51% das organizações não têm um plano formal de ransomware – você é uma delas?
O recente Relatório de Ameaças de Dados Thales de 2023, revelou que 51% das organizações não têm um plano formal de ransomware.
Também destacou o erro humano como uma causa primária de violações de dados, a crescente importância da soberania digital e os desafios enfrentados na segurança de ambientes de multicloud.
Além disso, revelou que 49% dos profissionais de TI relataram um aumento nos ataques de ransomware, e 22% das organizações passaram por essa ação criminosa nos últimos 12 meses.
O ransomware paralisa as operações comerciais e bloqueia o acesso a dados críticos até que o ataque seja resolvido – uma ameaça importante para as organizações em termos de custo e reputação.
Além dos controles de perímetro existentes, é necessária uma abordagem centrada em dados para proteger dados críticos contra criptografia por processos não autorizados.
Sem dúvidas, conforme a tecnologia aumenta os ataques ficam mais sofisticados. Podemos citar como exemplo, a Inteligência Artificial Generativa (IA) que é usada para aumentar em volume e nível de sucesso esses ataques.
Portanto, o cenário que vivenciamos na era digital ainda vai mudar muito em todos os sentidos. Da maneira como navegamos na internet, usamos os aplicativos e a proteção de dados dos clientes. E acima de tudo, nossa perspectiva sobre a cibersegurança.
Então, temos um longo caminho a percorrer para essa mudança de chave: de uma atitude reativa para uma proativa com utilização de ferramentas especializadas em estratégias para detecção e resposta a ameaças cibernéticas, gestão de identidade e acessos, treinamento e conscientização de colaboradores.
Queremos que você comece pensando nessas questões:
- Por que na minha empresa ainda não tem uma equipe que cuide da segurança de dados e digital?
- Quantas vezes você já verificou se realmente o mundo digital da sua empresa é seguro?
- Se um cibercriminoso quisesse agora praticar um ransomware contra a sua empresa, ele conseguiria?
Este artigo é um alerta para você. Também uma solução para se preparar estrategicamente contra ataques de ransomware.
O que é ransomware?
Vamos relembrar o conceito desse ataque. A palavra “ransom” em inglês significa resgate. Por isso, a principal característica é bloquear o computador e pagar o resgate para desbloqueá-lo.
Assim, um ransomware é um software malicioso (um tipo de malware) que acessa o dispositivo para roubar dados e informações em todo sistema operacional ou apenas alguns arquivos. O quanto é roubado vai depender da intenção do criminoso.
Como já comentamos acima sobre a IA, algoritmos avançados têm sido utilizados nesses ataques justamente para identificar todas as características do alvo. Por exemplo, quanto na conta bancária está disponível para que seja exigido o valor da extorsão. Entre outras vulnerabilidades especificas em rede e sistemas.
O que tem chamado atenção de especialistas na área da cibersegurança e o quanto os criminosos estão se atualizando em táticas e tecnologias. Mas as empresas não estão em paralelo reforçando e utilizando soluções inovadoras e tecnológicas no mesmo nível para se protegerem.
Quais são os tipos de ransomware?
Existem duas categorias principais de ransomware: bloqueio e criptografia. Confira a diferença entre cada um:
Ransomware de bloqueio:
Este tipo de ransomware impede que os usuários realizem funções básicas no computador. Por exemplo, o acesso a área de trabalho pode ser negado, enquanto as funções do mouse e do teclado são parcialmente desabilitadas.
Assim, você continua a interagir com a janela que terá o pedido de resgate. O ransomware de bloqueio não tem como alvo arquivos críticos, ele somente deixa todo o sistema inoperável. Então, a destrição de arquivos tem uma probabilidade baixa.
Ransomware de criptografia:
Já neste tipo, o objetivo é criptografar seus documentos, como fotos, vídeos e áudios. Mas, as funções do computador não serão alteradas. Geralmente, isso pode causar mais pânico porque os usuários não conseguem visualizar os documentos e não sabem como os criminosos podem se aproveitar do conteúdo.
Algumas vezes há uma contagem regressiva para o pagamento do resgate: “Você tem até x data para fazer o pagamento ou seus arquivos serão excluídos.”
Devido à falta de consciência sobre a importância de realizar backups em serviços de armazenamento em nuvem ou em dispositivos externos, muitas vítimas a pagam o resgate para recuperar seus dados.
Ransomware: Cenário Atual
Gangue Akira
Você sabia que a gangue Akira, formada em 2023, já obteve mais de US$42 milhões em pagamento de resgastes de mais de 250 vítimas em todo o mundo?
Foram empresas privadas e governamentais em vários setores, incluindo imobiliário, finanças e educação.
Segundo o FBI, a gangue exige resgastes que variam de US$200 mil a alguns milhões. O grupo cria e implementa um criptografor Linux. Assim, explora máquinas virtuais VWware ESXi, que está em uso em muitas empresas e órgãos governamentais.
No entanto, as primeiras versões foram desenvolvidas em C++, que foi recentemente alterado para Rust com uma extensão .poweranges para criptografia.
Um dos últimos alvos de ransomware foram Universidade de Stanford e a filial da Nisan na Oceania.
Junk Gun
Não fique você pensando, que só grandes empresas podem sofrer esse ataque. Pois, existem agora versões para atingirem pequenas e médias empresas (PMEs), como o Junk Gun.
O Junk Gun é um tipo de ransomware de baixa qualidade que vem ganhando mais espaço na dark web. Essa opção é produzida de forma independente e menos sofisticada. Além disso, vendida por um preço único, o que torna uma oportunidade para cibercriminosos atingirem PMEs e usuários.
Bem diferente do modelo tradicional de ransomware como serviço (RaaS), baseado em afiliados que dominou o mercado durante uma década. Entretanto, alguns desses ecossistemas desapareceram e outros afiliados expressaram suas insatisfações com o sistema de lucros do RaaS.
O preço médio dessas variantes de Junk Gun é de US$375, valor mais barato que um RaaS que custa por volta de US$1mil. Os argumentos de venda são que o produto precisa de pouca infraestrutura de suporte para operar e que os usuários não são obrigados a compartilhar seus lucros com os criadores do golpe.
IA
A Inteligência Artificial trouxe inovação para todos os campos, inclusive para ataques de ransomware. Com essa tecnologia, os cibercriminosos conseguem personalizar seus crimes. Ou seja, adaptam as abordagens conforme as características e fraquezas de cada alvo sem gastar tempo.
Além disso, a IA é utilizada para automatizar parte do processo dos ataques. Portanto, estão mais rápidos e eficientes, aumentando o impacto e escalabilidade dessas operações.
A Sequoia, grande empresa de logística, usou o CipherTrust Transparent Encryption para proteção de dados contra ataque de ransomware. Assista ao vídeo.
Estágios de um ataque de ransomware
Infecção Inicial: O ransomware entra no sistema através de e-mails de phishing, sites comprometidos ou vulnerabilidades de software.
Pós-Exploração: Após o acesso, os atacantes podem usar ferramentas como RAT ou malware para estabelecer acesso interativo.
Entender e Expandir: Os invasores exploram o sistema para encontrar acesso a outros domínios e sistemas, chamado de movimento lateral.
Coleta e exfriltação: Começa a identificação de dados valiosos (credenciais de login, informações pessoais dos clientes e propriedade intelectual) para roubar. Geralmente fazem download ou exportam uma cópia.
Implementação e envio de resgaste: O ransomware criptografa arquivos e desativa recursos de restauração, exigindo pagamento em criptomoeda em troca da chave de descriptografia, geralmente comunicando isso através de uma nota de resgate.
Como se proteger de ransomware?
Sim, é possível proteger sua empresa dessas ações criminosas. Temos dicas práticas e valiosas e também uma ferramenta que
Conscientização e Treinamento:
Eduque os funcionários sobre os perigos do ransomware, como reconhecer e relatar possíveis ameaças. Treine-os em boas práticas de segurança cibernética, como não clicar em links suspeitos ou abrir anexos de e-mails desconhecidos.
Atualizações e Patches:
Mantenha todos os sistemas operacionais, aplicativos e programas atualizados com os patches de segurança mais recentes. Isso ajuda a corrigir vulnerabilidades conhecidas que os hackers podem explorar.
Firewalls e Antivírus:
Instale e mantenha firewalls e software antivírus atualizados em todos os dispositivos. Assim, eles podem ajudar a detectar e bloquear ameaças de ransomware antes que elas se tornem um problema.
Filtragem de E-mails e Conteúdo:
Use filtros de e-mails e soluções de segurança de gateway da web para bloquear e-mails de phishing e sites maliciosos que podem distribuir ransomware.
Restrições de Privilégios:
Implemente o princípio do “princípio mínimo de privilégio”, garantindo que os usuários tenham apenas as permissões necessárias para realizar suas funções. Isso reduz o impacto de um ataque de ransomware, limitando a capacidade do malware de se espalhar pela rede.
Backup Regular e Armazenamento Seguro:
Faça backups regulares de todos os dados importantes e armazene-os em locais seguros, desconectados da rede quando possível. Isso permite a restauração dos dados sem pagar o resgate em caso de um ataque de ransomware bem-sucedido.
Plano de Resposta a Incidentes:
Desenvolva e teste um plano de resposta a incidentes que inclua procedimentos claros para lidar com ataques de ransomware. Isso ajuda a minimizar o tempo de inatividade e o impacto caso ocorra um incidente.
Monitoramento de Rede e Atividade Suspeita:
Implemente sistemas de monitoramento de rede e comportamento para detectar atividades suspeitas ou padrões incomuns que possam indicar um ataque em andamento.
Segurança em Camadas:
Utilize uma abordagem em camadas para segurança cibernética, combinando diferentes tecnologias e estratégias de defesa para proteger contra várias ameaças, incluindo ransomware.
Planejamento de Recuperação de Desastres:
Tenha um plano de recuperação de desastres abrangente que inclua procedimentos para restaurar sistemas e dados após um ataque de ransomware, minimizando assim o impacto nos negócios.
Proteção contra ransomware
A Eval é uma revendedora oficial da Thales, que fornece às empresas soluções de segurança de dados e gerenciamento de acesso para mitigar ataques de ransomware.
As soluções de segurança de dados e gerenciamento de acesso possuem os componentes mais essenciais do framework de cibersegurança para proteger organizações contra ransomware:
- Descobrir dados sensíveis e classificá-los de acordo com o risco.
- Implementar controles robustos de gerenciamento de identidade e acesso.
- Proteger e controlar dados sensíveis em repouso e em trânsito por meio de criptografia e tokenização.
Soluções da Thales contra ataques ransomware
- A proteção contra ransomware do CipherTrust Transparent Encryption é específica para monitorar atividades do tipo ransomware para interromper os processos maliciosos.
- Proteger dados em repouso de ataques de ransomware com o CipherTrust Data Security Platform.
- Implementar autenticação forte, acesso e gerenciamento de identidade com o SafeNet Trusted Access.
- Identificar e classificar dados sensíveis vulneráveis em toda a infraestrutura de TI híbrida com o CipherTrust Data Discovery and Classification.
- Proteger dados em trânsito com Thales High Speed Encryptors e garantir a segurança de dados em movimento.
