Segurança da informação: o que é ransomware?
Ransomware é um tipo de malware que nega o acesso de um usuário a arquivos ou sistemas até que uma quantia em dinheiro seja paga em resgate. O ransomware pode infectar sua rede e se espalhar para todos os dispositivos conectados. Os agentes de ameaças podem negar seu acesso a arquivos organizacionais criptografando seus dados, bloqueando sua capacidade de fazer login em dispositivos e usando métodos de extorsão para coagi-lo a pagar o resgate e evitar que seus dados vazem.
Os criminosos podem comprar ransomware na dark web. O código malicioso do ataque já está escrito, eliminando a necessidade de eles saberem como escrever o código. Essa prática é conhecida como ransomware como serviço (RaaS). Além disso, as ferramentas generativas de IA podem ajudar os agentes de ameaças, com pouca ou nenhuma experiência em codificação, a escrever ransomware funcional. Nesta publicação fornecemos dicas para ajudar sua organização a se preparar e se recuperar de um ransomware.
Como o ransomware infecta dispositivos
O ransomware pode infectar dispositivos através de links ou anexos maliciosos encontrados em sites inseguros, em e-mails de phishing e em aplicativos de redes sociais. Os agentes de ameaças geralmente examinam suas redes em busca de informações que possam filtrar e monitorar seus métodos de comunicação antes de implantar o ransomware.
Se o seu dispositivo estiver infectado com ransomware, você receberá um aviso de resgate na tela indicando que seus arquivos foram criptografados e estarão inacessíveis até que o resgate seja pago. Os criminosos muitas vezes ameaçarão destruir permanentemente ou divulgar publicamente seus dados se você não pagar o resgate no prazo solicitado. Freqüentemente, eles solicitarão pagamento na forma de moeda digital, como bitcoin, já que a transferência seria difícil de rastrear. Eles também podem solicitar cartões de crédito pré-pagos ou cartões-presente.
Prepare sua organização
Revise as etapas a seguir para ajudar a preparar sua organização para ficar à frente de ataques de ransomware.
Planeje com antecedência
Desenvolva um plano de resposta a incidentes para abordar como sua organização monitorará, detectará e responderá a um incidente. Seu plano também deve incluir planos de backup, recuperação e comunicações. Seu plano de resposta a incidentes deve designar funções para seus funcionários e fornecer-lhes instruções detalhadas no caso de um incidente. Seu plano deverá estar disponível off-line caso seus sistemas estejam indisponíveis.
Prepare-se para a recuperação
Sua organização deve ter um plano de recuperação em vigor. Em conjunto com seu plano de resposta a incidentes, você deve testar seu plano de recuperação conduzindo simulações ou exercícios passo a passo. O cenário deve testar a eficácia da sua resposta e destacar áreas que necessitam de melhorias.
Forneça treinamento de conscientização de segurança para funcionários
Forneça aos funcionários treinamento personalizado em segurança cibernética e gerenciamento de dispositivos para garantir que eles não sejam vítimas de atividades maliciosas, como e-mails de phishing e downloads infectados.
Considere o seguro cibernético
Pesquise provedores de seguros cibernéticos e detalhes de apólices para determinar se eles podem ser benéficos para a sua organização.
Proteja sua organização contra ataques de ransomware
Use as orientações a seguir para proteger sua organização contra ataques de ransomware.
Aplique métodos de autenticação fortes
Ative a autenticação multifator resistente a phishing, bem como senhas ou senhas fortes e exclusivas em todos os dispositivos e para todas as contas. Considere usar um gerenciador de senhas para criar e armazenar senhas.
Faça backup dos seus dados
Implemente um plano de backup para sua organização. Um backup é uma cópia dos seus dados e sistemas que pode ser restaurada e fornecer acesso aos seus sistemas críticos no caso de um incidente. Os backups devem ser feitos com frequência para garantir que seus dados estejam o mais próximo possível do tempo real. Crie muitas barreiras de segurança entre seus sistemas de produção e seus backups e garanta que seus backups sejam criptografados e armazenados offline, sem conexão com a Internet ou redes locais. Os agentes de ameaças podem infectar seus backups com ransomware se estiverem conectados às suas redes, o que prejudicará seus esforços de recuperação. Testar seu processo de backup também é crucial para uma recuperação rápida e eficaz.
Pratique o princípio do menor privilégio
Gerencie e monitore contas e acessos de usuários aplicando o princípio do menor privilégio. Forneça aos funcionários acesso apenas às funções e privilégios necessários para concluir suas tarefas.
Implemente um modelo de segurança Zero Trust
Use um modelo de segurança Zero Trust (ZT) para proteger dados e infraestrutura contra acesso não autorizado. Os modelos de segurança ZT funcionam com base no princípio de aplicação de confiança zero a todos os usuários, aplicativos e dispositivos, a menos que tenham autenticação e autorização. A autenticação e a autorização são reavaliadas continuamente e verificadas cada vez que o acesso é solicitado a um novo recurso.
Restrinja privilégios administrativos
Implemente a confirmação necessária para quaisquer ações que necessitem de direitos e permissões de acesso elevados e limite o número de usuários com contas e privilégios administrativos. Garanta que as funções administrativas sejam conduzidas a partir de uma estação de trabalho administrativa dedicada. Considere implementar a integridade de duas pessoas (TPI) ou autenticação dupla para validar e verificar tarefas administrativas confidenciais.
Atualize e corrija sistemas e dispositivos
Verifique se há atualizações e patches para reparar bugs e vulnerabilidades conhecidas em seu software, firmware e sistemas operacionais. Os agentes de ameaças podem explorar facilmente sistemas e dispositivos sem correção ou sem suporte.
Desative macros
Certifique-se de desativar as macros como padrão para reduzir o risco de propagação de ransomware por meio de anexos do Microsoft Office. As versões mais recentes da Microsoft desativarão as macros da Internet por padrão.
Segmente redes
Divida sua rede em vários componentes menores. Isso torna mais difícil a propagação do ransomware por toda a rede.
Configure ferramentas de segurança
Instale software antimalware e antivírus em seus dispositivos para detectar atividades maliciosas e proteja sua rede com um firewall para proteger os dispositivos conectados. Considere instalar a filtragem do Sistema de Nomes de Domínio (DNS) em seus dispositivos móveis para bloquear sites maliciosos e filtrar conteúdo prejudicial. Você também pode implementar Autenticação, Relatórios e Conformidade de Mensagens Baseadas em Domínio (DMARC), um sistema de autenticação e relatórios de e-mail que ajuda a proteger os domínios da sua organização contra falsificação, phishing e outras atividades maliciosas. Garanta que os usuários acessem sua rede usando sua rede privada virtual (VPN).
Confira também: Cibersegurança: qual o melhor antivírus gratuito
Procure assistência profissional em segurança cibernética
O envolvimento precoce com um profissional de segurança cibernética pode permitir que você recupere seus sistemas e dados mais rapidamente do que depender de sua equipe interna de TI ao enfrentar um incidente cibernético.
Como se recuperar de um ataque de ransomware
Considere as etapas a seguir para ajudar a remover e reduzir a propagação de ransomware.
- Isole o dispositivo imediatamente
- Relate o incidente
- Altere senhas
- Identifique o tipo de ransomware
- Se você localizar uma ferramenta de descriptografia on-line ou se a aplicação da lei puder fornecer uma, prossiga para a próxima etapa.
- Se não houver nenhuma ferramenta de descriptografia disponível online para sua variedade de ransomware, limpe seu dispositivo com segurança e reinstale o sistema operacional.
- Corrija o ponto de entrada
- Restaure a partir de seu backup
- Atualize e patch
- Revise o incidente e forneça treinamento contínuo.
Para mais detalhes, confira: Segurança da informação: O que é resposta a incidentes?
Riscos de pagar o resgate
A decisão de pagar um agente de ameaça cibernética para liberar seus arquivos ou dispositivos é difícil e você pode se sentir pressionado a ceder às demandas do agente de ameaça. Antes de pagar, entre em contato com o departamento de polícia local e denuncie o crime cibernético. Pagar o resgate geralmente não é aconselhável, devido ao seguinte:
- Isso não garantirá o acesso aos seus arquivos, pois os agentes da ameaça podem exigir mais dinheiro, apesar de receberem o primeiro pagamento do resgate.
- Incentiva os agentes de ameaças a continuarem infectando seus dispositivos ou de outras organizações com ransomware, pois eles presumem que você continuará pagando por cada ataque.
- Os agentes de ameaças podem usar malware de limpeza que se disfarça de ransomware para alterar ou excluir permanentemente seus arquivos assim que o resgate for pago, tornando-os irrecuperáveis.
- Seus dados provavelmente foram copiados e o agente da ameaça pode vazá-los para obter lucro ou usá-los para continuar a extorquir você.
- Seu pagamento pode ser usado para apoiar outros ataques de ransomware ou organizações terroristas.
Curso Ransomware: Identificar, Proteger e Recuperar na Prática da IBSEC
Para proteger sua empresa contra ataques de ransomware, você precisa de conhecimento prático e das melhores ferramentas à sua disposição. É por isso que criamos o curso “Ransomware: Identificar, Proteger e Recuperar na Prática”.
Neste curso, você aprenderá com especialistas em segurança cibernética a identificar os sinais de um ataque de ransomware, implementar medidas de proteção eficazes e desenvolver estratégias de recuperação robustas. Com aulas práticas, estudos de caso e exercícios interativos, este curso é essencial para quem deseja ficar um passo à frente das ameaças cibernéticas.
Inscreva-se agora e esteja preparado para proteger seus dados, seus sistemas e sua organização contra ataques de ransomware. Invista em segurança, invista no futuro da sua empresa. Clique aqui e confira.
