Especial: Ataques de Ransomware: Você faz o básico necessário?

Estudo da IDC, recentemente divulgado, revela que cerca de 37% das empresas da América Latina que consomem serviços de segurança investirão em Threat Intelligence nos próximos períodos. Se considerarmos o volume de ataque de ransomware diário, esse indicador ainda é tímido. Mas investir apenas na inteligência de cibersegurança não basta. As empresas precisam olhar para os seus ambientes e entender que é preciso adotar uma série de medidas, entendidas como “o básico necessário”.

O SocialSec lança nesta sexta-feira (15/10) um especial sobre incidentes de cibersegurança, com foco em ransomware. Para iniciar, entrevistamos Fernando de Falchi, gerente de Engenharia de Segurança da Check Point Software Brasil, onde ele faz uma analogia e oferece dicas práticas sobre como proteger o ambiente e as melhores práticas para blindar contra esse tipo de ataque.  

Embora nem todos os incidentes – e seus resultados – sejam divulgados e publicados, as estatísticas coletadas durante 2020-2021 refletem a proeminência do vetor de ataque. O pagamento médio do resgate aumentou 171% durante o ano passado. Mais de 1.000 empresas sofreram vazamento de dados após se recusarem a atender aos pedidos de resgate e não cederem às demandas de ransomware durante o ano de 2020, e cerca de 40% de todas as famílias de ransomware recém-descobertas incorporaram a infiltração de dados em seu processo de ataque. Como os números refletem uma técnica de ataque, que combina um cenário de violação de dados e de ransomware, também é admirável que os atacantes ainda estejam procurando métodos para melhorar suas estatísticas de pagamento de resgate e sua eficiência de ameaças. 

As empresas têm feito o básico necessário? Aplicação de patches (correções), criação do conceito de devsec, backups, etc? 

Com a aceleração dos projetos de transformação digital (impulsionada pela pandemia da Covid-19), o crescimento exponencial de ataques de ransomware em todos os setores e portes de empresas e a adoção maior das técnicas de engenharia social via e-mail de phishing forçaram, de certo modo, as empresas a priorizarem as melhores práticas da segurança e a aplicar as patches quase que imediatamente. 

Em relação ao DevSecOps, a última década foi rápida e pavimentou o caminho para uma revolução. O lançamento de novos softwares e aplicativos é um processo contínuo, com novos códigos sendo lançados continuamente. Durante esse tempo, as equipes de DevOps se libertaram da abordagem tradicional em silos e passaram a controlar mais o ciclo de desenvolvimento, incluindo testes de qualidade, integração e implantação. No entanto, com essa mudança, ainda permanece pendente um componente importante pelo qual o DevOps não assume a responsabilidade – a segurança.   

E tendo em consideração os riscos que o momento nos apresenta com o cenário de ransomware em alta, a importância de restaurar os dados roubados ou criptografados na eventualidade de um cibercrime passou a ser essencial. Assim, a Check Point Software lista as cinco razões pelas quais é indispensável realizar o backup de dados, tornando isso uma prioridade: 

1.        Medidas preventivas nem sempre são suficientes: À medida que os cibercriminosos continuam visando a força de trabalho remota, as empresas começaram a expandir sua estratégia de cibersegurança por meio de um software de defesa robusto, tanto para a rede corporativa quanto para a nuvem, para atualizar sistemas e aplicativos regularmente, instalar uma VPN e aumentar os níveis de proteção nos dispositivos dos funcionários, além de fornecer treinamento de segurança cibernética para eles. Embora essas medidas aumentem consideravelmente o nível de proteção de uma empresa, ainda é possível que não consigam impedir um ataque, pois os cibercriminosos desenvolvem constantemente novas maneiras de contornar as defesas. É fundamental ter um plano de backup para que nenhum dado seja perdido em caso de ciberataque. Se uma empresa for vítima de um ataque de ransomware de dupla extorsão, ter um sistema de backup de informação permite um retorno mais rápido ao funcionamento normal das operações.  

2.        Os ciberataques continuam evoluindo: os ciberataques evoluem a cada dia e os cibercriminosos estão constantemente à procura de novas vulnerabilidades. Por outro lado, as empresas estão muitas vezes despreparadas para novas técnicas de ransomware, de e-mails de phishing ou de malware. Esta é uma das razões pelas quais os ciberataques podem ultrapassar as barreiras de proteção instituídas, mesmo com as atualizações em dia e com as devidas medidas de proteção.   

3.        O roubo de dados coloca em risco a reputação de uma empresa: A perda de informações ao expor os dados pessoais dos clientes pode ter consequências irreparáveis para uma empresa em termos de reputação e perda financeira. Desde que as penalidades da LGPD (Lei Geral de Proteção de Dados) começaram a ser aplicadas a partir de 1º de agosto passado, permitir que os documentos pessoais dos clientes sejam comprometidos pode levar a litígios.  

4.        A nuvem torna-se mais um vetor de ataque: É verdade que a nuvem trouxe grandes vantagens às empresas, como redução de custos e possibilitar o trabalho remoto. No entanto, o armazenamento de dados em plataformas de nuvem aumenta exponencialmente a superfície de ataque por meio da qual os cibercriminosos podem obter acesso à rede corporativa. É essencial realizar backups manuais regulares da informação armazenada na nuvem, caso aconteça algo fora do controle da empresa. 

5.        Perigos internos às vezes são indetectáveis: Lamentavelmente, mesmo com todas as medidas de segurança cibernética possíveis e o melhor software de proteção implementado, a responsabilidade dos usuários é fundamental. É primordial treinar os funcionários para a abordagem correta da cibersegurança. Incutir nos empregados a importância de ter backups atualizados no caso de um evento imprevisto ou ciberataque pode ser uma das melhores defesas.  

O que é o básico necessário e a higienização do ambiente no cenário atual? 

Diante de um cenário como o atual, as empresas precisam adotar três posturas que estão ao seu alcance para, mais uma vez, estar acima dos cibercriminosos, as quais envolvem prevenção e consolidação da segurança. A proteção da força de trabalho remoto é a primeira delas, incluindo treinamento e educação dos funcionários para um comportamento de segurança saudável.  

A maior parte dos funcionários que tratam com dados sensíveis de clientes, como cartões de crédito, conta bancária, não é capacitada da forma correta. Eles abrem documentos que não foram filtrados por um sistema de segurança, acessa sites diversos, abre e-mails e clicam em links ou baixam arquivos indevidos. Esta é uma das evidentes razões de o porquê os vazamentos acabam acontecendo. 

Fazer provocações aos funcionários é uma forma de conscientização eficiente em que as empresas treinam seus funcionários com exemplos de ataque e ameaças. Pode-se preparar uma situação falsa para simular ação, causa e consequência. O administrador da rede poderia, por exemplo, enviar e-mails solicitando aos funcionários que troquem a senha, com um link na frase “clique aqui”. Quando o link abrir uma página ou janela, uma site falso aparecerá mostrando que aquela poderia ser a abertura para um ataque hacker real. 

A segunda postura refere-se à proteção de endpoints e dispositivos móveis. Em um novo mundo que se apresentou diante de todos nós, queremos usar qualquer dispositivo para acessar qualquer aplicativo. Sobretudo os nossos dispositivos móveis já fornecem muito mais informações pessoais do que se imagina, graças a aplicativos que exigem amplo acesso aos contatos, mensagens e muito mais. Isso são apenas os aplicativos legítimos, pois um malware móvel que visa as credenciais bancárias dos usuários e cometer fraude de cliques em anúncios é mais uma grande ameaça crescente, em paralelo aos e-mails de phishing. 

A gestão segura da nuvem pública e de múltiplas nuvens, contemplando a proteção desde a consolidação dos serviços (Nuvem e SASE), a conectividade “clientless” (Zero Trust), os endpoints e a integração com o acesso remoto (VPN e trabalho remoto), e-mails, navegadores e dispositivos móveis constituem a terceira postura recomendada às empresas. É necessário manter os usuários, aplicativos corporativos e dados de negócios protegidos, onde quer que estejam, com uma segurança unificada em várias camadas.  Estas são algumas das melhores práticas que ganharam atualizações de ações para o combate à pandemia cibernética, na qual a taxa de infecção é maior e mais rápida que a pandemia biológica, o que requer uma prevenção em tempo real. 

Há uma tendência de que as empresas saiam do modelo reativo (resposta a incidente) para a proteção de dados. Isso está acontecendo na percepção da Check Point ou ainda estamos no cenário 1, com ações reativas? 

Pode-se dizer que a grande maioria das empresas não tem soluções eficientes hoje, muitas ainda utilizam diferentes ferramentas que não se comunicam, as quais não conseguem efetuar prevenção e, com isso, acabam criando pontos cegos que muitas vezes passam despercebidos quando montam a arquitetura de segurança. Essa é a realiadade da maioria das empresas hoje. 

Outras possuem as mesmas ferramentas que não se comunicam, mas por trás tem um enorme time de cibersegurança e para resposta a incidentes de segurança. Os pontos cegos estão lá, mas os times conseguem diminuir a quantidade e os riscos desses pontos cegos.  O correto seria a unificação dessas ferramentas em uma solução que consiga prevenir ataques conhecidos e de dia zero, que consiga atualizar todo o seu parque com as ameaças que foram prevenidas, seja ele, endpoints, rede ou dispositivos móveis. Desta maneira, com unificação e visibilidade, a resposta a incidentes de segurança ficará mais rápida e eficiente. 

Algumas empresas estão sempre em busca de tentar impedir que os ataques sejam bem-sucedidos, mas sabemos que isso é muito difícil. Inevitavelmente, o ransomware pode ultrapassar suas defesas e as proteções implementadas. Então, torna-se uma questão de quão rápido você é capaz de detectar o problema. Algumas ferramentas de proteção fornecem dados e telemetria para detecção. Em particular, as ferramentas de EDR (Endpoint Detection and Response) que coletam indicadores de comprometimento (IOCs) e eventos que podem não ser suficientes para identificar e prevenir especificamente um ataque, mas podem mostrar que um ataque está em andamento.  O EDR também pode ajudar a identificar onde o ataque permanece silencioso, enquanto outras contas e privilégios comprometidos são coletados. 

Porém, para tratar esses incidentes, a empresa precisa treinar seus funcionários para que tenham calma no momento do incidente e consigam pensar de maneira rápida e efetiva como trabalhar para restaurar os dados da empresa. A compreensão, interpretação e investigação desses IOCs e eventos tendem a exigir um nível mais alto de especialização. Cada vez mais, isso está sendo adquirido como parte de uma solução EDR ou como um XDR ( Extended Detection and Response) mais amplo. O uso desses serviços pode ser benéfico para organizações com equipes reduzidas ou como ferramentas adicionais para enriquecer seus próprios centros de operações de segurança (SOCs). Outras ferramentas de segurança também entram em ação durante a fase de Prevenção e Detecção. Os sistemas de Prevenção de Intrusão (IPS), bem como soluções de NDR ( Network Detection and Response) e análise de tráfego de redes.  

Muitas organizações precisarão de assistência para ajudar a mitigar e se recuperar de um ataque. As equipes especializadas em resposta a incidentes podem desempenhar um papel importante na resposta a incidentes reduzindo o custo e a velocidade da resposta. 



Os atacantes estão partindo para os ecossistemas, ou seja, não é mais um ataque direcionado para uma empresa, mas toda uma cadeia. Qual a opinião da Check Point sobre isso e como vocês olham a movimentação do mercado para se proteger? 

Ataques proeminentes que ocorreram no final de 2020 e no início de 2021 apontam para uma nova cadeia de ataques – essencialmente uma expansão da técnica de ransomware de extorsão dupla, integrando uma ameaça adicional única ao processo – que chamamos de extorsão tripla. O primeiro caso notável é o ataque à clínica Vastaamo. Inovadora na época (outubro de 2020), a clínica de psicoterapia finlandesa com 40.000 pacientes sofreu uma violação de um ano que culminou em um grande roubo de dados de pacientes e um ataque de ransomware. Um resgate alto foi exigido do provedor de saúde, mas, surpreendentemente, quantias menores também foram exigidas dos pacientes, que haviam recebido pedidos de resgate individualmente por e-mail. Nesses e-mails, os atacantes ameaçaram publicar suas notas de sessão do terapeuta.  

Em uma escala mais ampla, em fevereiro de 2021, o grupo de ransomware REvil anunciou que adicionou dois estágios ao seu esquema de extorsão dupla – ataques DDoS e ligações para os parceiros de negócios da vítima e para a mídia. O grupo REvil ransomware, responsável pela distribuição do ransomware Sodinokibi, opera em um modelo de negócios Ransomware-as-a-Service. O grupo agora oferece ataques DDoS e ligações VOIP codificadas para jornalistas como um serviço gratuito para suas afiliadas, com o objetivo de aplicar ainda mais pressão sobre a empresa vítima para atender aos pedidos de resgate dentro do prazo designado. 

Parece que, mesmo quando estão fazendo sucesso, esses grupos estão em constante busca por modelos de negócios ainda mais inovadores. Podemos apenas presumir que o pensamento criativo e uma análise sábia do cenário complexo de ataques de ransomware de dupla extorsão levaram ao desenvolvimento da terceira técnica de extorsão ou tripla extorsão. Vítimas terceirizadas, como clientes, colegas externos e provedores de serviço, são fortemente influenciadas, e algumas vezes atingidas por violações de dados causadas por esses ataques de ransomware. Exigindo ou não resgates, eles ficam impotentes diante da ameaça. Eles, portanto, são um alvo natural para extorsão e podem estar no radar de grupos de ransomware de agora em diante. 

Muitas empresas com isso, estão limitando as comunicações entre parceiros e cobrando que colaboradores terceiros tenham as devidas proteções para permitirem a conexão em suas redes, mas sabemos que isso nem sempre é o suficiente, pois o parceiro pode não ter o mesmo nível de maturidade em segurança, podendo ser sim, a porta de entrada para problemas com ransomware. 

O que pode ser feito é a utilização de acessos limitados, com políticas Zero Trust, somente as aplicações necessárias e não pensar que uma solução pode atender desde aplicações Web até aplicações legadas, muitas vezes é melhor você dividir os acessos e ter o controle Zero Trust com visibilidade do todo, do que criar ajustes que acabam adicionando pontos sem visibilidade. 

Quais as recomendações de proteção? 

As principais recomendações da Check Point Software para que as organizações se preparem para evitar um golpe são: 

. Instalar atualizações e patches regularmente. Atualizações e patches devem ser instalados imediatamente e ter uma configuração automática. 

. Adotar uma estratégia e abordagem de prevenção. Depois que um ataque foi introduzido em um dispositivo ou na rede corporativa já será tarde demais. Portanto, é essencial usar soluções de prevenção de ameaças que interrompam até mesmo os ataques mais avançados, bem como evitem ameaças de dia zero e aquelas desconhecidas. 

. Instalar o antiransomware. A proteção antiransomware verifica qualquer atividade incomum, como abrir e criptografar um grande número de arquivos e, se qualquer comportamento suspeito for detectado, pode reagir imediatamente e evitar danos massivos. Os ataques de ransomware não começam com ransomware. É preciso estar ciente de outros códigos maliciosos, tais como Trickbot ou Dridex, que se infiltram nas organizações e preparam o terreno para um ataque de ransomware subsequente. 

. A educação é parte essencial da proteção. Muitos ataques cibernéticos começam com um e-mail direcionado que não contém malware, mas usa a técnica de engenharia social para tentar fazer com que o usuário clique em um link perigoso. A educação do usuário é, portanto, uma das partes mais importantes da proteção. 

. Colaboração. Na luta contra o cibercrime, a colaboração é fundamental. Entre em contato com as autoridades policiais e cibernéticas nacionais; não hesite em contatar a equipe de resposta a incidentes de uma empresa de cibersegurança. Informe os funcionários sobre o incidente, incluindo instruções sobre como proceder no caso de qualquer comportamento suspeito. 

As áreas de negócios são corresponsáveis, mas temos essa maturidade ou não há um preparo delas no momento da crise, ou seja, só entram mesmo na hora da crise e não existe uma preocupação com exercícios de crise cibernética? 

Quais as recomendações em caso de vazamento de dados por conta de ransomware em um ecossistema? 

Orientações básicas para empresas sobre como lidar com ataques de ransomware as auxiliará principalmente na prevenção, como em uma reação mais eficaz: 

1) Manter a calma  Se uma organização for vítima de um ataque de ransomware, ela não deverá entrar em pânico. Recomenda-se entrar em contato com a equipe de segurança imediatamente e tirar uma foto da nota de resgate para as autoridades policiais e as futuras investigações. 

2) Isolar os sistemas comprometidos Desconectar imediatamente os sistemas infectados do resto da rede para evitar mais danos, e, ao mesmo tempo, identificar a origem da infecção. Como já foi mencionado, um ataque de ransomware geralmente começa com outra ameaça, e os cibercriminosos podem estar no sistema por um longo tempo, gradualmente cobrindo seus rastros. Então, detectar o “paciente zero” pode não ser algo que a maioria das empresas conseguirá lidar sem ajuda externa. 

3) Cuidado com os backups 
Os atacantes sabem que as organizações tentarão recuperar seus dados de backups para evitar o pagamento do resgate. É por isso que uma das fases do ataque costuma ser uma tentativa de localizar e criptografar ou excluir backups. Além disso, nunca se deve conectar dispositivos externos àqueles infectados. A recuperação de dados criptografados pode causar corrupção, por exemplo, devido a uma chave com defeito. Portanto, pode ser útil fazer cópias dos dados criptografados. Ferramentas de decriptação também estão sendo desenvolvidas gradualmente para ajudar a decifrar códigos até então desconhecidos. Se você tinha backups que não foram criptografados, verifique a integridade dos dados antes de restaurar totalmente. 

4) Sem reinicializações ou manutenção do sistema Desativar as atualizações automáticas e outras tarefas de manutenção em sistemas infectados. Excluir arquivos temporários ou fazer outras alterações poderá complicar desnecessariamente as investigações e correções. Ao mesmo tempo, não reiniciar os sistemas, pois algumas ameaças podem começar a excluir arquivos. 

5) Cooperar Na luta contra o cibercrime, e o ransomware em particular, a colaboração é fundamental. Assim sendo, deve-se entrar em contato com as autoridades policiais e cibernéticas nacionais e não hesitar em entrar em contato com a equipe dedicada de resposta a incidentes de uma empresa de segurança cibernética. Informar os funcionários sobre o incidente, incluindo instruções sobre como proceder no caso de qualquer comportamento suspeito, é outra ação fundamental. 

6) Ter mais atenção nos fins de semana e feriados.
A maioria dos ataques de ransomware em 2020 ocorreu nos finais de semana ou feriados, quando as organizações tendem a ser menos ágeis para responder a uma ameaça. 

7) Identificar o tipo de ransomware Se a mensagem dos atacantes não declarar diretamente que tipo de ransomware é, então, o usuário poderá usar uma das ferramentas gratuitas e visitar o site No More Ransom Project, em que será possível encontrar uma ferramenta de decriptação apenas para o ransomware que está na organização. 

8) Pagar ou não pagar? Se o ataque de ransomware for bem-sucedido, a organização será confrontada com a escolha de pagar o resgate ou não. De qualquer forma, as empresas devem voltar ao início e descobrir por que o incidente ocorreu. Se foram fatores humanos ou tecnologia que falharam, passe por todos os processos novamente e repense toda a estratégia para garantir que um incidente semelhante nunca aconteça novamente. Essa etapa é necessária independentemente de a organização pagar o resgate ou não. Nunca se pode ficar confortável com o fato de que de alguma forma a recuperação de dados ocorreu e considerar o incidente resolvido. 

Como vocês avaliam o posicionamento dos CISOs, DPOs e CIOs frente à esse cenário? 
Hoje, todos estão preocupados com as ameaças e muitos não têm a visão geral de como estão as proteções e se o que tem é suficiente para ter visibilidade quando alguma coisa acontecer. Portanto, para empresas que estão em um estágio primário na segurança, devem ajudar as áreas de segurança e  investir em soluções e arquitetura que possam auxiliá-los na guerra contra os atacantes. 

Preocupação existe, principalmente quando ocorre um evento de grande porte com algum concorrente, o que faz pensar se eles serão os próximos a serem atacados. Porém, na prática, nem toda organização consegue executar exercícios de crise, algumas não executaram nunca, outras, ainda não tem desenhado, quem deverá participar da restauração do ambiente em caso de ataques. As organizações que possuem áreas e exercícios, conseguem ser mais rápidas no momento de crise, outras apenas com o backup em dia e protegido, conseguem restaurar ambientes inteiros rapidamente, mas o que vemos, é que no momento da crise, caso não tenha as soluções e o pessoal certo, pode levar um tempo para restaurar um ambiente. 

Volto a tocar no assunto, solução e arquitetura são o caminho mais fácil para uma organização ter visibilidade de ameaças e saber o que está acontecendo na sua rede, seja ela, local ou expandida com os usuários hoje em casa. 

Para melhorar ou iniciar exercícios de cibercrises, posso citar: 

  • Elaborar procedimentos de resposta pós-incidente, treinando a equipe e agendando exercícios. Estar preparados para que um ataque de ransomware seja bem-sucedido e ter planos, processos e procedimentos em vigor. Esses planos precisam incluir os aspectos de TI, bem como os planos de comunicação para a equipe interna e parceiros/fornecedores. É importante para a recuperação que comuniquem a questão com rapidez e clareza. Forneça atualizações regulares sobre o status e quando os sistemas serão recuperados até o ponto em que os sistemas possam ser usados. Diversas ferramentas de simulação de cibercrises podem ajudar a identificar lacunas em procedimentos, funções e responsabilidades. 
  • Esses planos variam de acordo com a extensão e o sucesso de um ataque de ransomware. Pode ser apenas uma pequena parte de uma organização e o impacto pode ser mínimo. Para ataques maiores, o impacto pode ir além da organização para clientes e parceiros. 

     
  • Assim que a recuperação estiver em andamento, colete informações suficientes para entender a causa raiz do ataque e entender quais controles falharam ou não estavam em vigor. Novamente, serviços forenses digitais especializados e de resposta a incidentes desempenham um papel importante nesta análise. Uma vez que os sistemas são recuperados, é fundamental implementar as lições aprendidas e alimentá-las de volta à fase de preparação. 

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *