O ransomware está constantemente nas manchetes devido às tácticas de choque que identificam este tipo de ataque cibernético. Ataques como a infeção por ransomware da Colonial Pipeline tiveram um impacto no mundo real, afectando o acesso ao combustível de 50 milhões de pessoas nos EUA.

Outros, como o ataque de ransomware à Acer, têm pedidos de resgate tão substanciais, 50 milhões de dólares no caso da Acer, que o mundo se senta e ouve.

O ransomware, no entanto, não é apenas um problema para uma empresa de alto perfil. Um relatório de 2022 do Cyberedge Group descobriu que 71% das empresas foram afetadas por ransomware em 2021.

O ransomware rende uma fortuna aos grupos de cibercriminosos por detrás deste malware desagradável. A Chainanalysis estima que os grupos de ransomware ganharam cerca de 692 milhões de dólares em criptomoedas em 2020.

É provável que os grandes pagamentos da cibercriminalidade, como o ransomware, levem a mais ataques no horizonte. Então, como é que uma empresa comum pode evitar ataques de ransomware?

As cinco melhores maneiras de evitar ataques de ransomware

O ataque do ransomware Colonial Pipeline começou com uma palavra-passe comprometida publicada num site obscuro. Esta palavra-passe estava muito provavelmente na dark web porque foi roubada durante um ataque de phishing. A pirataria de uma conta de funcionário é a porta de entrada para um sistema operativo, e os ataques de phishing constituem uma forma altamente eficaz de obter acesso às credenciais de início de sessão, utilizando ligações ou anexos maliciosos.

O Verizon Data Breach Investigation Report (DBIR) de 2021 atribui 61% das violações a credenciais comprometidas. O mesmo relatório associa um terço dessas violações ao phishing. Um hacker não tem de comprometer a conta de um administrador de rede para obter acesso privilegiado. Se o hacker tiver as credenciais de um funcionário, pode acumular privilégios de acesso uma vez dentro de uma rede.

Os hackers fazem-no utilizando uma técnica conhecida como “movimento lateral”; o hacker utiliza vulnerabilidades noutros softwares, como o protocolo Kerberos e o Active Diretory, para aumentar os seus privilégios até ter as chaves do castelo e poder instalar ransomware (e roubar dados) à vontade.

A cadeia de eventos que leva a uma infeção por ransomware é onde entram as melhores práticas. Se conseguires criar camadas preventivas ao longo dessa cadeia de ataque, podes travar o hacker de ransomware.

Aqui tens cinco das melhores formas de evitar ataques de ransomware:

Boa prática 1: Exercícios simulados de phishing

Esta prática recomendada é a tua camada de base e pode impedir o ransomware antes de se tornar um incidente. O phishing está a desenvolver tácticas cada vez mais sofisticadas, e o spear-phishing ainda mais.

Por exemplo, muitos ataques de ransomware visam um tipo específico de utilizador ou função de empregado. Os atacantes utilizarão então o tipo de linguagem tipicamente utilizado nas trocas de correio eletrónico com esse indivíduo para manipular o seu comportamento. Os exercícios de simulação de phishing devem refletir este nível de sofisticação e fornecer modelos baseados em funções para criar e-mails de spam falsos.

Boa prática 2: Formação holística de sensibilização para a segurança

O phishing e a engenharia social oferecem pontos de entrada numa rede, fornecendo um mecanismo para roubar credenciais de início de sessão. A formação de sensibilização para a segurança é outra camada fundamental da prevenção do ransomware, que dá aos funcionários uma noção da importância de bons comportamentos de segurança.

A higiene da segurança, como a criação de boas palavras-passe e a não partilha excessiva de informações nas redes sociais, ajuda a desenvolver uma camada proactiva em torno de uma organização. Com a simulação de phishing baseada em funções, a formação de sensibilização para a segurança é a proteção mais eficaz contra o ransomware para ajudar a criar uma cultura de segurança.

Prática recomendada 3: Confiança zero e privilégio mínimo

Os utilizadores privilegiados podem ser um alvo altamente eficaz para os atacantes de ransomware. Como tal, atraem os cibercriminosos como as abelhas ao mel. Tanto assim é que dois terços das empresas consideram os utilizadores privilegiados como a sua maior ameaça interna. Por isso, os utilizadores privilegiados têm de ser vistos como um grupo e formados adequadamente nos tipos de phishing e engenharia social a que estão mais expostos.

Além disso, a organização deve definir uma estratégia para lidar com estes utilizadores privilegiados e com o acesso às contas. O princípio do “privilégio mínimo” deve constituir o quadro desta estratégia. Isto enquadra-se num modelo de segurança de confiança zero, em que nunca se confia e se verificam sempre as tentativas de acesso para controlar esse acesso a um nível granular.

A segurança de confiança zero funciona em conjunto com tecnologias facilitadoras, como a Gestão de Identidade e Acesso (IAM), e regras que accionam estas medidas para implementar verificações e medidas robustas, como a exigência de autenticação adicional para aceder a recursos sensíveis.

Prática recomendada 4: Certifica-te de que incluis trabalhadores remotos na tua estratégia de prevenção do ransomware

A pandemia de Covid-19 normalizou o modelo de trabalho híbrido, em que por vezes trabalhamos a partir de casa. O teletrabalho altera a dinâmica da segurança, podendo dar uma vantagem aos cibercriminosos. No entanto, abordagens e medidas específicas permitem evitar que os hackers consigam extorquir os trabalhadores em casa.

Uma delas é a utilização de uma VPN (Rede Privada Virtual) segura . Uma VPN estende a segurança do perímetro de uma rede ao escritório em casa. Uma VPN segura encripta os dados enviados através de ligações Wi-Fi potencialmente inseguras para evitar que informações como dados pessoais ou credenciais de início de sessão sejam interceptadas por um hacker. Uma VPN também pode ser utilizada para garantir que o acesso a aplicações empresariais é seguro.

Para além de uma VPN segura, os escritórios em casa devem ser avaliados para detetar potenciais falhas de segurança, incluindo impressoras domésticas inseguras. Além disso, os trabalhadores no domicílio devem receber formação reforçada de sensibilização para a segurança que reflicta o seu ambiente de trabalho.

Boa prática 5: Protege a tua rede de acordo com uma norma de segurança e efectua avaliações regulares

Várias estruturas e normas de segurança oferecem conselhos sobre a aplicação de uma segurança robusta e a proteção dos seus pontos terminais.

O National Institute for Standards and Technology (NIST) publicou um Cyber security Framework Profile for Ransomware Risk Management. Este documento está atualmente em fase de projeto, mas é um bom recurso para conselhos sobre a prevenção de um ataque de ransomware. O documento baseia-se nas cinco funções do quadro de cibersegurança (também do NIST):

  1. Identifica

  2. Protege

  3. Detecta

  4. Responde

  5. Recupera

A estrutura inclui as nossas cinco melhores práticas para remediar o risco de ransomware.

A ISO27001 é uma norma de segurança internacional que orienta o desenvolvimento de um ISMS (sistema de gestão da segurança da informação). A ISO27001 utiliza uma abordagem holística à segurança que integra pessoas, processos e tecnologia; esta estrutura abrange explorações em todo o panorama de ameaças e inclui engenharia social e explorações técnicas.

Os quadros e as normas fornecem as bases para garantir a aplicação das melhores práticas de segurança. Também têm diretrizes sobre a avaliação destas medidas, que incluem a sensibilização dos empregados para a segurança e a higiene da segurança.

O ransomware é uma ameaça grave para todas as empresas. No entanto, a mitigação do ransomware é possível utilizando as nossas cinco melhores práticas e sendo sistemático no fecho da porta a esta ameaça cibernética mais preocupante.

Risco de ransomware