A segurança cibernética é um aspecto que vem ganhando cada vez mais visibilidade dentro das empresas. Isso acontece, principalmente, por conta do aumento na incidência de ataques cibernéticos diversos ao redor de todo mundo, afetando empresas de todos os portes e setores. Um exemplo disso é o ataque de ransomware.
O Ransomware é um tipo de ameaça digital que está sendo muito aplicada na atualidade, e pode causar inúmeros problemas para os negócios, como a interrupção das atividades pelo bloqueio dos dados ou perdas financeiras substanciais.
Através desse tipo de ação, o cibercriminoso realiza o bloqueio do acesso aos arquivos e dados de uma determinada empresa, instituição ou órgão governamental. Feito isso, é exigido o pagamento de um resgate para o desbloqueio, configurando uma forma de extorsão por meio do sequestro de informações.
Nos últimos anos, esse tipo de golpe cibernético ganhou muita visibilidade, principalmente pelo impacto que ele causa. De acordo com uma pesquisa recente realizada pela Trend Micro, um número assustador de empresas já sofreu com os ataques de Ransomware (cerca de 84% das empresas norte-americanas). Esses ataques massivos geraram um lucro imenso para os criminosos, resultando em US$400 milhões em prejuízo.
Por conta desses prejuízos, é imprescindível que a empresa prepare os seus colaboradores e gestores para conseguir lidar com esse tipo de ameaça e evitar os impactos causados.
Como ocorre o ataque
Na maior parte dos casos, o ataque de ransomware se inicia através de um e-mail falso, que busca induzir o usuário a clicar em um link malicioso que realiza o download de um software nocivo. Outra estratégia utilizada é o phishing, que pode ser aplicado através de páginas falsas, que se disfarçam de sites conhecidos, criados especificamente para distribuir a ameaça digital.
Uma vez realizado o download, os dados do usuário são criptografados, tanto os disponíveis no dispositivo, quanto os armazenados na rede, desde que o usuário possua acesso aos mesmos. Esse processo de criptografia irá tornar os conteúdos e dados inúteis, e somente com a chave de criptografia é possível recuperar os arquivos ao estado original.
Durante a aplicação do golpe, o responsável pelo ransomware irá deixar alguma indicação de como a vítima deve entrar em contato com o cibercriminoso. Isso pode ser feito através de um arquivo de texto na área de trabalho ou um papel de parede com uma mensagem, por exemplo, podendo conter um endereço de e-mail e instruções para contato, visando a negociação do resgate.
Uma das formas mais eficientes de proteger os computadores da sua empresa é através do controle de acesso a conteúdos nocivos. Isso pode ser feito através da utilização de uma ferramenta ou software para implantar um filtro de controle de acesso à internet. Esse recurso permite que seja feito o bloqueio de acesso a sites nocivos, ou então liberar o acesso somente a sites reconhecidos e com alta segurança.
Medidas preventivas – como prevenir e evitar o ransomware
As principais formas de evitar o ataque de ransomware são relacionadas a alguns tópicos básicos da segurança da informação:
Cuidado com e-mails e sites falsos
O primeiro passo é estabelecer um protocolo de educação que busque informar os usuário quanto a sua responsabilidade para com os dados e informações da empresa. É necessário orientar os colaboradores e gestores sobre os riscos a que podem expor os dados quando clicam em um link de um e-mail ou visitam um site sem ter prestado atenção sobre a origem do e-mail, o endereço do site e a sua veracidade.
Controle de acesso à internet
O uso de ferramentas de proteção contra o acesso a sites maliciosos é uma solução extremamente eficiente e importante para as empresas que desejam aumentar a proteção das suas redes e dispositivos. Através deste tipo de controle, a empresa consegue estabelecer regras de acesso específicas e definir quais grupos de usuários terão acesso a quais tipos de sites.
Essa abordagem ajuda a evitar o uso de sites indevidos ao escopo do trabalho e também o acesso a endereços com conteúdo nocivo. Por meio dessa ferramenta, o gestor protege a rede contra os sites utilizados em ataques de phishing, propagação de malware e ransomware.
Antivírus
Os antivírus são ferramentas essenciais, especialmente nos computadores e servidores com sistema operacional Windows. É imprescindível o uso de um bom software antivírus, lembrando que ele deve ser mantido atualizado e configurado para realizar varreduras periódicas.
Assim como as tecnologias avançam todos os dias, também surgem novas formas de invadir redes e prejudicar arquivos, de forma que a utilização dessa ferramenta é um protocolo essencial para que ela possa garantir a proteção contra os principais ataques cibernéticos.
Atualizações de software
Da mesma forma que é necessário manter a atualização dos softwares de proteção, é importante manter atualizados o sistema operacional e os demais pacotes de software. As atualizações são criadas para incluir diversas correções e melhorias relacionadas à segurança da informação.
Permissões de acesso
As permissões de acesso se referem a um aspecto muito determinante e comumente negligenciado para as empresas. Com uma rotina atribulada e atividades que parecem mais importantes, é costumeiro que os gestores não se atentem ao nível de acesso que os usuários possuem no sistemas e redes da empresa.
É muito relevante e importante checar o nível de acesso que cada usuário ou grupo de usuários necessita em relação aos arquivos compartilhados na rede, por exemplo, no sentido de não fornecer acesso além do necessário. Se um grupo de usuários necessita apenas visualizar determinados arquivos e não modificar, que tenha acesso somente à leitura.
Contas de usuário de nível administrativo
A criação de contas de nível administrativo, embora necessárias em determinadas ocasiões, devem ser evitadas. Uma quantidade indiscriminada de contas desse tipo pode favorecer a criação de pontos de vulnerabilidade na rede da empresa, e facilitar a vida dos cibercriminosos.
Da mesma forma que o cuidado em relação às permissões de acesso a arquivos, essa medida limita a extensão do dano que um usuário, mesmo sem intenção, poderia provocar aos dados.
Medidas de continuidade do negócio – como proceder após o ataque
Com o avanço das metodologias de segurança, alguns tipos de ransomware já foram decodificados e os arquivos comprometidos podem ser recuperados com ferramentas próprias para isso, como as disponibilizadas pela Kaspersky na iniciativa Ransomware Decryptor. Contudo, os cibercriminosos encontram novas formas de invadir sistemas e aplicar o seus golpes, fazendo dessa, uma guerra constante para manter os dispositivos e redes mais seguros.
Veja a seguir algumas etapas que podem ajudar a sua empresa a se proteger e se recuperar após um ataque de ransomware:
Análise de danos
Após um ataque de ransomware, é necessário verificar quais foram os danos causados pela ameaça. Para isso, é necessário verificar se a empresa já tem acesso a todos os arquivos, redes e documentos que possam ter sido criptografados.
Uma vez que esse tipo de ameaça cibernética consiste no sequestro de informações, é imprescindível que uma equipe se responsabilize por verificar a integridade dos dados que foram bloqueados para que a empresa prossiga com as suas atividades com segurança.
Verificação das vulnerabilidades
Para evitar que o problema se repita, é necessário avaliar a fim de descobrir como ele aconteceu. É necessário que a equipe de TI da sua empresa faça uma varredura completa para encontrar as vulnerabilidades que possam ter favorecido esse ataque. Com base nessas informações, fica mais fácil determinar medidas resolutivas e escolher quais as estratégias de segurança que devem ser implementadas.
Recuperação de backup
Existem no meio digital diversos tipos de ransomware cuja criptografia continua sendo impossível de reverter sem a colaboração do sequestrador. O principal esforço que irá solucionar o problema e garantir a continuidade do negócio após o ataque ransomware, é uma medida básica e que deve ser implementada o quanto antes: o backup.
Embora pareça uma estratégia simples, nunca é demais relembrar a importância de ter um backup confiável, a partir do qual possam ser recuperados os dados importantes após qualquer incidente. A principal maneira de solucionar o problema após ter ocorrido o bloqueio dos dados por ransomware, é restaurar os dados a partir de backup.
O Protocolo de backup deve ser implementado de maneira que haja uma cópia de segurança mantida em um local desconectado do local original dos dados. Ou seja, para fins de segurança, o backup não pode ser armazenado no mesmo disco que os dados utilizados diariamente. Isso porque, no caso específico do ransomware, é possível que os arquivos do backup também sejam bloqueados no momento do ataque, tornando o backup inútil. É importante ter uma cópia de segurança em local separado física e logicamente do local original.
Escolha a sua ferramenta da segurança para evitar ataques futuros
A equipe da Lumiun Tecnologia já auxiliou inúmeras empresas na análise de casos de ataque ransomware em que não havia um controle de acesso à internet. Em muitos desses casos, o ataque e os prejuízos poderiam ser evitados com as ferramentas corretas, bloqueando o acesso a sites e conteúdos nocivos.
A ausência de um backup válido dos dados, armazenado em local diferente do servidor original, faz toda a diferença durante a recuperação de um ataque de ransomware. Quando se percebe o dano, é normal que ocorra um pequeno pânico e uma enorme preocupação com “o que vamos fazer agora, sem os dados dos nossos sistemas”.
Como dissemos anteriormente, os grupos de cibercriminosos que realizam os ataques ransomware sugerem que, após o bloqueio dos seus arquivos, você entre em contato para o pagamento do resgate para que seja feita a liberação dos dados. No entanto, é necessário avaliar o risco de negociar ou pagar o resgate, tendo em vista que não há garantia da recuperação dos dados.
Esse aspecto ressalta ainda mais o quanto é importante prevenir-se contra o ataque e preparar-se com antecedência para a continuidade do negócio após um incidente. Espero que este artigo consiga fazer com que perceba todos os aspectos de um ataque de ransomware, a fim de proteger e manter os dados da empresa protegidos. Entre em contato conosco para encontrar a melhor solução para garantir a proteção das redes, dispositivos e dados da sua empresa.
12 comentários
Comentários fechados