O ransomware é, sem dúvida, uma das maiores ameaças cibernéticas que afecta atualmente as organizações em todo o mundo.
Os piratas informáticos mudaram de tática e, em vez de visarem os consumidores consumidores comuns, estão a perseguir o dinheiro e a concentrar a sua atenção em empresas onde o retorno do investimento é muito maior.
Os ataques de ransomware contra empresas aumentaram 363% no último ano e, de acordo com o relatório de resumo de segurança da Trend Micro, foram detetados mais de 61 milhões de ataques de ransomware em 2019.
Os sectores mais frequentemente visados são as administrações locais, as instituições académicas, o sector tecnológico, os cuidados de saúde, a indústria transformadora, os serviços financeiros e as empresas de comunicação social. No entanto, todos os sectores e empresas são um alvo potencial e devem tomar todas as medidas necessárias para evitar um ataque.
Infelizmente, muitas organizações não levam a ameaça e só quando estão a ser vítimas de um ataque de ransomware de um ataque de ransomware devastador que investem o tempo e os recursos adequados para para melhorar as suas defesas de cibersegurança. Nesta fase, muitas vezes é demasiado tarde, pois o os danos já estão feitos.
O que é o ransomware?
O ransomware é um tipo de malware que impede os utilizadores de acederem ao seu sistema, encriptando ficheiros e exigindo o pagamento de um resgate para que o sistema seja desbloqueado. O pagamento do resgate é normalmente solicitado em Bitcoin ou noutras moedas criptográficas difíceis de rastrear. Os cibercriminosos atribuem normalmente um prazo para o pagamento do resgate e, se o prazo passar, o pagamento do resgate será duplicado ou os ficheiros serão bloqueados permanentemente.
Certas variantes de resgates são concebidas para se espalharem rapidamente para outras máquinas numa rede. Foi exactamente isto que aconteceu no ataque ao WannaCry de 2017, quando o software de resgate encriptou centenas de milhares de computadores em mais de 150 países. Numa questão de horas, o resgate causou estragos em todo o mundo, levando um terço dos trusts do NHS do Reino Unido a uma paralisação virtual.
Como é que se apanha ransomware?
Existem várias formas de o ransomware infetar o computador. A forma mais comum é através de e-mails de phishing que contêm ligações ou anexos maliciosos. Os e-mails parecem vir de uma fonte respeitável e, assim que se clica na ligação ou se abre o anexo, o malware instala-se no sistema e começa a encriptar ficheiros.
O Ransomware também pode ser entregue através de Remote Desktop Connection compromise, websites maliciosos, dispositivos de media amovíveis infectados e até aplicações de mensagens de social media.
O que fazer no caso de um ataque de Ransomware
1. Isolar as máquinas infectadas
Quando o resgate atinge, a velocidade é essencial. Se suspeitar que o seu computador foi infectado, deve desligá-lo imediatamente da rede, desligando o cabo ethernet e desactivando Wi-Fi, Bluetooth, e quaisquer outras capacidades de rede. O Ransomware espalha-se através da sua ligação de rede, pelo que se conseguir isolar a máquina infectada, impedirá a sua propagação e infectará outros dispositivos na rede. Se suspeitar que mais do que uma máquina tenha sido comprometida, aplique as mesmas medidas.
2. Notifique a sua equipa de segurança informática
A sua equipa informática deve ser imediatamente notificada para que possa conter a difusão do resgate e pôr em prática os procedimentos correctos para lidar com o ataque. É aqui que entra em jogo um plano de resposta ao incidente. O plano ajudará a assegurar que o incidente seja devidamente gerido, que todas as provas sejam recolhidas, registadas e mantidas, e que a situação seja tratada tão rápida e eficientemente quanto possível. O fornecimento de um cronograma detalhado da violação ajudará a identificar quaisquer fraquezas nos procedimentos e a melhorar as defesas de segurança no futuro.
3. Identificar o tipo de resgates
Se for capaz de identificar o tipo de resgate que está a ser utilizado no ataque, irá ajudá-lo a compreender como se espalha, que tipos de ficheiros encripta e como pode ser removido. Há muitas estirpes diferentes de ransomware, mas as duas mais comuns são o bloqueio de ecrã do ransomware e a encriptação do ransomware. O primeiro é o mais fácil de resolver e, apesar de bloquear todo o sistema, os ficheiros estarão seguros até que seja efectuado um pagamento de resgate. O segundo é muito mais difícil de recuperar. Em vez de negar o acesso ao utilizador, encontra todos os dados sensíveis, codifica-os, depois exige um pagamento para que os dados sejam desencriptados e restaurados.
4. Informar os empregados
Deve informar imediatamente os seus empregados de que houve uma violação, explicar o que significa para a empresa e delinear as medidas que irá tomar para mitigar o incidente. Quer os seus computadores tenham ou não sido directamente infectados, é provável que haja algum centro operacional à medida que as investigações sobre o incidente tenham lugar. Os funcionários preocupar-se-ão naturalmente com o impacto que o ataque terá no seu trabalho, pelo que é importante ser transparente e mantê-los totalmente informados sobre a evolução da situação.
5. Alterar as credenciais de login
O Ransomware pode propagar-se rapidamente através da recolha de endereços IP e credenciais. Se os hackers conseguirem comprometer as credenciais administrativas, podem mover-se lateralmente em redes, encriptar ficheiros e eliminar cópias de segurança no processo. Para garantir a segurança do seu sistema e para evitar que os hackers frustrem os seus esforços de recuperação, deve alterar imediatamente todas as credenciais administrativas e de utilizador.
6. Tirar uma fotografia da nota de resgate
Se possível, deve tirar uma fotografia da nota de resgate no seu telemóvel. Esta pode ser utilizada como prova quando estiver a comunicar o incidente à polícia. Esta prova é necessária se estiver a apresentar uma queixa de seguro cibernético e a fotografia pode também fornecer mais informações sobre o método de ataque.
7. Notificar as autoridades
É importante notificar a polícia se tiver sido atacado para que esta possa investigar o incidente e ajudar a evitar que outras empresas sofram o mesmo destino. Se a sua organização lida com dados que pertencem a cidadãos da UE, é legalmente obrigada, ao abrigo do RGPD, a informar o ICO no prazo de 72 horas após a ocorrência de uma violação. O incumprimento desta obrigação pode resultar em coimas até 4% do volume de negócios global anual ou 20 milhões de euros (consoante o valor mais elevado).
8. Nunca pagar o resgate
A Agência Nacional do Crime aconselha vivamente as organizações a não fazerem um pagamento de resgate, pois encoraja os cibercriminosos a lançarem mais ataques e o ciclo vicioso continua. Se optar por fazer um pagamento de resgate, não há qualquer garantia de que alguma vez receberá os seus ficheiros de volta, e se alguma coisa, isso aumenta as suas hipóteses de ser novamente visado no futuro.
9. Actualizar os sistemas de segurança
Depois de terminado o incidente, é necessário efetuar uma auditoria de segurança e atualizar todos os sistemas. As actualizações devem ser instaladas assim que estiverem disponíveis para evitar que os hackers explorem vulnerabilidades em versões mais antigas do software. A aplicação regular de patches garante que as máquinas se mantêm actualizadas, estáveis e protegidas contra malware.
10. Recuperar a partir de backups
A chave para uma recuperação rápida de um ataque de resgate é garantir que dispõe de cópias de segurança actualizadas de ficheiros importantes. A regra 3-2-1 é uma abordagem de melhores práticas para backup e recuperação. Seguindo esta regra, deverá ter 3 cópias dos seus dados em dois formatos de armazenamento diferentes - com pelo menos uma cópia localizada fora do local. Isto permitir-lhe-á recuperar os seus dados rapidamente sem ser chantageado para fazer um pagamento de resgate.
Como evitar ataques de ransomware
- Os empregados devem receber formação regular de sensibilização para a segurança cibernética para os educar sobre a evolução das ameaças cibernéticas e como detectar as fases iniciais de um ataque.
- Cópia de segurança de dados numa base regular.
- Restringir as permissões dos utilizadores para instalar e executar aplicações de software. Isto pode limitar a capacidade do malware de se espalhar por uma rede.
- Actualizar regularmente o software e assegurar que os patches são instalados assim que estão disponíveis.
- Instalar software anti-vírus em todos os dispositivos.
- Verificar todas as mensagens de correio electrónico recebidas e enviadas para detectar ameaças.
- Seguir boas práticas de segurança para minimizar o risco de infecção - Evitar clicar em ligações ou descarregar anexos de fontes desconhecidas.
- Configurar firewalls para bloquear o acesso a endereços IP maliciosos.
- Criar senhas fortes e permitir a autenticação multi-factor para segurança extra nas contas.
O phishing é a causa número um de todos os ataques cibernéticos e continua a ser uma das formas mais fáceis de roubar dados valiosos e entregar ransomware. O software de simulação de phishing MetaPhish da MetaCompliance foi criado para fornecer uma poderosa defesa contra estas ameaças e permite às organizações descobrirem até que ponto a sua empresa é suscetível ao phishing. Entre em contacto para obter mais informações sobre como o MetaPhish pode ser utilizado para proteger a sua empresa.
