O ransomware representa uma ameaça crescente para empresas e agências governamentais. Embora nenhuma estratégia possa eliminar completamente esses riscos, esta publicação fornece recomendações e links para melhores práticas adicionais, sobre o melhor gerenciamento dos riscos de ransomware.

Três décadas de ransomware

O primeiro vírus ransomware foi criado por Joseph L. Popp, um biólogo evolucionário. Popp distribuiu o vírus na conferência de 1989 da Organização Mundial da Saúde sobre a Aids, através de 20.000 discos infectados. O vírus, que usava criptografia simétrica rudimentar para criptografar arquivos, era chamado de Trojan da Aids e também PC Cyborg . Enquanto as organizações infectadas foram capazes de descriptografar facilmente os arquivos afetados, a inovação de Popp inspirou os cibercriminosos a desenvolver variantes mais sofisticadas.

Os recursos do ransomware contemporâneo incluem o uso de serviços de pagamento anônimos para coletar resgates, criptografia assimétrica forte e malware sem arquivo (não executável). As tendências emergentes incluem ransomworms, como WannaCry e NotPetya , e táticas, técnicas e procedimentos em evolução. Embora o interesse dos criminosos cibernéticos pareça estar ganhando dinheiro, invasores habilidosos também podem penetrar na rede, atingir seus objetivos e deixar o ransomware para trás como distrator de seus objetivos principais.

Os ataques de ransomware agora fazem parte do ambiente de ameaças cibernéticas e estão ficando mais caros e sofisticados . Embora o setor de saúde tenha sido o principal alvo de ataques de ransomware em 2018 – quase metade dos incidentes relatados envolveram empresas de saúde – os ataques de maior perfil afetaram grandes empresas e governos municipais. A infraestrutura de TI da cidade de Atlanta, Geórgia , foi infectada pelo ransomware SamSam em março de 2018. Embora a cidade não tenha pago o resgate, seus custos de recuperação foram estimados em US $ 17 milhões . Baltimore também decidiu não pagar o resgatee, em vez disso, trabalhou para se recuperar do ataque de ransomware de maio de 2019, com custos estimados em mais de US $ 18 milhões. Vinte e duas cidades no Texas tiveram suas redes atacadas em um incidente coordenado de ransomware em agosto de 2019.

Combate ao Ransomware

Infelizmente, se uma organização é vítima de um ataque de ransomware, a única resposta nesse momento é reativa. Quando as organizações são vítimas de ataques de ransomware, sua pior opção pode parecer pagar para recuperar o acesso a seus dados confidenciais, perpetuando o modelo de negócios dos criminosos. Uma organização pode tentar negociar um resgate mais baixo, mas mesmo que pague, não há garantia de que recuperará o acesso aos seus dados.

Sua organização teria que pagar? Você confiaria nos criminosos para desbloquear seus arquivos?

Felizmente, existe uma abordagem proativa: fortalecendo sua postura de segurança cibernética, incluindo resiliência, e melhorando seus planos de proteção, detecção, análise e resposta de ransomware. A preparação para a resiliência pode ajudar a proteger uma organização de muitos tipos de ataques, incluindo ransomware. Planejar com antecedência, exercitar os planos e treinar a equipe pode ajudar a garantir uma resposta eficaz.

Resiliência

Resiliência em uma organização é a capacidade de continuar a fornecer e manter um nível aceitável de serviço, atendendo a seus objetivos críticos, sob condições adversas, incluindo interrupções como ataques cibernéticos, e para se recuperar rapidamente quando atacado. O estabelecimento da resiliência requer a implementação não apenas dos principais requisitos das funções de negócios, mas também a garantia de que as práticas que suportam a resiliência sejam incorporadas, de forma que a organização continue operando durante as interrupções. A institucionalização de práticas impulsiona a resiliência. O estabelecimento da resiliência envolve várias atividades de suporte adicionais, incluindo governança, gerenciamento de configurações, recursos, treinamento e envolvimento de partes interessadas e gerenciamento de nível superior. Veja o trabalho da Divisão CERT sobre resiliência , incluindo oModelo de Gerenciamento de Resiliência CERT , para obter orientações adicionais sobre gerenciamento de riscos e resiliência.

Práticas que ajudam a gerenciar riscos comuns de segurança cibernética, chamadas práticas de higiene cibernética , são um bom ponto de partida para estabelecer resiliência. As práticas de cibersegurança que ajudam a proteger contra ransomware incluem gerenciamento do ciclo de vida, como gerenciamento de ativos de hardware e software (manutenção de inventários de ativos, atualização de sistemas para evitar que se tornem inseguros ou insustentáveis), gerenciamento de configuração, gerenciamento de vulnerabilidades (sistemas de correção de vulnerabilidades) e controles sobre contas privilegiadas. As práticas de higiene padrão devem ser expandidas para cobrir o ransomware, por exemplo, adicionando conhecimento do ransomware ao treinamento dos funcionários, atualizando os planos de resposta a incidentes para incluir opções de resposta ao ransomware e exercitando esses planos.

Gerenciando o risco de ransomware

A maneira mais eficaz de se preparar para ataques de ransomware é fazer backups regulares e verificados. Os planos para backups confiáveis, principalmente dos principais sistemas e servidores, devem considerar os tempos de restauração com base nos impactos do tempo de inatividade. As organizações devem testar os backups regularmente como parte dos exercícios e incluir os piores cenários para operar sem sistemas de computador.

As práticas essenciais para reduzir os riscos de ataques de ransomware incluem

1. Faça backup de seus dados críticos regularmente e mantenha-os offline para que não sejam afetados por um ataque.
2. Mantenha seus sistemas atualizados e corrigidos .
3. Use controles fortes de identificação e autenticação , como autenticação multifatorial, principalmente para contas de usuário privilegiadas.
4. Empregue filtros antivírus e spam para verificar downloads e e-mails em busca de links para ransomware.
5. Aplique o princípio da ” menor funcionalidade “. Desative serviços desnecessários , especialmente o RDP (Remote Desktop Protocol), um vetor de ataque comum para ransomware, se sua empresa não precisar.
6. Use listas de permissões para impedir a execução de aplicativos não aprovados.
7. Empregue um recurso de inteligência de ameaças ou conhecimento da situação para manter o conhecimento das ameaças de ransomware.
8. Se você usar a administração remota, seja para a equipe interna de TI ou para um provedor de serviços gerenciados, analise as recomendações do Departamento de Recursos de Informações do Texas .

Respondendo ao Ransomware

Se o ransomware deixar de ser um risco (dano potencial não realizado) para ser um problema real, a primeira etapa será ativar o plano de resposta a incidentes. Pagar o resgate é uma opção a considerar, mas deve ser desencorajado, pois incentiva a atividade criminosa. Alguns ataques de ransomware podem ser desfeitos por ferramentas de recuperação disponíveis abertamente. O programa No More Ransom da Europol inclui aplicativos que podem descriptografar dados bloqueados por alguns tipos de ransomware. O recente Anúncio de Serviço Público do FBI fornece melhores práticas defensivas adicionais e pede que os incidentes de ransomware sejam relatados à polícia. Uma postagem anterior do blog do SEI inclui orientações adicionais sobre prevenção e resposta a um ataque de ransomware.

Também recomendamos a revisão de orientações adicionais sobre ransomware de agências do governo dos EUA , incluindo o Departamento de Segurança Interna .