5 Estratégias de Proteção de Ransomware para 2023

Apenas na primeira metade de 2022, o número de novas variantes de ransomware que identificámos aumentou quase 100% em relação ao semestre anterior, com a equipa da FortiGuard Labs a identificar 10.666 novas variantes de ransomware no primeiro semestre de 2022, em comparação com apenas 5.400 no segundo semestre de 2021. Este crescimento exponencial de novas variantes de ransomware, resulta, principalmente, do número de atacantes que beneficiam das subscrições de Ransomware-as-a-Service (RaaS) na dark web. 

No entanto, e mesmo com o aumento das variantes de ransomware, as técnicas que vemos os maus atores a utilizarem permanecem, em grande parte, as mesmas. Esta previsibilidade é uma boa notícia porque as equipas de segurança têm um plano fiável de proteção contra estes ataques. Aqui fica uma visão mais atenta das estratégias de mitigação de ransomware e de como as pode implementar na sua organização. 

O que é o Ransomware?

Ransomware é um malware que mantém os dados como reféns em troca de um resgate. Ameaçam publicar, bloquear, corromper os dados ou mesmo impedir um utilizador de trabalhar ou aceder ao seu computador, a menos que satisfaçam as exigências do atacante. Atualmente, o ransomware é frequentemente enviado através de e-mails de phishing. Uma vez abertos, estes anexos maliciosos infetam o computador de um utilizador. O ransomware também pode ser difundido através de drive-by downloading, o que acontece quando um utilizador visita um website que, por acaso, está infetado. O malware nesse site é descarregado e instalado sem que o utilizador se aperceba.

A engenharia social também desempenha, frequentemente, um papel num ataque de ransomware. Isto é, quando um atacante tenta manipular alguém para divulgar informação confidencial. Uma tática comum de engenharia social consiste em enviar emails ou mensagens de texto para assustar o alvo, para que este partilhe informação sensível, abrindo um ficheiro malicioso ou carregando num link malicioso.

O que é a Mitigação do Ransomware?

Tentativas de ataques e violações de dados são inevitáveis, e nenhuma organização quer ser forçada a decidir entre o pagamento de um resgate ou a perda de dados importantes. Felizmente, estas não são as duas únicas opções. A melhor solução a seguir é a de assegurar as medidas apropriadas para salvaguardar as suas redes, o que diminuirá as hipóteses de a sua empresa ser atingida com um ransomware. Esta abordagem requer um modelo de segurança em camadas que combine controlos de rede, endpoint, edge, aplicação e datacenter, bem como inteligência de ameaças atualizadas.

Adicionalmente à implementação das ferramentas e dos processos de segurança corretos, não se esqueça do papel que a formação em cibersegurança desempenha na sua estratégia de mitigação. Ensinar os colaboradores a detetar um ataque de ransomware - e formar sobre fortes práticas de ciber-higiene em geral - é uma grande defesa contra os atacantes inteligentes. 

Compreender os riscos que tornam necessária a Mitigação do Ransomware

Se procurar em qualquer organização, provavelmente encontrará "lacunas" de segurança que aumentam as hipóteses de um negócio ser vítima de um ataque de ransomware. Aqui estão vários desafios comuns que as equipas de segurança e as suas organizações enfrentam, o que pode torná-las mais vulneráveis a ciberataques. 

• Falta de conhecimentos de ciber-higiene entre os colaboradores: O comportamento humano continua a ser um fator significativo na maioria dos incidentes de segurança. Além de compreender os sinais de ransomware, a falta de formação geral sobre cibersegurança entre os colaboradores pode colocar a sua organização em risco. De acordo com o relatório Verizon 2022 Data Breach Investigations, 82% dos ataques que ocorreram no ano passado envolveram o elemento humano;
• Políticas fracas para passwords: Políticas insuficientes relacionadas com as credenciais dos colaboradores - ou não ter nenhuma política - aumentam a probabilidade de uma organização sofrer uma falha de segurança. As credenciais comprometidas estão envolvidas em quase 50% dos ataques;
• Controlo e processos de segurança insuficientes: Uma única ferramenta não oferece tudo o que a sua equipa de segurança precisa para monitorizar e proteger contra potenciais ciberataques, tais como ransomware. Uma abordagem de segurança em camadas pode ajudá-lo a gerir adequadamente o risco da sua empresa;
• Falta de profissionais entre as equipas de segurança e de TI: Não é segredo que deve ter indivíduos com as competências certas na sua equipa para apoiar os esforços de monitorização e mitigação dos riscos para combater eficazmente a cibercriminalidade. No entanto, os dados mostram que a falta de competências de cibersegurança correspondem a um desafio permanente para os CISOs: como atrair e reter novos talentos, assegurando ao mesmo tempo que os membros atuais da equipa recebem as oportunidades de formação e atualização necessárias.

Últimos ataques de Ransomware 

O Ransomware continua a ficar cada vez mais desagradável e dispendioso, impactando as empresas em todas as indústrias e geografias. Embora a maioria de nós se lembre dos recentes ataques de ransomware de alto nível envolvendo empresas como Colonial Pipeline e JBS, ocorrem inúmeros outros incidentes de ransomware que não fazem parte das notícias nacionais. No entanto, muitos ataques de ransomware podem ser evitados através da aplicação de fortes práticas de ciber-higiene - incluindo a oferta de formação contínua de sensibilização de cibersegurança aos colaboradores - e concentrando-se na implementação de medidas Zero Trust Network Access (ZTNA) e de segurança de endpoint. 

5 Melhores Práticas de Proteção de Ransomware

A deteção eficaz de ransomware requer uma combinação entre formação e tecnologia. Eis algumas das melhores formas de detetar e prevenir a evolução dos atuais ataques de ransomware:

1. Explique aos seus colaboradores quais as caraterísticas do ransomware: A formação de sensibilização para a segurança da força de trabalho atual é uma necessidade e ajudará as organizações a protegerem-se contra uma série de ameaças em constante evolução. Ensine os colaboradores a detetar sinais de ransomware, tais como e-mails concebidos para parecerem ser de empresas autênticas, ligações externas suspeitas e anexos de ficheiros questionáveis;
2. Utilize tecnologia enganadora para atrair (e deter) os atacantes: Um honeypot é um engodo que consiste em falsos repositórios de ficheiros concebidos para parecerem alvos aliciantes para os atacantes. Pode detetar e parar o ataque quando um hacker de ransomware vai atrás do seu “honeypot”. A tecnologia de cibersegurança enganadora, como esta, não só utiliza as próprias técnicas e táticas de ransomware contra si própria para desencadear a deteção, mas também descobre as táticas, ferramentas e procedimentos (TTP) do atacante que levaram ao seu sucesso na rede para que a sua equipa possa identificar e colmatar essas falhas de segurança;
3. Monitorize a sua rede e endpoints: Através da monitorização contínua da rede, pode registar o tráfego de entrada e saída, verificar os ficheiros à procura de provas de ataque (tais como modificações falhadas), estabelecer uma linha de base para uma atividade aceitável do utilizador, e depois investigar qualquer coisa que pareça fora do normal. A implementação de ferramentas antivírus e anti-ransomware também é útil, uma vez que se pode utilizar estas tecnologias para fazer uma lista de exceções de sites aceitáveis. Finalmente, acrescentar deteções baseadas no comportamento à sua caixa de ferramentas de segurança é essencial, particularmente à medida que as superfícies de ataque das organizações se expandem e os atacantes continuam a aumentar o nível com novos ataques e mais complexos;
4. Observe do lado exterior a sua organização: Considere ter uma visão exterior da rede para perceber os riscos colocados uma organização. Como extensão de uma arquitetura de segurança, um serviço de DRP pode ajudar uma organização a ver e mitigar três áreas adicionais de risco: riscos de bens digitais, riscos relacionados com marcas, e ameaças ocultas e iminentes;
5. Fortalecer a sua equipa com SOC-as-a-Service se necessário: A intensidade atual que vemos em todo o panorama de ameaça, tanto em velocidade como em sofisticação, significa que precisamos todos de trabalhar mais para nos mantermos a salvo. Trabalhar de forma mais inteligente significa subcontratar tarefas específicas, como a resposta a incidentes e a procura da ameaça. É por isso que confiar num fornecedor de Managed Detection and Response (MDR) ou numa SOC-as-a-Service é útil. Fortalecer a sua equipa desta forma pode ajudar a eliminar o ruído e libertar os seus analistas para se concentrarem nas tarefas mais importantes. 

Apesar do volume de ransomware não estar a diminuir, estão disponíveis diversas tecnologias e processos para ajudar a sua equipa a mitigar os riscos associados a este ataque. Desde os programas de formação em cibersegurança em curso até ao reforço dos esforços da ZTNA, podemos manter os atacantes astutos à distância.