Como proteger e recuperar seus negócios de ransomware

Os EUA estão se preparando para o impacto total de uma epidemia global de ransomware baseada na variedade de malware Wanna Decryptor. É importante proteger seus negócios e dados contra essa ameaça que se espalha rapidamente, mas assim que passarmos, você precisará se lembrar de que o Wanna Decryptor é apenas o exemplo mais barulhento do problema de ransomware.

Há três coisas a saber sobre o ransomware: é assustador, está crescendo rapidamente e é um grande negócio. De acordo com o Internet Crime Complaint Center (IC3) do FBI, mais de 992 reclamações relacionadas ao CryptoWall foram recebidas entre abril de 2014 e junho de 2015, resultando em mais de US $ 18 milhões em perdas. Esse sucesso maligno se reflete na taxa de crescimento do ransomware com o Infoblox DNS Threat Index, relatando um aumento de 35 vezes em novos domínios criados para o ransomware no primeiro trimestre de 2016 (em comparação com o quarto trimestre de 2015).

Em geral, o ransomware descarta uma parede criptografada entre uma empresa e os dados e aplicativos internos que a empresa precisa para operar. Mas esses ataques podem ser muito mais graves do que simplesmente a inacessibilidade dos dados. Se você não estiver preparado, sua empresa poderá parar.

Basta perguntar ao Hollywood Presbyterian Medical Center. Muito antes de Wanna Decryptor, o hospital aprendeu uma lição dolorosa quando a equipe perdeu o acesso aos PCs durante um surto de ransomware no início de 2016. O hospital pagou o resgate de US $ 17.000 depois que os funcionários passaram 10 dias confiando em aparelhos de fax e gráficos em papel. Ou pergunte ao Departamento de Polícia de Tewksbury. Em abril de 2015, eles pagaram o resgate para recuperar o acesso a registros criptografados de detenções e incidentes.

Como as empresas são infectadas?

Se existe um lado positivo para o Wanna Decryptor em qualquer nível, é para provar, sem dúvida, que a ameaça apresentada pelo ransomware é real. Nenhuma empresa ou funcionário está imune a um possível ataque de ransomware. É importante entender como o ransomware infecta os computadores antes de discutir como proteger seus negócios ou como responder se você estiver comprometido. Compreender a origem e o modo de infecção fornece informações sobre como permanecer seguro.

O ransomware geralmente vem de uma de duas fontes: sites comprometidos e anexos de email. Um site legítimo comprometido pode hospedar um kit de exploração que infecta sua máquina, geralmente por meio de uma exploração do navegador. A mesma metodologia pode ser usada por um site de phishing. Um download drive-by instala o ransomware e começa a criptografar seus arquivos.

No caso de um anexo de email mal-intencionado, os usuários são levados a abrir o anexo, que instala o ransomware. Isso pode ser tão simples quanto uma mensagem de e-mail falsa com um anexo executável, um arquivo infectado do Microsoft Word que o habilita a ativar macros ou um arquivo com uma extensão renomeada, como um arquivo que termina em "PDF", mas na verdade é um arquivo EXE (um executável).

"Nos dois casos, algum tipo de engenharia social é usado para atrair o usuário a se infectar", diz Luis Corrons, diretor técnico do PandaLabs na Panda Security. "Isso oferece às empresas uma grande oportunidade de educar seus usuários para evitar esses riscos, mas, infelizmente, a maioria das pequenas empresas negligencia isso e perde a chance de economizar uma grande dor de cabeça".

Atualmente, não existe uma bala de prata para garantir a segurança da sua organização contra ransomware. Mas existem cinco etapas que todas as empresas devem adotar para reduzir drasticamente suas chances de infecção - e também aliviar a dor caso um ataque seja bem-sucedido.

Preparar

Um componente essencial para se preparar para um ataque de ransomware é desenvolver uma estratégia de backup robusta e fazer backups regulares. "Os backups robustos são um componente essencial de uma estratégia anti-ransomware", disse Philip Casesa, estrategista de desenvolvimento de produtos da ISC2, uma organização global sem fins lucrativos que certifica profissionais de segurança. "Depois que seus arquivos são criptografados, sua única opção viável é restaurar o backup. Suas outras opções são pagar o resgate ou perder os dados."

"Você precisa ter algum tipo de backup, uma solução real de backup dos ativos que você determinou que são essenciais para o seu negócio", continuou Casesa. "O backup em tempo real ou a sincronização de arquivos apenas fazem backup dos seus arquivos criptografados. Você precisa de um processo robusto de backup onde possa reverter alguns dias e restaurar aplicativos e dados locais e de servidor".

O Corrons da Panda Security oferece um cuidado adicional: os backups "são críticos caso suas defesas falhem, mas certifique-se de remover completamente o ransomware antes de restaurar os backups. No PandaLabs, vimos o ransomware criptografar arquivos de backup".

Uma boa estratégia a considerar é uma solução de backup em camadas ou distribuída que mantém várias cópias dos arquivos de backup em locais diferentes e em mídias diferentes (para que um nó infectado não tenha acesso imediato aos repositórios de arquivos e arquivos de backup atuais). Essas soluções estão disponíveis em vários fornecedores de backup online para pequenas e médias empresas (SMB), bem como na maioria dos fornecedores de recuperação de desastre como serviço (DRaaS).

Evita

Como mencionado anteriormente, a educação do usuário é uma arma poderosa, mas frequentemente negligenciada em seu arsenal contra o ransomware. Treine os usuários para reconhecer técnicas de engenharia social, evitar a isca de cliques e nunca abrir um anexo de alguém que eles não conhecem. Anexos de pessoas que eles conhecem devem ser vistos e abertos com cautela.

"Entender como o ransomware se espalha identifica os comportamentos do usuário que precisam ser modificados para proteger seus negócios", disse Casesa. "Os anexos de email são o risco número um de infecção, os downloads drive-by são o número dois e os links maliciosos no email são o número três. Os seres humanos desempenham um fator significativo na infecção por ransomware".

Treinar os usuários a considerar a ameaça do ransomware é mais fácil do que você pensa, especialmente para pequenas e médias empresas. Certamente, pode assumir a forma tradicional de um longo seminário interno, mas também pode ser simplesmente uma série de almoços em grupo nos quais a TI tem a chance de informar os usuários por meio de discussões interativas - pelo baixo preço de algumas pizzas. Você pode até considerar contratar um consultor de segurança externo para ministrar o treinamento, com alguns vídeos adicionais ou exemplos do mundo real.

Proteger

O melhor lugar para começar a proteger seu SMB contra ransomware é com estas quatro principais estratégias de mitigação: lista de permissões de aplicativos, aplicativos de aplicação de patches, sistemas operacionais (SOs) e minimização de privilégios administrativos. Casesa rapidamente apontou que "esses quatro controles cuidam de 85% ou mais das ameaças de malware".

Para pequenas e médias empresas que ainda contam com antivírus (PC) individual para segurança, a mudança para uma solução gerenciada de segurança de terminal permite que a TI centralize a segurança de toda a organização e assuma o controle total dessas medidas. Isso pode aumentar drasticamente a eficácia do antivírus e antivírus.

Qualquer que seja a solução que você escolher, inclua proteções baseadas em comportamento. Todos os três especialistas concordaram que o anti-malware baseado em assinatura não é eficaz contra ameaças de software modernas.

Não Pague

Se você não se preparou e se protegeu contra o ransomware e foi infectado, pode ser tentador pagar o resgate. No entanto, quando perguntados se essa foi uma decisão sábia, nossos três especialistas se uniram em sua resposta. Corrons foi rápido em apontar que "pagar é arriscado. Agora você certamente está perdendo seu dinheiro e talvez esteja recuperando seus arquivos sem criptografia". Afinal, por que um criminoso se tornaria honrado depois que você o pagou?

Ao pagar aos criminosos, você está dando a eles um incentivo e os meios para desenvolver um melhor ransomware. "Se você paga, torna tudo muito pior para todo mundo", diz Casesa. "Os bandidos usam seu dinheiro para desenvolver malware mais desagradável e infectar outros".

Proteger futuras vítimas pode não ser uma preocupação quando você está tentando administrar uma empresa com seus dados mantidos reféns, mas observe-os sob essa perspectiva: a próxima vítima poderá ser você novamente, desta vez lutando ainda mais malware eficaz que você ajudou a pagar para desenvolver.

Casesa ressalta que "ao pagar o resgate, você agora se tornou um alvo mais maduro para os criminosos, porque eles sabem que você pagará". Você se torna, no jargão das vendas, um lead qualificado. Assim como não há honra entre os ladrões, não há garantia de que o ransomware seja completamente removido. O criminoso tem acesso à sua máquina e pode descriptografar seus arquivos e deixar o malware nele para monitorar suas atividades e roubar informações adicionais.

Mantenha-se Produtivo

Se o dano causado pelo ransomware é uma interrupção nos negócios, por que não tomar medidas para aumentar a continuidade dos negócios migrando para a nuvem? "O nível de proteção e segurança geral que você obtém da nuvem é muito maior do que o que uma pequena empresa pode pagar", aponta Brandon Dunlap, CISO Global da Black & Veatch. "Os provedores de nuvem têm varredura de malware, autenticação aprimorada e várias outras proteções que diminuem muito as chances de eles sofrerem um ataque de ransomware".

No mínimo, mova os servidores de email para a nuvem. Dunlap ressalta que "o email é um grande vetor de ataque para ransomware. Mova-o para a nuvem onde os provedores agrupam vários controles de segurança, como verificação de malware e DLP no serviço". Camadas de segurança adicionais, como reputação do site baseada em proxy e varredura de tráfego, podem ser adicionadas através de muitos serviços em nuvem e podem limitar ainda mais sua exposição ao ransomware.

Dunlap está entusiasmado com as proteções que a nuvem oferece contra ransomware. "Estamos em um momento fantástico na história da tecnologia, com uma infinidade de soluções de baixo atrito para muitos dos problemas enfrentados pelas pequenas empresas", disse Dunlap. "Isso torna as pequenas empresas mais ágeis do ponto de vista de TI".

Se a sua máquina local for infectada com ransomware, pode não ser importante se seus dados estiverem na nuvem. Limpe sua máquina local, redefina a imagem, reconecte-se aos seus serviços em nuvem e você está de volta aos negócios.

Não espere o sapato cair

Essa não é uma daquelas situações em que uma abordagem de esperar para ver é sua melhor tática. O Wanna Decryptor mostra claramente que o ransomware está lá fora; está crescendo aos trancos e barrancos gigantes, tanto em sofisticação quanto em popularidade de bandidos - e definitivamente está procurando por você. Mesmo após a ameaça atual, é extremamente importante que você tome medidas para proteger dados e pontos finais contra infecções.

Crie backups regulares, treine funcionários para evitar infecções, corrija aplicativos e sistemas operacionais, limite de privilégios de administrador e execute software anti-malware sem assinatura. Se você seguir este conselho, poderá evitar todas as infecções, exceto as mais avançadas (e as que provavelmente não estão direcionando as pequenas e médias empresas). No caso de um ataque passar por suas defesas, tenha um plano claro e testado para que a TI limpe a infecção, restaure backups e retome as operações comerciais normais.

Se você não seguir essas práticas recomendadas e for infectado, saiba que pagar o resgate não oferece garantias, qualifica você como um otário para os criminosos e oferece a eles os meios para desenvolver ransomware ainda mais insidioso (e o incentivo para usá-lo o mais rápido possível). Não seja uma vítima. Em vez disso, reserve um tempo para colher os benefícios mais tarde: prepare, previna, proteja e permaneça produtivo.