encoraja os cibercriminosos a lançarem novos ataques e o ciclo vicioso continua. Se decidires fazer um pagamento de resgate, não há qualquer garantia de que alguma vez irás recuperar os teus ficheiros e, se alguma coisa acontecer, isso aumenta as tuas hipóteses de seres novamente visado no futuro.

9. Actualiza os sistemas de segurança

Depois de o incidente ter terminado, terás de efetuar uma auditoria de segurança e atualizar todos os sistemas. As actualizações devem ser instaladas assim que estiverem disponíveis para evitar que os hackers explorem vulnerabilidades em versões mais antigas do software. A aplicação regular de patches garante que as máquinas se mantêm actualizadas, estáveis e protegidas contra malware.

10. Recupera a partir de cópias de segurança

A chave para uma recuperação rápida de um ataque de ransomware é garantir que tens cópias de segurança actualizadas de ficheiros importantes. A regra 3-2-1 é uma abordagem de melhores práticas para backup e recuperação. Seguindo esta regra, deves ter 3 cópias dos teus dados em dois formatos de armazenamento diferentes – com pelo menos uma cópia localizada fora do local. Isto permitir-te-á recuperar os teus dados rapidamente sem seres chantageado para fazeres um pagamento de resgate.

Como evitar ataques de ransomware em

  • Os empregados devem receber regularmente formação de sensibilização para a cibersegurança para os informar sobre a evolução das ciberameaças e sobre como detetar as fases iniciais de um ataque.

  • Faz cópias de segurança dos dados com regularidade.

  • Restringe as permissões dos utilizadores para instalar e executar aplicações de software. Isto pode limitar a capacidade do malware de se espalhar por uma rede.

  • Actualiza regularmente o software e assegura que as correcções são instaladas logo que estejam disponíveis.

  • Instala software antivírus em todos os dispositivos.

  • Analisa todos os e-mails recebidos e enviados para detetar ameaças.

  • Segue as boas práticas de segurança para minimizar o risco de infeção – Evita clicar em ligações ou descarregar anexos de fontes desconhecidas.

  • Configura as firewalls para bloquear o acesso a endereços IP maliciosos.

  • Cria palavras-passe fortes e ativa a autenticação multi-fator para maior segurança nas contas.

O phishing é a causa número um de todos os ataques cibernéticos e continua a revelar-se uma das formas mais fáceis de roubar dados valiosos e entregar ransomware. O software de simulação de phishing MetaPhish da MetaCompliance foi criado para fornecer uma poderosa defesa contra estas ameaças e permite às organizações descobrirem até que ponto a sua empresa é suscetível ao phishing. Entra em contacto connosco para mais informações sobre como o MetaPhish pode ser utilizado para proteger a tua empresa.