O sequestro de dados de um negócio exigindo um resgate (em inglês “ransom“) tem se tornado uma forma de ataque cada vez mais comum. Uma pesquisa da Kaspersky mostrou que o volume desse tipo de ameaças aumentou 25% nos últimos três anos. Em 2019, o Breach Investigations Report, estudo realizado pela Verizon, também reafirmou essa informação: “Os ataques de ransomware têm se tornado tão comuns que já não chamam a atenção da mídia especializada, a menos de que aconteçam com empresas do alto escalão”.
Essa estranha familiaridade pode fazer com que as pessoas deixem de se preocupar com eles, mas, na verdade, este é o momento ideal para que você comece a se planejar e pensar o que sua empresa pode fazer para prevenir e lidar com esse tipo de ataque tão comum.
O que são business ransomware?
Não, não são aqueles e–mails de spam que afirmam ter seus dados pessoais. Um ransomware é um tipo de ataque sofisticado e envolve uma série de etapas.
Primeiro, os criminosos encontram uma forma de acessar um endpoint, que é uma porta de entrada para seu sistema. Geralmente, utilizam métodos como engenharia social ou phishing para obter as credenciais e senhas de alguém da sua equipe ou conseguem invadir por meio de um pen-drive infectado. Depois, inserem um malware no sistema que criptografa arquivos e pastas. Finalmente, o malware envia um aviso ao usuário dizendo que sua máquina está infectada e exigindo um resgate em troca daqueles arquivos.
Para aumentar a pressão, o invasor geralmente dá ao usuário um prazo limitado para realizar o pagamento.
Os criminosos têm o costume de estudar a infraestrutura do alvo para entender que bases de dados e diretórios são os mais importantes. Logo, eles combinam diversos produtos e serviços maliciosos para hackear o sistema pouco a pouco, em uma determinada ordem. Quando não são pagos imediatamente, os invasores costumam divulgar abertamente os dados sequestrados.
As indústrias mais vulneráveis ao ransomware
Não existe segurança perfeita. Inclusive, existe a chance de que alguém já tenha invadido sua infraestrutura de TI, mas ainda não tenha atacado. Toda empresa é um alvo em potencial.
Mas, as brechas causadas pelo ransomware não costumam ser incidentes isolados. É bem comum que esse tipo de ataque aconteça quando há uma série de erros de segurança de TI ou práticas não-recomendadas na área. Se o seu negócio não oferece treinamentos e programas de conscientização sobre segurança digital ou tem atrasos nos sistemas de atualização e patching, os riscos se tornam ainda maiores.
Ataques ao alto escalão: o ransomware high-profile
Criminosos digitais têm usado ransomware para atacar empresas gigantes nos últimos anos.
Eliminando os dados
O maior ataque de todos os tempos, ou ao menos o mais caro para as vítimas, foi o ataque às gigantes da logística Maersk e FedEx, chamado de NotPetya (também conhecido como ExPetr). A invasão derrubou os sistemas de ambas por semanas e foi feito através de um worm, uma espécie de vírus que apaga dados, causando centenas de milhões de dólares em danos.
Agora você vê, agora você não vê
O ransomware LockerGoga foi outro ataque famoso e teve a companhia norueguesa de alumínio e energia renovável Norsk Hydro como vítima. O malware tinha uma estrutura muito avançada, com a habilidade de se autodeletar quando fosse detectado, para prevenir que os pesquisadores pudessem analisá-lo.
Segundo a Norsk Hydro, o prejuízo causado não foi tão grande graças a um bom sistema de backups que a empresa mantinha, mas ainda assim as perdas chegaram a cerca de US$ 90 milhões.
Um conto de 174 cidades. E contando…
Ataques por ransomware a sistemas governamentais também estão em alta. Somente em 2019, criminosos digitais atacaram aproximadamente 174 prefeituras dos Estados Unidos via ransomware, cerca de 60 cidades a mais que no ano anterior. A cidade de Baltimore, por exemplo, uma das maiores do país, sofreu dois ataques em 2018 e 2019 que juntos custaram mais de US$ 18 milhões aos cofres públicos.
Um dos ataques, inclusive, tirou do ar o sistema de resposta emergencial da cidade.
Nem todos os pacientes se recuperam
A empresa de seguros de saúde californiana Wood Ranch Medical anunciou que estava encerrando suas operações no final de 2019, como resultado de um ataque por ransomware. Isso porque o ataque havia criptografado tanto os registros médicos dos pacientes quanto os backups da empresa.
Como evitar um ataque de ransomware
1. Tenha as ferramentas certas para entender as vulnerabilidades
Seu departamento de segurança de TI precisa de ferramentas para investigar o que aconteceu em cada ataque e que partes da infraestrutura precisam ser atualizadas ou substituídas. Será que você não está executando um app ou ponto de acesso solto? Você tem pontos de rede abertos e não-monitorados? Os acessos escalonados a conteúdos restritos estão sendo monitorados?
Entender e verificar as raízes de problemas significa saber sua postura de defesa, ou seja, o status de segurança da sua rede e dos seus dados, e a capacidade que você tem de defendê-los, reagir a qualquer tipo de mudanças e monitorar sua resposta a incidentes.
2. Fique atento ao patching e às atualizações
Invasores hoje em dia vasculham a internet procurando por servidores e aplicativos desatualizados. Com isso, muitos ataques de ransomware acontecem rapidamente, apenas dias depois de que essas vulnerabilidades sejam detectadas pelos criminosos.
Atrasos são convites a invasões. Por isso, para evitar ataques, assegure que seus programas de patching cubram todos os endpoints, tanto os físicos quanto aqueles na nuvem.
3. Teste regularmente seus procedimentos de recuperação e resposta
Faça o backup de dados essenciais e assegure que esses backups estejam intactos e sejam recuperáveis. Pratique os procedimentos de recuperação e desenvolva uma ordem correta para restabelecer os dados em caso de problemas e invasões. Identifique seus arquivos mais valiosos e garanta que eles estejam resguardados. E revise regularmente esta lista para ter certeza de que não esqueceu de nada.
Backups de dados e procedimentos de recuperação devem ser o ponto de partida para qualquer plano de resposta emergencial. Esse plano deve incluir exercícios e treinamentos regulares e programados, tanto de “table top” (reuniões organizadas onde cada um cumpre um papel assinalado) até a resolução de problemas organizacionais e a simulação de ataques. Tudo isso pode ser utilizado para encontrar elos fracos e obstáculos que possam bloquear a volta da infraestrutura ao ar.
Além de tudo, seu plano de resposta também deve considerar um seguro digital para te proteger em casos de vazamento. Pesquise com cuidado as opções para saber qual é a cobertura ideal para o seu negócio.
4. Melhore seu programa de segurança e a média de segurança das suas senhas
Senhas fracas foram a causa de cerca de um terço de todos as tentativas de ransomware em 2019. Realizar treinamentos regulares sobre cibersegurança é a melhor maneira de ajudar os usuários a melhorar a intensidade das suas senhas. Instale um gerenciador de senhas para toda a empresa ou uma ferramenta de verificação pessoal e ponha no ar um sistema de autenticação de múltiplos fatores (MFA) para usuários que lidem com dados privados e tarefas relacionadas a dinheiro.
O quê fazer se seu negócio for atacado por um ransomware
Ao aumentar sua segurança, será mais difícil que você fique a mercê de um sequestro de dados. Ainda assim, você faz um favor para sua empresa ao se preparar para caso isso aconteça.
1. Planeje meios de comunicação alternativos
Vítimas de ransomware muitas vezes ficam incomunicáveis porque sistemas como o e-mail, chamadas telefônicas e mensagens de texto podem estar afetados pela invasão. Por isso, inclua formas alternativas de comunicação na sua empresa dentro dos planos de emergência, como WhatsApp, Skype ou SMS, mas tenha em mente que esses tipos de sistema também não costumam ser os mais seguros.
2. Defina se você está disposto a pagar um possível resgate
Caso a resposta seja “sim”:
Nos EUA, o FBI têm suavizado sua política contra o pagamento de resgates nos últimos anos. Duas cidades da Flórida, por exemplo, votaram a favor do pagamento de resgates de dados nos valores de US$ 500 e 600 mil, prejuízos provavelmente muito menores do que seriam os custos para restaurar seus respectivos sistemas.
Caso a resposta seja “não”:
Pagar o resgate não significa que o criminoso vai honrar sua palavra. Nada impede que ele faça ainda mais exigências e o que o vírus já esteja instalado dentro do seu sistema.
Mas ainda que o termo “resgate” remeta a um sequestro, onde há riscos reais para a integridade e a vida de pessoas, a menos que você opere um hospital, é bem improvável que um ransomware tenha consequências físicas. No fim das contas, pagar o resgate pode ser mais barato da primeira vez, mas também faz a sua empresa se tornar um alvo mais fácil para futuros ataques.
O projeto No More Ransom, cujos membros incluem a Europol e a Kaspersky, aconselha as vítimas de ataques desse tipo a não pagar o resgate. Ao mesmo tempo, o projeto trabalha para reduzir o impacto dos ataques de ransomware ao fornecer ferramentas grátis para retirar a criptografia de arquivos.
Ou seja, ainda que essa seja uma ameaça crescente, é possível evitar maiores impactos e prejuízos causados por esses ataques com uma segurança bem alinhada e planejamento prévio. Entender o alcance dos ransomware e estabelecer treinamentos e exercícios regulares para preveni-los é o que vai determinar se seu negócio conseguirá responder bem a um ataque ou não.
