Índice:
- Como evitar um ataque de Ransomware
- Por que o ransomware é diferente
- Como se proteger
- Avisos e proteções antecipadas
- Você deve pagar o resgate?
Vídeo: 🔒Ransomware – O que são ? Como se proteger ? O que fazer se estiver infectado ? | professorramos.com (Outubro 2024)
Todos sabemos que o ransomware é uma das variantes de malware mais destrutivas existentes. Você está falando sobre clicar no link errado e fazer com que os dados da sua organização desapareçam em um pântano de bobagens criptografadas, ou mesmo nos sistemas operacionais de servidor (SOs) e outros arquivos críticos, simplesmente desaparecendo um dia. Você pode pagar o resgate, mas isso pode não só ser caro, mas também não garante que os bandidos devolvam seus dados.
Como evitar um ataque de Ransomware
O primeiro passo é o que Israel Barak, CISO (Chief Information Security Officer) do desenvolvedor de software de detecção e resposta de endpoint, Cybereason, chama de "higiene de TI e segurança". Isso significa evitar vulnerabilidades e filtrar o tráfego de email e da web. Também significa fornecer treinamento ao usuário e garantir que as correções para o seu sistema operacional, aplicativos e produtos de segurança estejam completamente atualizadas.
O segundo passo é ter uma estratégia de continuidade e recuperação de negócios. Isso significa realmente planejar quando as coisas vão mal, em vez de apenas esperar que não. Barak disse que isso inclui ter backups instalados e testados, saber como você recuperará serviços impactados, saber onde obterá recursos de computação para recuperação e saber que seu plano de recuperação completo funcionará porque você o testou.
O terceiro passo é ter a proteção anti-malware em vigor. Barak disse que isso inclui proteção contra malware que entra na sua rede e proteção contra a execução de malware enquanto estiver em seus sistemas. Felizmente, a maioria dos malwares é bastante fácil de detectar, porque os autores de malware freqüentemente compartilham rotinas bem-sucedidas.
Por que o ransomware é diferente
Infelizmente, o ransomware não é como outro malware. Barak disse que, como o ransomware reside apenas em um computador brevemente, não é difícil evitar a detecção antes de concluir sua criptografia e enviar a mensagem de ransomware. Além disso, diferentemente de outros tipos de malware, o malware que realmente executa a criptografia de arquivo pode chegar aos computadores da vítima apenas momentos antes do início da criptografia.
Dois tipos relativamente recentes de malware - Ryuk e SamSam - entram nos seus sistemas sob a orientação de um operador humano. No caso de Ryuk, esse operador provavelmente está localizado na Coréia do Norte e com a SamSam, no Irã. Em cada caso, o ataque começa com a localização de credenciais que permitem a entrada no sistema. Uma vez lá, o operador examina o conteúdo do sistema, decide quais arquivos criptografar, eleva privilégios, procura e desativa o software anti-malware e os links para os backups também devem ser criptografados ou, em alguns casos, desativam os backups. Depois de talvez meses de preparação, o malware de criptografia é carregado e iniciado; pode terminar seu trabalho em minutos - rápido demais para um operador humano intervir.
"No SamSam, eles não usavam phishing convencional", explicou Carlos Solari, vice-presidente do desenvolvedor de soluções de segurança cibernética Comodo Cybersecurity e ex-CIO da Casa Branca. "Eles usaram sites e roubaram credenciais de pessoas e usaram força bruta para obter as senhas".
Solari disse que essas invasões freqüentemente não são detectadas porque não há malware envolvido até o final. Mas ele disse que, feito corretamente, existem maneiras de parar o ataque neste momento. Normalmente, ele disse, os criminosos vão atrás dos serviços de diretório da rede e os atacam para que possam obter os privilégios de nível administrativo necessários para a preparação do ataque. Nesse ponto, um sistema de detecção de intrusões (IDS) pode detectar as alterações e, se os operadores de rede souberem o que procurar, poderão bloquear o sistema e expulsar os invasores.
"Se eles estão prestando atenção, perceberão que alguém está por dentro", disse Solari. "É importante encontrar informações sobre ameaças internas e externas. Você está procurando anomalias no sistema".
Como se proteger
Para empresas menores, Solari sugere que as empresas encontrem um Centro de Operações de Segurança (SOC) de Detecção e Resposta Gerenciada (MDR) como um serviço. Ele acrescentou que empresas maiores podem querer encontrar um MSSP (Managed Security Services Provider). Qualquer uma das soluções permitirá manter um olho nos eventos de segurança, incluindo a preparação antes de um grande ataque de ransomware.
Além de monitorar sua rede, também é importante torná-la tão inóspita quanto possível aos criminosos. De acordo com Adam Kujawa, diretor do Malwarebyte Labs, uma etapa crítica é segmentar sua rede para que um invasor não possa simplesmente se mover pela rede e ter acesso a tudo. "Você não deve manter todos os seus dados no mesmo lugar", disse Kujawa. "Você precisa de um nível mais profundo de segurança."
Mas, se você não detectou os estágios invasivos antes do ataque ao ransomware, há outra camada ou resposta, que é a detecção do comportamento do malware quando ele começa a criptografar arquivos.
"O que adicionamos é um mecanismo comportamental que se baseia em comportamentos típicos do ransomware", explica Barak. Ele disse que esse software observa o que o ransomware pode estar fazendo, como criptografar arquivos ou apagar backups, e então toma medidas para interromper o processo antes que possa causar algum dano. "É mais eficaz contra estirpes de ransomware nunca antes vistas".
Avisos e proteções antecipadas
Para fornecer uma forma de alerta precoce, Barak disse que a Cybereason dá outro passo. "O que fizemos é usar um mecanismo de exceção", disse ele. "Quando o software Cybereason entra em um ponto de extremidade, ele cria uma série de arquivos básicos posicionados em pastas no disco rígido que fazem o ransomware tentar criptografá-los primeiro." Ele disse que as alterações nesses arquivos são detectadas imediatamente, Em seguida, o software da Cybereason ou software similar da Malwarebytes encerrará o processo e, em muitos casos, armazenará o malware em contêiner para que ele não possa causar mais danos.
Portanto, existem várias camadas de defesa que podem impedir um ataque de ransomware e, se você tiver todas elas funcionais e implementadas, um ataque bem-sucedido teria que seguir uma série de falhas para ocorrer. E você pode parar esses ataques em qualquer lugar da cadeia.
Você deve pagar o resgate?
Mas suponha que você decida que deseja pagar o resgate e restaurar as operações imediatamente? "Para algumas organizações, é uma opção viável", disse Barak.
Você precisaria avaliar o custo da interrupção dos negócios para determinar se o custo de voltar à operação é melhor do que o custo da restauração, considerando tudo. Barak disse que, para ataques de ransomware comercial, "na maioria dos casos, você recebe os arquivos de volta".
Mas Barak disse que, se pagar o resgate é uma possibilidade, você tem outras considerações. "Como nos preparamos com antecedência para ter o mecanismo para negociar o custo de obter os serviços de volta? Como os pagamos? Como formamos o mecanismo para intermediar esse tipo de pagamento?"
Segundo Barak, quase todos os ataques de ransomware incluem um meio de comunicação com o invasor, e a maioria das empresas tenta negociar um acordo para o qual os atacantes de ransomware geralmente estão abertos. Por exemplo, você pode decidir que precisa apenas de parte das máquinas que foram criptografadas e apenas negociar o retorno dessas máquinas.
- A melhor proteção contra ransomware para 2019 A melhor proteção contra ransomware para 2019
- Hackers do SamSam Ransomware arrecadam US $ 5, 9 milhões
- 2 iranianos por trás de ataques de SamSam Ransomware, reivindicações dos EUA 2 iranianos por trás de ataques de SamSam Ransomware, reivindicações dos EUA
"O plano precisa ser implementado com antecedência. Como você responderá, quem se comunicará, como pagará o resgate?" Barak disse.
Embora o pagamento seja uma opção viável, para a maioria das organizações continua sendo uma opção de última hora, não uma resposta adequada. Existem muitas variáveis que você não pode controlar nesse cenário. Além disso, ao pagar uma vez, você nunca pode garantir que não será atacado por mais dinheiro no futuro. Um plano melhor é usar uma defesa sólida e difícil o suficiente para desviar a maioria dos ataques de malware e derrotar os poucos que obtiverem sucesso. Mas o que você decidir, lembre-se de que praticamente todas as soluções exigem que você faça um backup religioso. Faça isso agora, faça-o com frequência e teste também com frequência, para garantir que as coisas funcionem sem problemas.
