O que fazer quando sua empresa é atingida pelo Ransomware
O ransomware é uma forma tão lucrativa de crime cibernético que se tornou um setor autossustentável com suas próprias mudanças e tendências. Alguns anos atrás, por exemplo, desenvolvedores e operadores de ransomware estavam principalmente interessados em usuários domésticos. Atacar computadores pessoais era barato, e algumas técnicas inteligentes de engenharia social garantiam que a taxa de sucesso não fosse ruim. Enquanto isso, a cultura de backup das pessoas não era exatamente ótima, o que significava que, para muitos, a única opção de recuperar seus dados era pagar o resgate. Então, no entanto, as coisas começaram a mudar.
Índice
Os operadores de ransomware passaram de usuários domésticos para empresas e grandes organizações
O ano de 2017 sofreu um grande número de surtos de ransomware, o WannaCry e o NotPetya, que ganharam muita publicidade. Eles não eram voltados especificamente para usuários domésticos, mas os usuários domésticos os viram nas notícias e gradualmente se familiarizaram com a ameaça. Eles perceberam a importância dos backups e se prepararam melhor para lidar com ataques de ransomware.
Para ser justo, os criminosos cibernéticos não estão particularmente interessados em compartilhar suas declarações de renda, mas o fato de as infecções por ransomware em PCs domésticos estarem em declínio nos últimos dois anos sugere que menos usuários finais tendem a ceder aos hackers. demandas. Isso não significa, no entanto, que o negócio de ransomware esteja diminuindo.
A certa altura, os operadores de ransomware perceberam que o esforço extra de atacar organizações em vez de usuários individuais pode valer a pena e, desde então, os principais incidentes de ransomware envolvem principalmente empresas, organizações de saúde e instituições governamentais. Um surto de ransomware em uma empresa privada pode ser especialmente prejudicial, e é por isso que as pessoas precisam aprender a reagir à ameaça não apenas quando estão em casa, mas também no escritório.
Como uma infecção por ransomware pode afetar sua empresa?
De uma perspectiva puramente técnica, um ataque de ransomware apresenta uma empresa com dois grandes problemas: perda de dados e tempo de inatividade.
Ter seus dados bloqueados é o problema mais óbvio. Uma infecção bem-sucedida por ransomware pode criptografar segredos comerciais, informações específicas do produto e detalhes do cliente. Perder esse tipo de dados pode levar à morte da sua empresa, o que significa que você pode ficar tentado a considerar cumprir as demandas dos hackers e pagar o resgate. Mesmo se você tiver, no entanto, não poderá ter garantias de que todas as informações serão retornadas ao seu estado de pré-infecção. Este não é o único problema, no entanto.
Por natureza, as infecções por ransomware são bastante barulhentas. Se você se encontrar do lado errado de um ataque, será informado do que está acontecendo e seus clientes descobrirão que algo está errado rapidamente. Uma infecção por ransomware pode interromper completamente a operação de uma empresa e impedir que ela atenda seus usuários. Inevitavelmente, a causa do problema será tornada pública e plantará a semente da incerteza em seus usuários, que assumirão que sua empresa não está cuidando particularmente bem da segurança de seus dados. O que tudo isso significa é que lidar com a situação o mais rápido e eficientemente possível é extremamente importante.
Como sua empresa deve reagir a um ataque bem-sucedido de ransomware?
Como você pode ver, as duas principais coisas em que você precisa pensar são evitar a perda de dados e minimizar o tempo de inatividade. Se você trabalha para uma empresa atingida por ransomware, deve se certificar de que a recuperação do ataque leve o mínimo de tempo possível, mas também verifique cuidadosamente se todos os arquivos estão onde precisam estar antes de colocar a empresa volta ao modo operacional. É um processo estressante que requer muita concentração e um esforço coordenado de todos os responsáveis.
Se o malware conseguiu se infiltrar nos seus sistemas, conter a propagação deve ser sua maior prioridade. Nunca subestime relatórios de comportamento estranho dos funcionários e, se descobrir que apenas um computador foi atingido por ransomware, verifique se todas as partes da infraestrutura de TI da empresa que podem estar conectadas a ele tiveram seus cabos de rede desconectados. As famílias modernas de ransomware vêm com componentes semelhantes a worms que permitem que o ataque se espalhe rapidamente, e os hackers querem bloquear o maior número possível de terminais com a idéia de exigir um resgate maior. Quanto maior o número de PCs criptografados, mais tempo você precisará para colocar tudo online novamente.
Já mencionamos que minimizar o tempo de inatividade deve estar no alto da sua lista de prioridades. Dito isto, você não deve apressar o processo. Antes de ligar tudo, verifique se todos os traços do ransomware foram removidos e verifique se tudo está operacional. Atrasos adicionais não vão deixar seus clientes muito felizes, mas dizer a eles que você está de volta aos negócios e fazê-los enfrentar mais problemas pode deixá-los ainda mais chateados do que já estão.
Falando nisso, se você realmente quer fazer com que seus usuários se sintam menos mal com o que aconteceu, tente ser o mais transparente possível sobre o ataque. Diga a eles como os hackers entraram, o que você fez para detê-los e o que planeja fazer para evitar futuros ataques. Diga a seus usuários como o ataque os afetará e os serviços pelos quais eles pagaram, e não esconda nada. Embora algumas empresas pareçam pensar que essa é uma boa estratégia, subestimar o problema geralmente sai pela culatra e causa ainda mais danos à reputação do que o próprio ataque.
Há muito em que pensar, e mesmo que você faça tudo de acordo com o livro, as consequências ainda podem ser horríveis. Em julho de 2018, por exemplo, o LabCorp, uma das maiores redes de laboratórios do mundo, foi atingido pelo ransomware SamSam. Embora sua equipe de TI tenha agido rapidamente para conter o malware, o SamSam ainda conseguiu infectar cerca de 7 mil pontos de extremidade e quase 2 mil servidores.
Mais recentemente, o câmbio Travelex foi atacado pelo ransomware Sodinokibi (também conhecido como REvil) e, por mais de duas semanas, seus funcionários foram forçados a usar canetas e pedaços de papel para realizar seus trabalhos.
Um ataque de ransomware provavelmente causará todos os tipos de problemas, especialmente se estiver direcionado a uma organização maior. Com o risco de cair na armadilha do clichê, devemos dizer que tomar medidas ativas de prevenção é a melhor estratégia na luta contra esse tipo de ameaça.
O que você pode fazer para impedir um ataque bem-sucedido de ransomware?
Instalar um programa antivírus nos computadores dos funcionários e fazer backup dos discos rígidos não é suficiente. Mais uma vez, estamos falando de um processo complexo que apresenta muitas armadilhas, e o estado saudável dos negócios de ransomware mostra claramente que as empresas cometem erros o tempo todo.
Um produto de segurança simples não pode salvar o dia se todo o seu sistema de TI for baseado em software antigo que não recebeu seus patches de segurança. Nada além das Nações Unidas aprendeu da maneira mais difícil a importância das atualizações de segurança e, se você é responsável por manter a rede de uma empresa inteira, não tem desculpas para executar um software que possua vulnerabilidades de segurança conhecidas.
Também não há desculpa para redes mal configuradas. Muitas das famílias de ransomware que atualmente se destinam a organizações se propagam por meio de protocolos de rede não seguros que foram deixados em aberto por administradores de sistemas descuidados. As senhas padrão também são um destaque frequente de vários relatórios sobre incidentes de ransomware, o que mostra que a engenharia social nos emails de spam está longe de ser a única arma no arsenal dos hackers. Dito isto, treinar seus funcionários para não clicar em links e anexos aleatórios em mensagens inesperadas é sempre uma boa idéia.
Como você pode ver, já existem muitas tarefas a serem resolvidas e nem sequer abordamos a questão do backup de dados.
Toda empresa deve ter uma estratégia sólida de backup, e criar uma não é tão fácil quanto parece. Dependendo de como você usa seus dados, é necessário pensar na frequência com que é necessário fazer backup, mas talvez mais importante, você deve pensar no mecanismo real para criar backups.
Idealmente, você seguirá a regra 3-2-1, que estabelece que você deve ter 3 cópias de seus dados armazenadas em 2 locais diferentes, 1 dos quais fora do local. Se você não consegue seguir essa estratégia, deve testar regularmente seus backups para garantir que eles funcionem, além de mantê-los desconectados do resto de seus sistemas de TI. Dessa forma, um possível ataque de ransomware não poderá afetar as cópias dos seus dados.
Essas são apenas algumas das coisas que você precisa considerar e, dependendo dos negócios da empresa em que trabalha, pode haver muitos outros fatores que você deve ter em mente. Em suma, tentar proteger uma empresa contra um ataque de ransomware é indiscutivelmente mais doloroso do que limpar a bagunça depois que ela já foi atingida. Dado o quão devastador o dano poderia ser, no entanto, o esforço vale a pena.
