De acordo com o 2019 Verizon Data Breach Report, o ransonware é o segundo tipo de malware mais frequente por trás de ataques de comando e controle (C2). Já o e-mail ainda é o principal método de entrega de malwares. Então, como fazer com que os usuários parem de clicar em links mal intencionados?
Dica: Não dá. Seres humanos farão coisas humanas, então, temos que abordar o problema de maneira diferente.
Como se proteger
O ransoware é um malware que criptografa os dados da vítima, que só terá acesso novamente a eles se pagar um resgate.
Para criar uma defesa contra ataques de ransomware, há coisas que os usuários podem fazer e coisas que as empresas podem fazer para evitar o ataque:
- Não clique no link
Isso é básico, e sabemos que as pessoas vão continuar clicando em links suspeitos, mas é preciso que os usuários se tornem um pouco mais céticos em relação aos e-mails que recebem. Essa descrença pode reduzir a quantidade de malware que infecta redes domésticas e empresariais
- Crie proteções de e-mail e endpoint
Como sabemos que os usuários vão uma hora clicar em um link, então é preciso:
– Examinar todos os e-mails em busca de malwares conhecidos e manter firewalls e outras proteções atualizadas
– Notificar os usuários sobre e-mails fora da rede
– Fornecer VPNs para os usuários acessarem a rede externa
- Mantenha backups
Outra dica básica é manter backups atualizados de seus dados importantes. Essa é a melhor e mais rápida maneira de impedir que um ataque de ransomware seja bem-sucedido
- Proteja informações pessoais
Seres humanos também são propensos a confiar em outros seres humanos, então, mais uma vez, o ideal desconfiar de qualquer e-mail que peça senhas ou outras informações pessoais.
Quem está em risco?
Praticamente todas as pessoas correm riscos de sofrerem ataques de ransomware. Entretanto, ataques mais sofisticados costumam atingir empresas com maior capacidade de pagamento. Alguns hackers usam técnicas que visam infectar o maior número de usuários ao mesmo tempo, então nem todos os ataques são direcionados a uma empresa ou pessoa específica.
Conheça os tipos de ransomware
Novos tipos de ransomware são criados constantemente e cada um usa um vetor diferente de ataque: malvertising, ransomworm, programas de transferência de arquivo peer-to-peer. E muitos ataques não precisam ser sofisticados para serem eficazes. O WannaCry e o NotPetya usaram uma vulnerabilidade conhecida para se espalhar e foram extremamente eficientes.
Existe, até, ransoware como serviço. Hackers vendem seu malware para outros cibercriminosos, aumentando sua frequência e alcance. Conheça alguns tipos e detalhes sobre seu funcionamento.
- Criptografia
O mais comum é o ransomware de criptografia. O CryptoLocker e o CryptoWall têm uma reputação de serem os mais fortes. Criptografia é o processo de codificação de dados, que ficam ilegíveis sem a chave apropriada.
- Força bruta
Ocorre quanto o hacker usa todas as combinações possíveis de números para encontrar a chave correta, um algoritmo pode levar algumas horas para quebrar uma chave de 20 bits ou milhares de anos para uma de 128 bits. Apesar de parece simples, a criptografia moderna é muito complexa para que computadores comuns decifrem uma chave.
- Exclusão
Neste caso, invasores ameaçam e avisam os usuários de que qualquer tentativa de descriptografar os arquivos resultará na perda dos dados. Ou seja, se você não pagar, os arquivos serão apagados. Esses arquivos, no caso de serem apagados, podem não ser sobrescritos no disco, então se você não tiver o backup, ainda pode tentar recuperá-los.
- Travamento
Invasores criam novas telas de login ou páginas HTML e até podem desativar atalhos de teclado para dificultar a remoção da tela. Exemplos incluem o Winlock e o Urausy. A dica aqui é entender que qualquer pedido de dinheiro no seu computador é um golpe.
- Mobile Ransonware
Como o ransomware funciona bem em PCs, hackers criaram versões para atacar dispositivos móveis. São, em sua maioria, ransowares de travamento.
Como responder a um ataque
Siga estas etapas para gerenciar a atenuar um ataque ativo de ransonware
- Isolar
A primeira etapa é isolar os sistemas infectados do resto da rede. Encerre esses sistemas, desligue o WIFI e deixe os sistemas totalmente isolados de outros computadores e dispositivos de armazenamento
- Identificar
Descubra que tipo de malware infectou os computadores. A equipe de resposta a incidentes, profissionais de TI ou um consultor externo pode determinar o quão grave foi a infecção e planejar a melhor forma de resolver o problema
- Comunicar
Dependendo do impacto do incidente e dos regulamentos seguidos, pode ser necessário comunicar a invasão aos órgãos governamentais e stakeholders
- Remover
Remova o malware de todos os sistemas infectados
- Recuperar
Contido o ataque, o processo de recuperação deve começar. Restaure os dados a partir do backup mais recente disponível.
Pagar ou não o resgate
Na maioria dos casos não se deve pagar o resgate. Investir na prevenção do ransomware e ter opções de backup e recuperação são prioridade. Faça o trabalho agora e impeça a invasão.
E, mesmo que se cogite o pagamento, existem alguns recursos que precisam ser analisados antes de pagar ou não:
- Seguro cibernético
É uma modalidade nova que ajuda a custear os gastos com gerenciamento de uma violação ou incidente:
– Notificando clientes e partes afetadas
– Restaurando identidades e compensando as partes afetadas
– Recuperando dados
– Reconstruindo sistemas de computador
- Ferramentas de descriptografia
Busque por ferramentas na internet. Se as chaves para esse ataque já existirem, não será necessário pagar. Conheça algumas: CoinVault, TeslaCrypt, CryptoLocker
A Varonis Data Security Platforme monitora a atividade do sistema de arquivos e mantém uma trilha de auditoria completa de todas as atividades nesses sistemas. Isso permite a detecção de ameaças e sua rápida neutralização. Entre em contato e peça um teste grátis.