O ransomware é um dos tipos de ataque cibernético mais comuns atualmente, e um dos mais temidos. Uma vez baixado para o dispositivo do usuário, o malware mantém os dados corporativos como reféns, bloqueando o acesso dos usuários ou tornando os dados indecifráveis ​​por meio de criptografia, até que a organização pague um resgate para restaurá-los.

No último ano, vimos um crescimento nos ataques de ransomware, especialmente devido às incertezas geradas pela pandemia do coronavírus. Desde 2020, as organizações tiveram que fazer grandes mudanças em suas arquiteturas de TI para permitir que os funcionários trabalhassem em casa. Por causa da velocidade com a qual tiveram que implementar essas mudanças, muitas delas ficaram com lacunas em seus sistemas que os cibercriminosos estão muito ansiosos para explorar. 

Dessa forma, é apenas uma questão de tempo até que sua organização sofra uma tentativa de ransomware. A questão mais importante, portanto, é saber como se prevenir e se recuperar em caso de um ataque. E é exatamente sobre isso que falaremos no artigo de hoje!

O que é ransomware e como funciona?

Existem dois tipos principais de ransomware: crypto-ransomware e locker-ransomware. O cripto-ransomware criptografa os dados de uma organização e exige um resgate para que os arquivos sejam descriptografados e devolvidos com segurança. O locker-ransomware funciona quase da mesma maneira, exceto que impede que os usuários acessem os arquivos em vez de criptografá-los, antes de exigir um resgate para que os dados sejam “desbloqueados”. 

Em ambos os casos, o invasor exige o pagamento, ameaçando publicar informações confidenciais ou remover dados permanentemente do sistema se a vítima não pagar. Mas como o ransomware chega ao seu sistema em primeiro lugar?

Bem, geralmente começa com um trojan. Um trojan é um tipo de malware que engana as vítimas fazendo-as pensar que é inofensivo, disfarçando-se como um software legítimo. Trojans são propagados principalmente por meio de e-mails de spam. Se o destinatário abrir o arquivo anexado ou clicar no URL, ele, sem saber, baixa o trojan, que tem o poder de roubar dados confidenciais. 

Mas os invasores também podem usá-lo para espalhar outro malware, como TrickBot ou Qbot. Essa segunda camada de malware se espalha lateralmente pela empresa, roubando credenciais, implantando backdoors e, talvez o mais importante, tentando acessar o controlador de domínio. Se eles conseguirem acessar o controlador de domínio, o invasor poderá implantar um ransomware como o Ryuk, que criptografa os dados da organização e exige o resgate.

 

Alguns ransomware, no entanto, não requerem interação do usuário para se espalhar. Worms como o WannaCry são um tipo de malware que se replica de modo que podem invadir uma rede por meio de uma brecha em um de seus sistemas, sem a necessidade de alguém continuar transmitindo-o por meio de URLs ou anexos maliciosos.

Como se recuperar de um ransomware

Como você pode ver, existem diversas maneiras pelas quais um ransomware pode entrar na sua rede. E embora haja muita discussão sobre como evitar que o ransomware afete seus negócios, as práticas recomendadas para se recuperar de um ataque são um pouco mais difíceis de definir.

Veja abaixo algumas das principais dicas: 

1. Detecção de infecção

Provavelmente, a etapa mais desafiadora para a recuperação de um ataque de ransomware é a percepção inicial de que algo está errado. É também uma das etapas mais cruciais. Quanto mais cedo você detectar o ataque de ransomware, menos dados serão afetados. Isso impacta diretamente quanto tempo levará para recuperar seu ambiente.

O ransomware é projetado para ser muito difícil de detectar. Ao ver a nota de resgate, ela pode já ter causado danos a todo o ambiente. Ter uma solução de segurança cibernética que pode identificar comportamentos incomuns, como compartilhamento anormal de arquivos, pode ajudar a isolar rapidamente uma infecção de ransomware e impedi-la antes que se espalhe ainda mais.

2. Contenção de danos

Depois de detectar uma infecção ativa, o processo de ransomware pode ser isolado e impedido de se espalhar ainda mais. Se o seu ambiente estiver na nuvem, esses ataques geralmente resultam de uma sincronização remota de arquivos ou outro processo conduzido por um aplicativo de terceiros ou plug-in de navegador executando o processo de criptografia de ransomware. 

Explorar e isolar a origem do ataque de ransomware pode conter a infecção para que o dano aos dados seja mitigado. Para ser eficaz, esse processo deve ser automatizado, uma vez que muitos ataques acontecem após o expediente, quando os administradores não estão monitorando o ambiente e a reação deve ser rápida para impedir a propagação do vírus. 

3. Restauração dos dados afetados

Na maioria dos casos, mesmo que o ataque de ransomware seja detectado e contido rapidamente, ainda haverá um subconjunto de dados que precisa ser restaurado. Isso requer bons backups de seus dados para voltar à produção. Seguindo a prática recomendada de backup 3-2-1, é fundamental ter seus dados de backup em um ambiente separado da produção.

A regra de backup 3-2-1 consiste nas seguintes diretrizes:

  • Mantenha 3 cópias de qualquer arquivo importante, um principal e dois backups;
  • Mantenha o arquivo em 2 tipos de mídia diferentes;
  • Manter 1 cópia fora do local.

Se seus backups forem de ambientes SaaS de nuvem, armazená-los “fora do local” usando um fornecedor de backup de nuvem para nuvem alinha-se com esta prática recomendada. Isso irá minimizar significativamente a chance de que seus dados de backup sejam afetados junto com seus dados de produção.

4. Notificação das autoridades

A Lei Geral de Proteção de Dados (LGPD), o regulamento de privacidade atuante no Brasil, exige que as organizações notifiquem a Agência Nacional de Proteção dos Dados (ANPD) sobre qualquer violação em tempo hábil. Por isso, o próximo passo é fazer a comunicação junto à ANPD.

5. Testagem do acesso

Depois que os dados forem restaurados, teste o acesso aos dados e a quaisquer sistemas comerciais críticos afetados para garantir que a recuperação foi bem-sucedida. Isso permitirá que quaisquer problemas remanescentes sejam corrigidos antes de devolver todo o sistema à produção.

Se você estiver enfrentando tempos de resposta mais lentos do que o normal no ambiente de TI ou tamanhos de arquivo maiores do que o normal, pode ser um sinal de que algo ainda está pairando no banco de dados ou armazenamento. Uma varredura deve ser feita então para identificar o possível problema.

Durante um ataque de ransomware, os cibercriminosos podem usar táticas de intimidação para tentar fazer você pagar imediatamente. Lembre-se de não entrar em pânico. O ideal é que você faça backups de suas informações com frequência. No máximo, você pode perder alguns dias de dados, mas esta é certamente uma escolha mais segura do que se envolver financeiramente com o cibercrime.

Gostou do nosso artigo? Assine a newsletter do Grupo Binário para receber mais conteúdos como esse no seu e-mail!