Uma das razões pelas quais a influência do ransomware é tão grande é que existem várias maneiras pelas quais os ataques de ransomware podem ocorrer. Como um MSP, proteger os negócios de seus clientes contra ransomware requer estar familiarizado com todos os cenários de ataque de ransomware e tomar medidas para se defender contra cada um deles.
Com essa necessidade em mente, este artigo descreve cenários comuns de ataques de ransomware e o que fazer se um desses ataques afetar seus clientes.
Tipos de ataques de ransomware
Phishing
Phishing é um tipo de exploração em que um invasor convence alguém dentro de uma organização a realizar uma ação (como clicar em um link dentro de um e-mail ou revelar credenciais de login) que permite que os sistemas da organização sejam comprometidos. Se os invasores puderem obter esse acesso, eles poderão criptografar os dados da organização e resgatá-los.
Quando o phishing, os invasores geralmente fazem uma mensagem parecer vir de alguém legítimo, por exemplo, criando uma conta de email falsa fingindo pertencer a uma pessoa da mesma organização ou a um fornecedor com o qual você tem parceria. Essas estratégias podem tornar mais fácil convencer alguém de dentro da organização a cair no ataque de phishing, mesmo se os sistemas anti-phishing marcarem a mensagem como vinda de fora de sua própria organização.
Protocolo de Área de Trabalho Remota
O protocolo de área de trabalho remota, ou RDP, é um protocolo amplamente usado para acessar computadores de locais remotos. Como o RDP oferece aos usuários remotos o mesmo nível de acesso a um sistema que eles teriam se estivessem sentados na frente dele e logados, comprometer o RDP é o cenário dos sonhos de um atacante de ransomware.
Embora o RDP seja seguro quando configurado corretamente, há várias maneiras de usar conexões RDP mal protegidas para instalar ransomware dentro de uma organização:
- Credenciais de usuário fracas: os invasores podem obter acesso tirando proveito de senhas RDP fracas que eles podem adivinhar ou usar força bruta. A ausência de autenticação multifatorial e o uso da mesma conta para vários tipos de aplicativos tornam as credenciais fracas do usuário mais fáceis de explorar.
- RDP aberto para a Internet: se as portas RDP forem acessíveis a partir da Internet pública, será muito fácil para os invasores encontrarem e verificarem vulnerabilidades. É melhor manter as conexões RDP atrás de um firewall para que fiquem disponíveis apenas para usuários que estejam em um local físico (como em seu escritório) ou (se estiverem trabalhando remotamente) conectados à VPN de uma empresa.
- Ferramentas ou protocolos RDP desatualizados: se os aplicativos RDP, ou o próprio RDP, não forem mantidos atualizados, podem conter falhas de segurança conhecidas que os invasores podem explorar para invadir e instalar ransomware.
- Conta RDP privilegiada: uma conexão RDP comprometida é ruim. É ainda pior se a conta comprometida tiver permissões de administrador. É por isso que é uma prática recomendada seguir o princípio do menor privilégio, o que significa que os privilégios mínimos necessários devem ser atribuídos a cada conta. A menos que haja um motivo específico para uma conta de administrador exigir acesso RDP, essa configuração deve ser evitada.
Explorações de aplicativos
Qualquer aplicativo – mesmo um tão simples como a Calculadora do Windows – pode ser potencialmente explorado por um invasor para obter acesso não autorizado a um sistema e instalar ransomware.
Isso é verdade, não importa o quão atualizados os aplicativos estejam ou qual versão de um sistema operacional um usuário está executando. No entanto, existem algumas práticas em particular que podem levar a explorações de aplicativos:
- Configurações modificadas: os aplicativos configurados de maneiras para as quais não foram projetados podem abrir vulnerabilidades. Antes de alterar as configurações em um aplicativo, revise sua documentação para certificar-se de que não está configurando-o incorretamente.
- Senhas salvas: os aplicativos podem salvar senhas de logins anteriores, facilitando o acesso dos invasores. É uma prática recomendada desativar as senhas salvas.
- Sites comprometidos: os sites que hospedam software malicioso podem tentar instalar esse software nos computadores dos usuários. Os navegadores da Web devem ser configurados para mitigar esse risco. Em ambientes especialmente sensíveis, você pode até considerar a execução de aplicativos de usuário dentro de uma máquina virtual que é restaurada a um estado “limpo” anterior automaticamente após cada sessão; dessa forma, qualquer malware instalado durante uma sessão será apagado quando o usuário fizer logout.
Intrusão Física
É fácil ignorar o risco de um invasor obter acesso físico aos sistemas, mas é um cenário real. Organizações com baixa segurança física têm pouco para protegê-las de alguém simplesmente entrar em um escritório, sentar em uma estação de trabalho e implantar ransomware.
Isso é verdadeiro mesmo em organizações que realizam etapas básicas para atender às necessidades de segurança física. Por exemplo, manter as portas trancadas não é garantia de que um intruso não entrará sorrateiramente atrás de outra pessoa ou quebre uma fechadura após o expediente.
Respondendo a ataques de ransomware
É importante que os MSPs estejam preparados com um plano de resposta caso os sistemas de seus clientes (ou mesmo seus próprios sistemas) sejam atacados com ransomware.
As etapas básicas a serem seguidas ao responder a um ataque de ransomware incluem:
- Análise: execute uma análise completa do ataque para identificar quais dispositivos foram infectados e certifique-se de que o vetor de ataque não esteja mais ativo.
- Execução de antivírus: analise todos os sistemas afetados com software antivírus para identificar quaisquer explorações conhecidas que foram introduzidas com o ransomware. É importante certificar-se de que todo o malware foi removido antes de restaurar as operações; caso contrário, os dados podem ser comprometidos novamente após a restauração.
- Recuperação: uma vez que os sistemas foram confirmados como livres de ransomware, você pode recuperar dados de backups e permitir que os clientes retomem as operações normais.
- Fortalecer as operações: com as operações restauradas, agora você pode tomar medidas para fortalecer os sistemas para evitar outro ataque de ransomware. Certifique-se de que o software esteja atualizado, resolva os pontos fracos da configuração do seu firewall , aplique a autenticação multifator e assim por diante. Você também pode considerar a implantação de ferramentas anti-ransomware pré-instaladas, como proteção contra malware e ransomware no Office 365.
Recuperando-se de um ransomware se os backups estiverem infectados
As etapas acima pressupõem que você tenha uma cópia de backup dos dados sem ransomware que pode ser usada para a restauração. Infelizmente, nem sempre é esse o caso. Sua política de retenção de dados pode não ter salvo os dados por tempo suficiente para garantir que uma cópia anterior ao ataque seja preservada. Ou seus próprios backups podem ter sido comprometidos durante o ataque (o que não acontecerá se você se lembrar de armazenar pelo menos uma cópia de seus backups em um local offline, mas pode se esquecer de fazer isso).
Nessas situações, a recuperação é mais difícil, mas nem toda esperança está necessariamente perdida. Você ainda pode recuperar por meio das seguintes estratégias:
- Reconstrua dados de outras fontes: Em ataques de escopo limitado, você pode encontrar fontes de dados que não foram comprometidas durante o ataque e usá-las para a recuperação. Por exemplo, talvez você possa encontrar um funcionário que estava de férias e cujo laptop foi desligado durante o ataque. Nesse caso, você pode usar os dados do laptop como base para a recuperação. Essa abordagem exigirá mais esforço e pode não preservar todos os dados, mas é preferível a pagar um resgate.
- Procure uma chave de descriptografia online. Em alguns casos, resolver o ransomware pode ser tão simples quanto obter uma chave de descriptografia disponível publicamente ou seguir outro procedimento conhecido para descriptografar os dados afetados. Portanto, embora possa parecer óbvio, certifique-se de pesquisar no Google ou perguntar em fóruns relevantes por uma solução.
- Pague o resgate. Como último recurso, você sempre pode pagar o resgate (e esperar que os invasores forneçam uma chave de descriptografia em resposta). Obviamente, se você fizer backup de seus dados, evitará esse resultado embaraçoso e arriscado.
Conclusão
O ransomware vem em muitas formas e não há como garantir imunidade contra ele. Mas existem etapas que você pode seguir para minimizar o risco de os sistemas de seus clientes (ou seus próprios sistemas) serem vítimas de ransomware. E, mantendo o backup dos dados, armazenando pelo menos uma cópia dos backups em um local offline e tendo as políticas de retenção corretas em vigor, você se coloca em posição de se recuperar de um ataque de ransomware sem ter que pagar o resgate.
Para complementar sua leitura baixe nosso Whitepaper “Etapas para manter a segurança dos dados de Backup contra ransomware”. Nesse whitepaper você vai aprender como manter a segurança dos seus dados através de backups.