Em 27 de fevereiro, o Serviço de Sheriff dos EUA sofreu um ataque de ransomware. O incidente afetou sistemas contendo declarações de processos legais, informações administrativas e identificação pessoal da agência que lida, entre outras funções, com prisioneiros federais nos EUA. No início do mesmo mês, o FBI também sofreu um ataque que afetou o sistema utilizado para investigações de imagens de exploração sexual infantil. Também em fevereiro, a La Segunda Seguros, uma das maiores seguradoras da Argentina, foi vítima de um ataque de ransomware LockBit. Esse tipo de ameaça está tendo um papel crescente e esses casos mostram isso com nome e sobrenome.
O que é ransomware e como afeta o mercado global?
O ransomware é um tipo de ataque cibernético, um dos ataques informáticos mais comuns, que bloqueia o acesso a recursos informáticos (informações, sistemas ou redes), geralmente para extorquir dinheiro da organização afetada. Ocasionalmente, esse recurso é usado para interromper temporariamente o funcionamento de empresas ou órgãos governamentais, como os mencionados no parágrafo anterior, ou para afetar sua imagem pública e credibilidade.
Normalmente, começa com uma ação de phishing em que um usuário segue um link em um e-mail apócrifo ou algum sistema de segurança não consegue impedir a ação de um vírus ou outro tipo de intrusão na infraestrutura do sistema da organização atacada.
Outras descobertas significativas apontam que soluções como Nessus, Nexus e Qualys não conseguiram identificar preventivamente 18 riscos ligados ao ransomware. Esse crescimento nesse tipo de ataque afeta significativamente o mercado global, pois corta fluxos comerciais, trocas de informações críticas, processos de produção com alto impacto nas cadeias de suprimentos e, por fim, força enormes recursos a serem alocados para estratégias de prevenção, salvaguarda e recuperação de desastres, consumindo muito orçamento, tempo e recursos humanos.
Ransomware na política internacional
47,4% das vulnerabilidades de ransomware afetam os sistemas de saúde, 31,6% afetam os sistemas de energia e 21,1% afetam setores industriais críticos. Essas três áreas de ataque, que não são as únicas, têm muito a ver com áreas estratégicas envolvidas em ações de guerra cibernética, como a que hoje envolve diretamente a Rússia e a Ucrânia. Sem dúvida, as redes de telecomunicações e os servidores de sistemas de computadores são as frentes de guerra que se somam a outros cenários tradicionais.
O atual conflito armado afeta muitos setores econômicos e abre as portas para inúmeras transações por meio de canais informais, na busca pela superação das restrições derivadas das ações políticas e militares envolvidas. Tudo isso fornece o substrato para uma intensificação dos ataques cibernéticos, o que também requer o fortalecimento das estratégias de gerenciamento de vulnerabilidades e segurança cibernética, mesmo em organizações que não estão participando. Assim, as consequências da interseção entre guerra e ciberguerra acabam transcendendo o conflito para constituir um novo nível de risco para as organizações em geral.
De acordo com a análise da Recorded Future, a Rússia está passando por uma onda de fuga de cérebros informáticos que provavelmente descentralizará o cenário de ameaças de cibercrime organizado, impactando diretamente os desafios de segurança da informação nos próximos anos.
Você pode estar interessado em ler
Como se preparar para um cenário de ameaças crescente?
Estratégias defensivas contra essas ameaças
Para prevenir ou reduzir o impacto dos ataques, é essencial implantar uma estratégia de higiene de cibersegurança que inclua:
-
Fazer cópias de segurança dos dados com frequência.
-
Manter os sistemas atualizados.
-
Implementar um conjunto de técnicas complementares, como o gerenciamento de uma política de gerenciamento de identidade e acesso, juntamente com a lógica de confiança zero (zero trust).
-
Capacitar e treinar funcionários em segurança cibernética para não cair nas armadilhas do phishing ou da inteligência social aplicada aos ataques.
Leia mais
Segurança e resiliência na nuvem, dos riscos às oportunidades
O que fazer diante de um ataque eficaz?
Quando confrontado com um ataque de ransomware, existem dois caminhos: negociar ou ‘desligar tudo’. O consenso da maioria, e a recomendação das agências governamentais, não é negociar; no entanto, diante do desespero, há aqueles que fazem pagamentos em criptomoedas confiando que conseguirão restaurar o acesso às suas informações ou aos seus sistemas. Às vezes acontece, mas nem sempre.
Quando há evidência de um incidente, é necessário desconectar imediatamente equipamentos e redes da Internet. Isso pode ser feito pelo usuário, pelo administrador de rede ou pelo gerente de segurança de TI, dependendo de cada caso. Dependendo das características do ataque, isso pode reduzir a superfície de dano e mitigar o impacto. É muito importante que a estratégia de segurança cibernética inclua um protocolo corretamente projetado e disseminado entre todo o pessoal, no qual seja claramente indicado o que deve ser feito e quem tem cada uma das funções necessárias.
Soluções para a indústria
Existem várias opções para prevenir e agir contra o desafio apresentado pelo ransomware como um tipo de malware. A Acronis, por exemplo, tem o Active Protection, uma solução que monitora constantemente padrões de comportamento que afetam os arquivos de um determinado ambiente de sistema, que é uma ferramenta muito poderosa para identificar esses tipos de ataques. Isso é complementado pelos recursos de backup oferecidos pela empresa (Acronis Cyber Backup) que atuam após a interrupção de certos processos, uma vez que incidentes efetivos são detectados.
As boas práticas recomendadas pela Veeam incluem a implementação de um plano automatizado de disaster recovery com o V12. Depois, impõe-se a tendência de estabelecer quais dados devem permanecer inalterados, sem nenhuma modificação. Adiciona os backups encriptados, que devem ser verificados regularmente; O Veeam Recovery Orchestrator é um complemento eficaz para poder agir de forma proativa. Ressalta-se que as boas práticas de segurança em geral estabelecem a limitação de acesso às cópias de segurança, serão implementados múltiplos fatores de autenticação e haverá uma arquitetura que segmente adequadamente as redes da organização. Da mesma forma, os protocolos de software e segurança serão mantidos atualizados. Também aqui encontramos o conceito de monitoramento permanente, através da implementação de indicators of compromise (IoCs), ou seja, marcadores que indicam cenários de risco. Finalmente, ajuste as estratégias de recuperação com o suporte da Veeam Data Platform.
Quanto ao Azure, a visão da Microsoft é incorporar um conjunto de proteções nativas para ransomware em sua plataforma de nuvem O Microsoft Defender for Cloud fornece recursos de detecção e resposta a ameaças de amplo espectro, em um cenário também conhecido como detecção e resposta estendidas (XDR). A autenticação multifator do Azure Active Directory, o aplicativo Azure AD Authenticator e o Windows Hello são essenciais na política de gerenciamento de identidade e acesso. Além disso, a empresa criou mitigações de ataques DDoS nativos, funções específicas de firewall e um Web Application Firewall, entre muitos outros controles.
c