Como lidar com um ataque de ransomware
É a notícia que nenhuma organização quer ouvir: você foi vítima de um ataque de ransomware e está se perguntando o que fazer em seguida.
A primeira coisa a ter em mente é que você não está sozinho. Mais de 17% de todos os ataques cibernéticos envolvem ransomware— um tipo de malware que mantém os dados ou o dispositivo de uma vítima bloqueado, a menos que a vítima pague ao hacker um resgate. Das 1.350 organizações entrevistadas em um estudo recente, 78% sofreram um ataque de ransomware bem-sucedido.
Ataques de ransomware utilizam vários métodos, ou vetores, para infectar redes ou dispositivos, incluindo enganar indivíduos para clicar em links maliciosos usando e-mails de phishing e explorar vulnerabilidades em softwares e sistemas operacionais, como acesso remoto. Os cibercriminosos normalmente solicitam pagamentos de resgate em Bitcoin e outras criptomoedas difíceis de rastrear, fornecendo às vítimas chaves de descriptografia no pagamento para liberar seus dispositivos.
A boa notícia é que, no caso de um ataque de ransomware, existem etapas básicas que qualquer Organização pode seguir para ajudar a conter o ataque, proteger informações confidenciais e garantir a continuidade de negócios, minimizando o downtime.
Boletim informativo do setor
As mais recentes notícias de tecnologia, corroboradas por insights de especialistas.
Mantenha-se atualizado sobre as tendências mais importantes e fascinantes do setor em IA, automação, dados e muito mais com o boletim informativo da Think. Consulte a declaração de privacidade da IBM.
Sua inscrição será entregue em inglês. Você pode encontrar um link para cancelar a inscrição em todos os boletins informativos. Você pode gerenciar suas inscrições ou cancelar a inscrição aqui. Consulte nossa declaração de privacidade da IBM para obter mais informações.
Isole os sistemas afetados
Como as variantes mais comuns de ransomware examinam as redes em busca de vulnerabilidades para se propagarem lateralmente, é crítico que os sistemas afetados sejam isolados o mais rápido possível. Desconecte a Ethernet e desative o Wi-Fi, Bluetooth e quaisquer outros recursos de rede para qualquer dispositivo infectado ou potencialmente infectado.
Outras duas etapas a serem consideradas:
- Desativação de tarefas de manutenção. Desativar imediatamente tarefas automáticas — por exemplo, excluir arquivos temporários ou rotação de logs — sistemas afetados. Essas tarefas podem interferir nos arquivos e prejudicar a investigação e recuperação de ransomware.
- Desconexão de backups. Como muitos novos tipos de ransomware têm como alvo os backups para dificultar a recuperação, mantenha os backups de dados off-line. Limite o acesso aos sistemas de backup até remover a infecção.
Fotografe o pedido de resgate
Antes de avançar com qualquer outra coisa, tire uma foto do pedido de resgate. O ideal é fotografar a tela do dispositivo afetado com um dispositivo separado, como um smartphone ou uma câmera. A foto agilizará o processo de recuperação e ajudará na hora de registrar um relatório policial ou um possível sinistro junto à sua seguradora.
Notifique a equipe de segurança
Depois de desconectar os sistemas afetados, notifique sua equipe de segurança de TI sobre o ataque. Na maioria dos casos, os profissionais de segurança de TI podem aconselhar sobre as próximas etapas e ativar o plano de resposta a incidentes da sua organização, ou seja, os processos e tecnologias da sua organização para detectar e responder aos ataques cibernéticos.
Não reinicie os dispositivos afetados
Ao lidar com ransomware, evite reiniciar os dispositivos infectados. Os hackers sabem que esse pode ser seu primeiro instinto, e alguns tipos de ransomware percebem tentativas de reinicialização e causam danos adicionais, como danificar o Windows ou excluir arquivos criptografados. Reinicializar também pode dificultar a investigação de ataques de ransomware — pistas valiosas são armazenadas na memória do computador, que são apagadas durante uma reinicialização.
Em vez disso, coloque os sistemas afetados em hibernação. Isso salvará todos os dados na memória em um arquivo de referência no disco rígido do dispositivo, preservando-o para análises futuras.
Agora que você isolou os dispositivos afetados, provavelmente está ansioso para liberar seus dispositivos e recuperar seus dados. Embora a erradicação de infecções por ransomware possa ser complicada de gerenciar, especialmente as cepas mais avançadas, as etapas a seguir podem iniciar você no caminho para a recuperação.
Determine a variante do ataque.
Várias ferramentas gratuitas podem ajudar a identificar o tipo de ransomware que infecta seus dispositivos. Conhecer a cepa específica pode ajudá-lo a entender vários fatores importantes, inclusive como ela se espalha, quais arquivos ela bloqueia e como você pode removê-la. Basta carregar uma amostra do arquivo criptografado e, se tiver, um pedido de resgate e as informações de contato do invasor.
Os dois tipos mais comuns de ransomware são bloqueadores de tela e criptografadores. Os bloqueadores de tela bloqueiam seu sistema, mas mantêm seus arquivos seguros até você pagar, enquanto é mais difícil lidar com os criptografadores, pois encontram e criptografam todos os seus dados confidenciais e só descriptografam depois que você faz o pagamento do resgate.
Pesquise ferramentas de descriptografia
Depois de identificar a tensão do ransomware, considere a possibilidade de procurar ferramentas de descriptografia. Há também ferramentas gratuitas para ajudar nessa etapa, incluindo sites como o No More Ransom . Basta inserir o nome da cepa de ransomware e procurar a descriptografia correspondente.
Se você teve a sorte de remover a infecção por ransomware, é hora de iniciar o processo de recuperação.
Comece atualizando as senhas do seu sistema e, em seguida, recupere os dados dos backups. Você deve sempre procurar ter três cópias dos seus dados em dois formatos diferentes, com uma cópia armazenada fora do local. Essa abordagem, conhecida como regra 3-2-1, permite restaurar seus dados rapidamente e evitar pagamentos de resgate.
Após o ataque, você também deve considerar a realização de uma auditoria de segurança e a atualização de todos os sistemas. Manter os sistemas atualizados ajuda a impedir que hackers façam exploração de vulnerabilidades encontradas em softwares mais antigos, e a aplicação regular de patches mantém suas máquinas atualizadas, estáveis e resistentes a ameaças de malware. Você também pode querer refinar seu Plano de resposta a incidentes com quaisquer lições aprendidas e assegurar-se de que comunicou o incidente de forma suficiente a todas as stakeholders necessárias.
Como o ransomware é uma extorsão e um crime, você deve sempre relatar ataques de ransomware às autoridades policiais ou ao FBI.
As autoridades podem ajudar a descriptografar seus arquivos se seus esforços de recuperação não funcionarem. Mas, mesmo que não consigam salvar seus dados, é crítico que catalogem a atividade dos cibercriminosos e, com sorte, ajudem outras pessoas a evitar destino semelhante.
Algumas vítimas de ataques de ransomware também podem ser legalmente obrigadas a relatar infecções por ransomware. Por exemplo, a conformidade com a HIPAA geralmente exige que entidades de saúde relatem qualquer violação de dados, incluindo ataques de ransomware, ao Department of Health and Human Services.
Decidir se deve fazer o pagamento de um resgate é uma decisão complexa. A maioria dos especialistas sugere que você só deve considerar pagar se tiver tentado todas as outras opções e se a perda de dados for significativamente mais prejudicial do que o pagamento.
Independentemente da sua decisão, você deve sempre consultar as autoridades policiais e profissionais de cibersegurança antes de prosseguir.
Pagar um resgate não garante que você recupere o acesso aos seus dados ou que os invasores mantenham suas promessas—as vítimas muitas vezes pagam o resgate, apenas para nunca receber a chave de decriptografia. Além disso, o pagamento de resgates perpetua a atividade cibercriminosa e pode financiar ainda mais os crimes cibernéticos.
As ferramentas de segurança de e-mail e o software antimalware e antivírus são críticas primeiras linhas de defesa contra ataques de ransomware.
As organizações também contam com ferramentas avançadas de segurança de endpoint, como firewalls, VPNs e autenticação multifator, como parte de uma estratégia mais ampla de proteção de dados para se defenderem contra violações de dados.
No entanto, nenhum sistema de cibersegurança está completo sem recursos de última geração de detecção de ameaças e resposta a incidentes para capturar cibercriminosos em tempo real e mitigar o impacto de ataques cibernéticos bem-sucedidos.
Ferramentas como sistemas de gerenciamento de eventos e informações de segurança (SIEM) podem aplicar aprendizado de máquina e análise de comportamento do usuário (UBA) ao tráfego de rede, juntamente com logs tradicionais, para uma detecção de ameaças mais inteligente e uma remediação mais rápida.