O risco de ataques de resgate nunca foi maior, uma vez que os cibercriminosos evoluíram os seus ataques e malware para serem mais difíceis do que nunca de detectar e prevenir. O último relatório Sophos "The State of Ransomware 2021" resume-o com cerca de metade dos inquiridos a acreditar nisso: "...os ataques de malware estão a tornar-se cada vez mais difíceis de parar devido à sua sofisticação".
A intervenção tecnológica está a ajudar um pouco na prevenção de ataques de resgates, mas não é suficiente. O relatório Sophos destaca o facto de os atacantes de resgates estarem a utilizar uma mistura de "spray e pagamento" fora da prateleira e de mira individual. É esta segmentação de indivíduos que acrescenta uma camada de dificuldade na utilização de tecnologia para prevenir ataques.
Devido ao enfoque no humano, os funcionários individuais desempenham um papel crucial na defesa de uma organização contra ataques cibernéticos de todo o tipo, incluindo os resgates. Eis as nossas sete principais sugestões para dotar os funcionários dos conhecimentos necessários para reduzir o risco de um ataque de resgate.
Como os empregados podem ajudar a evitar o risco de ataques de resgate
Os ataques de resgate vêm em muitas formas, mas um alvo regular de um hacker é um indivíduo. Os nossos empregados são uma porta de entrada na organização se um cibercriminoso souber como abrir essa porta. A chave para essa porta é frequentemente a engenharia social e o phishing, que inicia o processo de acesso às áreas protegidas de uma rede. Ao capacitar os nossos empregados com uma compreensão de como os ataques de resgate começam, uma organização pode reduzir a probabilidade de acabar como vítima de malware. Aqui estão sete formas principais de os empregados reduzirem o risco de um ataque de resgate de software:
Formar os funcionários para detectar os Sinais de Conto de Phishing
O phishing é um facilitador de ataques de resgate. Phishing e os resultados de phishing e spear-phishing, tais como credenciais de login roubadas, formam o ponto de partida de muitos ataques de resgate de software. Quando um atacante tem direitos de acesso, pode utilizar essas credenciais para enviar emails internos (contendo malware ou links para websites infectados com malware) e/ou login para sistemas empresariais utilizando o Remote Desktop Protocol (RDP). Uma vulnerabilidade recente do Windows demonstra como é fácil aumentar os privilégios usando credenciais de login roubadas. A vulnerabilidade, conhecida como PrintNightmare, facilita a utilização de credenciais de início de sessão não privilegiadas para aumentar os privilégios do utilizador para permitir a instalação de malware através de uma rede.
O acto de capacitar os funcionários com conhecimento de como funcionam os e-mails de phishing e os sites de falsificação pode ajudar a parar uma infecção por resgate no ponto de partida de um ataque. Uma ferramenta que é utilizada para ajudar a treinar os empregados a detectar uma tentativa de phishing é a utilização de simulações de phishing. Esta é uma ferramenta que pode ser adaptada às suas necessidades empresariais específicas para ensinar os funcionários a identificar uma ameaça de phishing e reduzir o risco de ameaças de resgate.
Comunicar imediatamente qualquer e-mail suspeito
Se um incidente acontecer, por exemplo, um empregado clica num link de phishing e introduz credenciais num site falsificado, a acção atempada é essencial. Uma empresa tem uma pequena janela de oportunidade para mitigar a ameaça e impedir que um incidente se torne uma infecção de resgate. Um relatório da Agari descobriu que, uma vez roubadas as credenciais, dois terços das contas de correio electrónico serão comprometidos no mesmo dia.
A comunicação de incidentes deve fazer parte da cultura da sua organização. Mas a comunicação de incidentes precisa de ser encorajada e simplificada através da utilização de um sistema de comunicação baseado no fluxo de trabalho, concebido para levar a informação do incidente rápida e simplesmente antes de enviar os dados à pessoa mais apropriada para tratar, para ajudar a minimizar o risco de ataques de resgates.
Não Partilhar Informação Pessoal
As mensagens de phishing são frequentemente adaptadas a funcionários específicos para as tornar mais eficazes. Os atacantes podem utilizar truques de engenharia social para obter informações pessoais para criar estas mensagens personalizadas de phishing de lanças. Ensine o seu pessoal a não fornecer dados pessoais, a menos que seja necessário. Isto inclui a publicação de informação em plataformas de meios de comunicação social, que são arrastadas para os dados dos empregados das empresas visadas.
Não abra anexos suspeitos em e-mails
Os empregados não devem abrir anexos, a menos que tenham a certeza de terem vindo de uma fonte legítima. Os e-mails de phishing também podem ser utilizados para entregar directamente o serviço de resgate utilizando anexos maliciosos. Um exemplo de entrega de resgates através de anexos de correio electrónico é o esquema de facturação. O e-mail parece ter vindo de um colega ou de um associado comercial, e contém o que parece ser uma factura, tipicamente como um documento PDF ou Word ou por vezes um ficheiro zip. Se um empregado clicar para abrir o anexo, esta acção inicia um download de malware através de uma ligação no ficheiro anexo. O malware irá explorar quaisquer vulnerabilidades (conhecidas ou desconhecidas) para executar o código, infectar a máquina e exibir um pedido de resgate.
Utilizar apenas Fontes Verificadas e Conhecidas para Downloads de Ficheiros
Os funcionários nunca devem descarregar ficheiros ou meios de comunicação de sítios não configurados. A táctica conhecida como drive-by-download é utilizada por cibercriminosos para descarregar software malicioso sem o conhecimento ou consentimento do utilizador. Os ataques drive-by-download utilizam scanners para procurar vulnerabilidades em navegadores e outro software de dispositivo que é depois explorado para instalar o software de resgate. Embora a sua equipa de segurança possa pôr em prática medidas tais como manter os patches de software actualizados, os funcionários devem ser treinados para trabalhar com políticas de segurança que reconheçam os perigos online de drive-by-downloads para prevenir o risco de ataques de "ransomware".
Utilizar uma VPN Quando se utiliza uma rede pública Wi-Fi
Se um empregado trabalha à distância, precisa de estar consciente dos perigos de utilizar hotspots públicos Wi-Fi não seguros. Se um Wi-Fi privado e seguro não estiver disponível, os utilizadores devem ligar uma Rede Privada Virtual (VPN), ou melhor ainda, ter sempre uma VPN a funcionar. Uma VPN cria um túnel encriptado entre o navegador do utilizador e a Internet. A VPN impede qualquer ataque 'Man-in-the-Middle' pelo qual um estranho malicioso rouba dados, tais como credenciais de login ou informações pessoais, ou mesmo potencialmente, injecta código malicioso, tal como um resgate.
Não Reutilizar Senhas
As palavras-passe roubadas estão disponíveis para venda na teia escura e estão por detrás de 81% das violações de dados relacionados com a pirataria informática, segundo a Verizon. Estas "palavras-passe para venda" provêm de credenciais previamente pirateadas e de bases de dados pirateadas. Os cibercriminosos que compram estas listas utilizam depois ferramentas de automatização para piratear as contas existentes. Até as senhas de hash de violações de bases de dados podem ser quebradas. A reposição forçada de palavras-passe também não funciona, uma vez que muitos empregados simplesmente adicionam um número ou letra extra ao fim de uma palavra-passe anteriormente utilizada. As políticas de senhas de empresas precisam de ser aplicadas através de uma cultura de entendimento de que a segurança é importante para todos.
Construa um Campo de Força de Resgate com os seus Empregados
Um ataque de resgate pode ter consequências graves para as organizações, pois pode encriptar os ficheiros da vítima, tornando-os inacessíveis, e exigir o pagamento de um resgate em troca da chave de desencriptação. Se o resgate não for pago, o atacante pode ameaçar apagar ou vazar os ficheiros encriptados, causando danos significativos. O resgate é um grande negócio e os criminosos cibernéticos por detrás dos ataques são sérios a esse respeito. Numa recente exposição, um novo bando de resgate, BlackMatter, ofereceu $100.000 para o acesso exclusivo à rede de uma organização para implementar um resgate e exfiltrar dados.
Contudo, a prevenção de resgates não é uma solução simples; o seu pessoal pode ser uma defesa eficaz na linha da frente contra ataques. Ao incluir os seus funcionários numa abordagem de 360 graus para prevenir o risco de ataques de resgates, uma organização pode esperar evitar um ataque.
