O ransomware é um tipo de malware ou software malicioso que criptografa os dados da vítima e, em seguida, o invasor exige um resgate. Depois que o resgate é pago, o invasor envia uma chave de descriptografia para restaurar o acesso aos dados da vítima, o resgate pode variar de algumas centenas de dólares a milhões. O pagamento geralmente é exigido na forma de criptomoedas, como bitcoins.
Como exatamente isso funciona? O que o torna tão destrutivo? E como as organizações podem impedir isso?
Por que o ransomware é tão perigoso, especialmente agora?
Os dados são a força vital de todas as organizações e geralmente interrompem as operações quando não estão disponíveis. Historicamente, o ransomware visava sistemas individuais e exigia algumas centenas de dólares para recuperar dados nessa máquina específica. Agora, por meio do “grande jogo”, os agentes de ameaças perseguem alvos maiores e se movem lateralmente em um ambiente para alcançar sistemas mais críticos. Assim que obtêm acesso, eles implantam o ransomware em vários pontos da rede para que a vítima esteja mais disposta a pagar um resgate muito alto (às vezes na casa dos milhões).
Por que não apenas pagar o resgate?
Especialistas em segurança e governo desencorajam as empresas a pagar um resgate, pois isso simplesmente continua a alimentar o ciclo de ataque. Se um invasor receber um pagamento de resgate de seu alvo, isso o motiva ainda mais a atacar a organização novamente, sabendo que provavelmente pagará. E, claro, só porque uma organização decide pagar um resgate nem sempre significa que seus dados serão restaurados ou que suas informações confidenciais não serão divulgadas a terceiros.
O que podemos fazer para parar o ransomware?
Como o ransomware se tornou tão multifacetado, nossas proteções também devem ser. Nenhuma tecnologia ou melhores práticas por si só pode impedi-lo. A educação do usuário final também deve desempenhar um papel fundamental no combate ao ransomware, para que os funcionários saibam o que está em jogo quando navegam e clicam sem pensar. No entanto, de acordo com Wendy Nather, CISO da Cisco, existe um jeito certo e um jeito errado de fazer isso.
Wendy compartilhou que, quando os exercícios de phishing são realizados dentro de sua unidade de negócios, os funcionários que o denunciam são celebrados (em vez de punidos por aqueles que se apaixonam). “É uma ótima maneira de enfatizar e motivar os tipos de comportamentos que queremos ver”, acrescentou.
Se você não sabe por onde começar a se defender contra ransomware, comece com a higiene cibernética básica.
- Mantenha os sistemas corrigidos e atualizados. A aplicação de patches automatizada pode ajudar a garantir que nada vaze e também pode reduzir a carga sobre suas equipes de segurança e TI. Das 25 práticas recomendadas que analisamos em nosso Estudo de resultados de segurança de 2021, a tecnologia de atualização proativa foi considerada como tendo o efeito mais forte na melhoria das defesas gerais.
- Sempre faça uma cópia de backup de seus dados para que possam ser recuperados em caso de emergência. Armazene backups offline para que invasores cibernéticos não os encontrem. Desenvolva um plano de recuperação de dados que possa ajudá-lo a alcançar a restauração em escala, garantindo a continuidade dos negócios.
- Mantenha um inventário preciso e atualizado de seus ativos. Máquinas mais antigas e negligenciadas geralmente fornecem entrada para invasores.
- Realize avaliações de risco contínuas para descobrir quaisquer vulnerabilidades em sua infraestrutura.
- Criptografe dados confidenciais e segmente sua rede para que os cibercriminosos não possam acessar facilmente sistemas críticos.
- Certifique-se de que seus funcionários estejam familiarizados com segurança cibernética e ransomware. Ensine a eles a importância de senhas fortes, como identificar um e-mail de phishing, o que fazer se receberem comunicações suspeitas e muito mais.
- Mantenha-se informado sobre os riscos e táticas defensivas mais recentes e tenha um plano de resposta a incidentes sólido para lidar com ameaças inesperadas. Organizações como a Cisco Talos oferecem serviços de resposta a incidentes para ajudá-lo a se preparar, responder e se recuperar de violações.
- Preste atenção ao guia de ransomware de entidades governamentais como CISA e NIST.
E, claro, certifique-se de implementar uma gama completa de soluções de segurança para cobrir os muitos vetores de ameaças que os invasores usam para entrar, incluindo:
Firewall seguro – Evite que ataques invadam sua rede com firewall modernizado e tecnologia de prevenção de intrusões.
Secure Email – Bloqueie o ransomware entregue por spam e phishing e identifique automaticamente URLs e anexos maliciosos.
Segurança na nuvem e na web – Proteja os usuários contra ransomware e outros malwares enquanto navega na Internet ou usa aplicativos em nuvem.
Secure Edpoints: detecte e repare as ameaças que infectam os diversos endpoints em seu ambiente.
Acesso seguro – Certifique-se de que apenas usuários e dispositivos autorizados acessem seus recursos por meio de autenticação multifator (MFA) e outras medidas de segurança.
Por: Ghassan Dreibi – Cisco | Tradução de Mayara Pimentel
