Nos últimos anos, os hackers que bloqueiam redes de computadores inteiras, exigindo pagamentos para permitir que os usuários voltem aos seus sistemas, tornaram o ransomware um dos ataques cibernéticos mais assustadores e caros.
Não é fácil contabilizar casos porque muitas vítimas pagam as exigências de resgate sem pedirem qualquer ajuda de profissionais de cibersegurança, nem comunicar autoridades. E o pagamento, na maioria das vezes, não garante que os arquivos roubados serão devolvidos. Em média, as chances de recuperação após o pagamento do resgate são menores do que 15%.
Outro agravante é o valor médio cobrado para liberar arquivos em ataques assim, que não para de crescer. Aumentou para 84 mil dólares no último trimestre de 2019, mais que o dobro do que era no trimestre anterior, de acordo com dados levantados pela ISH Tecnologia. Em dezembro do mesmo ano, já estava em 190 mil dólares.
Ainda assim, os números não correspondem ao custo real de um ataque de ransomware. As operações em fábricas e organizações são interrompidas de forma tão brutal que não é incomum, depois de um sequestro de dados, essas empresas acabarem fechadas.
Há uma escalada dramática nas ocorrências. O ransomware evoluiu para uma indústria com centenas de gangues disputando as vítimas mais lucrativas na dark web. Quando as vítimas não pagam, alguns grupos adotaram a prática de liberar publicamente arquivos sigilosos, para aumentar a pressão e obrigá-las a efetuar a transação.
Evitar um caso de ransomware não é simples. Mas existem medidas que podem ser adotadas agora em qualquer empresa capazes de dificultarem uma invasão.
Monitore as alterações do Active Directory
O monitoramento das alterações do Active Directory, principalmente fora do horário comercial e nos fins de semana, é uma maneira eficaz de captar os sinais de um ataque antes que saia de controle. Em casos recentes de ransomware, a empresa não estava monitorando proativamente as alterações do Active Directory, especialmente as políticas de grupo. Os invasores modificam uma diretiva de grupo para criar uma tarefa agendada para que uma determinada atividade seja executada, que pode ser a instalação de um arquivo malicioso. Assim, de um jeito fácil e rápido, o hacker distribui o ataque por um ambiente.
Faça o isolamento de estação de trabalho
A maioria das organizações permite que estações de trabalho se comuniquem entre si. Se essa comunicação for limitada, uma estação de trabalho comprometida não poderá ser usada pelo atacante para invadir outras estações.
Separe a rede em perímetros e crie segmentações, como perímetros de servidores, estações de trabalho, web servers e banco de dados, e coloque firewalls em todas essas áreas. Se a empresa utiliza serviços na nuvem, VPNs também são necessárias.
Tenha um programa de gerenciamento de vulnerabilidades
Isso é diferente de rodar patches. Embora o patch seja extremamente importante, não é suficiente. O objetivo do patch é diminuir as falhas de segurança nos aplicativos de software. No entanto, não são as únicas lacunas com as quais você deve se preocupar.
As falhas de segurança podem estar relacionadas à configuração. Uma empresa pode ter os sistemas atualizados, mas se os sistemas internos estão operando sob protocolos inseguros, como NTLMv1, é um desastre anunciado.
Um programa contínuo de gerenciamento de vulnerabilidades, que envolva verificações regulares de ativos externos e internos, é o recomendado. Além disso, é importante priorizar a correção com base na gravidade das vulnerabilidades identificadas, o que pode ou não estar relacionado a um patch. E claro, corrija tudo o que for detectado.
Implemente autenticação multifator (MFA)
Ter senhas fortes é insuficiente. Uma coisa que muitas empresas atacadas têm em comum é que, no período do incidente, o MFA não estava em uso. Exigir uma segunda forma de autenticação ajuda a garantir a identidade, já que a MFA costuma ser algo mais difícil para um atacante obter.
Faça backups offline
Em muitos incidentes, a solução de backup empresarial do cliente foi completamente excluída pelos invasores, no entanto, os backups offline na nuvem garantiram a recuperação dos arquivos.
Claro, essas não são as únicas ações que poderiam servir como proteção adicional contra ransomware. Mas essas são algumas estratégias simples e eficazes que podem ser facilmente implementadas e proporcionar algumas vitórias na guerra contra o ransomware.
Por: Anderson Gontijo