A Ransomware faz continuamente as manchetes por causa das tácticas de choque que identificam este tipo de ataque cibernético. Ataques como o da infecção Colonial Pipeline ransomware resultaram num impacto no mundo real, afectando o acesso ao combustível para 50 milhões de pessoas nos EUA.
Outros, como o ataque de resgate à Acer, têm pedidos de resgate tão substanciais, 50 milhões de dólares no caso da Acer, que o mundo se senta e ouve.
A Ransomware, contudo, não é apenas um problema para uma empresa de alto perfil. Um relatório de 2022 do Cyberedge Group descobriu que 71% das empresas foram afectadas pelo resgate em 2021.
O Ransomware faz com que os gangs cibercriminosos por detrás deste terrível malware façam uma fortuna. A Chainanalysis estima que os gangues de resgate fizeram cerca de $692 milhões em moeda criptográfica em 2020.
Grandes pagamentos de cibercrimes, tais como resgates, são susceptíveis de levar a novos ataques no horizonte. Então, como é que a empresa média previne os ataques de resgate?
As Cinco Melhores Maneiras de Prevenir Ataques de Ransomware
O ataque de resgate do Pipeline Colonial começou com uma palavra-passe comprometida afixada num website escuro. Esta palavra-passe foi muito provavelmente colocada na rede escura porque foi roubada durante um ataque de phishing. A invasão de uma conta de funcionário é a porta de entrada num sistema operacional, e os ataques de phishing proporcionam uma forma altamente eficaz de obter acesso às credenciais de login, utilizando ligações maliciosas ou anexos.
O Relatório de Investigação de Violação de Dados da Verizon 2021 (DBIR) atribui 61% das violações a credenciais comprometidas. O mesmo relatório associa um terço destas infracções ao phishing. Um hacker não tem de comprometer uma conta de um administrador de rede para obter acesso privilegiado. Se o hacker tiver as credenciais de um funcionário, pode acumular privilégios de acesso uma vez dentro de uma rede.
Os hackers fazem-no utilizando uma técnica conhecida como 'movimento lateral'; o hacker utiliza vulnerabilidades noutros softwares, tais como o protocolo Kerberos e o Active Directory, para aumentar os seus privilégios até que tenham as chaves do castelo e possam instalar ransomware (e roubar dados) à vontade.
A cadeia de eventos que conduzem a uma infecção por resgate é onde entram as melhores práticas. Se conseguir construir camadas preventivas através dessa cadeia de ataque, pode parar o hacker de resgate na sua passada.
Aqui estão cinco das melhores formas de prevenir ataques de resgate:
Melhor Prática 1: Exercícios simulados de Phishing
Esta melhor prática é a sua camada de fundação e uma que pode parar o resgate antes que este se torne um incidente. O Phishing está a desenvolver tácticas cada vez mais sofisticadas, e o spear-phishing é ainda mais.
Por exemplo, muitos ataques de resgate de software terão como alvo um tipo específico de papel de utilizador ou funcionário. Os atacantes utilizarão então o tipo de linguagem tipicamente utilizada nas trocas de correio electrónico com esse indivíduo para manipular o seu comportamento. Os exercícios simulados de phishing devem reflectir este nível de sofisticação e fornecer modelos baseados em papéis para criar emails falsos de spam.
Melhor Prática 2: Formação de Sensibilização em Segurança Holística
Phishing e engenharia social oferecem pontos de entrada numa rede, fornecendo um mecanismo para roubar as credenciais de login. A Formação de Sensibilização para a Segurança é outra camada fundamental de prevenção de resgates que impregna os funcionários com uma sensação da importância de bons comportamentos de segurança.
A higiene da segurança, tal como a criação de uma boa senha e a não partilha excessiva de informação nas redes sociais, ajuda a desenvolver uma camada pró-activa em torno de uma organização. Com phishing simulado baseado em funções, a Formação de Sensibilização para a Segurança é a protecção de resgate mais eficaz para ajudar a criar uma cultura de segurança.
Melhor Prática 3: Confiança Zero e Menos Privilégio
Os utilizadores privilegiados podem ser um alvo altamente eficaz para os atacantes de resgates. Como tal, atraem cibercriminosos como as abelhas para o mel. Tanto assim, que dois terços das empresas vêem os utilizadores privilegiados como a sua maior ameaça interna. Por conseguinte, os utilizadores privilegiados precisam de ser vistos como um grupo e treinados adequadamente nos tipos de phishing e engenharia social dos quais estão mais em risco.
Além disso, uma organização deve definir uma estratégia para lidar com estes utilizadores privilegiados e acesso à conta. O princípio do "menor privilégio" deve constituir o quadro desta estratégia. Isto enquadra-se num modelo de segurança de confiança zero onde nunca se confia e se verifica sempre as tentativas de acesso para controlar esse acesso a um nível granular.
A segurança de confiança zero funciona a par de tecnologias facilitadoras como a Gestão de Identidade e Acesso (IAM) e regras que desencadeiam estas medidas para implementar verificações e medidas robustas, tais como a exigência de autenticação adicional para aceder a recursos sensíveis.
Melhores práticas 4: Certifique-se de incluir os trabalhadores remotos na sua estratégia de prevenção de resgate
A pandemia de Covid-19 normalizou o modelo de trabalho híbrido onde por vezes trabalhamos a partir de casa. O trabalho à distância altera a dinâmica de segurança, dando potencialmente um avanço aos cibercriminosos. No entanto, abordagens e medidas específicas viram a mesa sobre os hackers capazes de extorquir trabalhadores domésticos.
Uma delas é a utilização de uma VPN (Rede Privada Virtual) segura . Uma VPN estende a segurança de um perímetro de rede até ao escritório doméstico. Uma VPN segura encripta os dados enviados através de ligações Wi-Fi potencialmente inseguras para impedir que informações como dados pessoais ou credenciais de login sejam interceptadas por um hacker. Uma VPN também pode ser utilizada para garantir que o acesso a aplicações corporativas seja assegurado.
Para além de uma VPN segura, os escritórios domésticos devem ser avaliados quanto a potenciais falhas de segurança, incluindo impressoras domésticas inseguras. Além disso, os trabalhadores domésticos devem receber uma Formação de Sensibilização de Segurança reforçada que reflicta o seu ambiente de trabalho.
Melhores Práticas 5: Proteja a sua rede a um padrão de segurança e efectue avaliações regulares
Vários quadros e normas de segurança oferecem conselhos sobre a aplicação de uma segurança robusta e a protecção dos seus pontos finais.
O National Institute for Standards and Technology (NIST) publicou um Cyber Security Framework Profile for Ransomware Risk Management. Este está actualmente em projecto, mas é um bom recurso para aconselhamento sobre a prevenção de um ataque de resgate de software. O documento é baseado nas cinco funções do Cyber Security Framework (também do NIST):
- Identificar
- Proteger
- Detectar
- Responder
- Recuperar
O quadro inclui as nossas cinco melhores práticas para remediar o risco de resgates.
ISO27001 é uma norma de segurança internacional que orienta o desenvolvimento de um ISMS (sistema de gestão de segurança da informação). A ISO27001 utiliza uma abordagem holística da segurança que tece em pessoas, processos e tecnologia; este quadro abrange explorações em todo o panorama de ameaças e inclui engenharia social e explorações técnicas.
Os quadros e normas fornecem as bases para garantir que as melhores práticas de segurança são aplicadas. Têm também directrizes sobre a avaliação destas medidas que incluem a sensibilização dos funcionários para a segurança e a higiene de segurança.
O resgate é uma ameaça grave para todas as empresas. No entanto, a mitigação do resgate é possível utilizando as nossas cinco melhores práticas e sendo sistemático em fechar a porta a esta ameaça cibernética mais preocupante.
