Ransomware em ascensão
Actualmente, as notícias sobre ataques bem sucedidos de resgates não param. Não importa se é um grande oleoduto americano, um produtor e comerciante de carne globalmente activo, criadores de jogos de vídeo, agências governamentais ou ministérios. Por toda a parte há ataques activos e chegam quase diariamente relatos de ataques bem sucedidos.
Mas afinal o que é um serviço de resgate?
Ransomware é um malware que encripta dados seleccionados ou sistemas inteiros e depois deixa uma mensagem a pedir à vítima que pague um resgate. Isto é frequentemente baseado no tamanho da empresa e nos dados encriptados.
No entanto, os dados são também cada vez mais exfiltrados. Ou seja, copiados e descarregados para os sistemas dos perpetradores. Isto é depois utilizado para chantagear a vítima através da publicação destes dados.
Uma vez que cada vez mais empresas têm conceitos de backup em funcionamento, cada vez menos estavam dispostas a pagar o resgate. Mas agora, quando o facto de documentos internos importantes poderem ser publicados subitamente, muitas empresas estão dispostas a pagar o resgate.
No entanto, não há certeza de que os perpetradores se cingirão às suas declarações e não publicarão os dados de qualquer forma.
É importante assegurar que isto não aconteça.
Como se pode proteger contra os resgates?
- Protecção anti-vírus no maior número de sistemas possível. Idealmente combinado com um sistema EDR. Fortinet, por exemplo, oferece uma solução de protecção de alta qualidade com funcionalidade DER com FortiEDR. Isto permite que os ataques sejam detectados numa fase precoce e os danos podem mesmo ser revertidos.
- A redução da superfície de ataque; ter uma visão geral da própria rede tornou-se quase impossível. É aqui que pentesters profissionais ou soluções de gestão de vulnerabilidades podem ajudar. Trabalhamos com o fabricante alemão Greenbone para scanners de vulnerabilidade.
- Redes de segmentos! Apesar de contar para reduzir a superfície de ataque, é mencionado separadamente. Demasiadas poucas empresas
- Com a gestão de direitos, pode garantir que nem todos os empregados trabalham com direitos de administrador local. Isto significa que qualquer malware só pode trabalhar com os direitos que estão disponíveis. Isto restringe severamente a capacidade de acção do malware, ou torna-o mesmo impossível, dependendo do malware.
- Sensibilização dos empregados. Isto é frequentemente subestimado. Todos conhecemos o ditado de que uma cadeia é apenas tão forte quanto o seu elo mais fraco. Se um empregado pensa duas vezes em abrir o anexo deste inesperado e-mail ou porque é que as macros devem ser activadas nos documentos do Microsoft Office, então muito já foi ganho.
O que se deve fazer se se chegou a este ponto?
O BSI faz as seguintes sugestões:
- Não pagar. Isto destina-se a desmotivar os perpetradores a continuarem os seus negócios. Especialmente porque não há garantia de que receberão uma ferramenta de descodificação e que os dados roubados serão destruídos.
-
Apresentar uma queixa criminal junto da polícia. Peritos forenses e investigadores podem ser capazes de resgatar os dados ou pelo menos localizar os perpetradores a fim de os processar e, em última análise, levá-los à justiça.
Pode encontrar um ponto de contacto para os gabinetes de investigação criminal do Estado responsável no sítio web da Aliança para a Segurança Cibernética. - Isolar os sistemas afectados de modo a que não possam comprometer outros sistemas. Deixar estes sistemas num estado comprometido até que os peritos forenses tenham sido capazes de os examinar para obter provas e obter conhecimentos sobre como o sistema foi penetrado e se existem sinais de que outros sistemas tenham sido afectados.
-
Restaurar as cópias de segurança. Se existirem cópias de segurança seguras que não tenham sido comprometidas, elas podem ser utilizadas para restaurar o sistema. Em qualquer caso, o sistema deve ser completamente reiniciado e deve ser assegurado que todos os dados do sistema foram apagados antes de restaurar as cópias de segurança.
Se não tiver uma equipa de segurança informática / equipa de resposta a emergências informáticas na sua empresa, a BSI pode recomendar empresas que possam fornecer o apoio necessário.
Se estiver interessado em proteger a rede da sua empresa, podemos aconselhá-lo. Pode contactar-nos via e-mail, telefone ou através do nosso formulário de contacto.