Ransomware: a visibilidade é a melhor defesa

Temos assistido a grupos de cibercriminosos a adotarem táticas cibernéticas desenvolvidas e usadas por alguns estados para descobrirem vulnerabilidades nas organizações e as atacarem. O ransomware é um dos ataques que mais tem crescido ultimamente. Muitas pessoas ainda se referem ao ataque de ransomware quando surgiu pela primeira vez o WannaCry, em 2017, mas este tipo de ataques evoluiu imenso desde essa altura. Com o surgimento do ransomware-as-a-service, nem sequer é preciso ser-se um cibercriminosos muito experiente para se perpetrar ataques de ransomware, uma vez que basta usar ferramentas desenvolvidas por outros.

Além do mais, as criptomoedas atuam como um incentivo aos criminosos, com a possibilidade do pagamento de grandes resgates e permanecerem no anonimato.

Este tipo de ataques evoluiu muito e tornou-se numa arma quase invencível. Agora, temos aquilo que denominamos como ransomware de grande jogada, no qual, os atacantes infiltram-se numa empresa subtilmente, como, por exemplo, através de campanhas de phishing ou website maliciosos, e depois procuram localizar informações sensíveis, confidenciais ou valiosas. Estes cibercriminosos passam despercebidos porque usam credenciais de utilizadores legítimos e autorizados a aceder à informação crítica antes de a roubarem, encriptarem os dados e pedirem um resgate, muitas vezes na ordem das centenas de milhares ou milhões de euros. Certamente, muito dos leitores já estarão a correlacionar esta informação com alguns dos ataques mais recentes.

Os grupos de cibercrime são como as cabeças da mítica Hydra – quando as autoridades apanham um, através de colaboração com outros criminosos, rapidamente se reorganizam e começam novamente a atacar.

Os riscos e os desafios para as organizações

O maior risco é a exposição de dados de uma organização. Representa um desafio muito grande para quase todas as empresas, já que, em média, um empregado tem acesso a cerca de 17 milhões de ficheiros. Parece muito, e é! Como resultado, quando as organizações são alvo de uma falha de segurança ou um ataque, são apanhadas desprevenidas. Um enorme volume de dados significa que a superfície de ataque é muito maior do que deveria ser, e as empresas não estão preparadas para isso. A falta de visibilidade – e, como tal, de conhecimento - sobre onde é que se encontram os dados mais sensíveis e importantes, assim como quem é que lhes acede e quem é que os altera, copia, apaga ou rouba, amplifica os desafios de lidar com um ataque desta natureza.

O desafio hoje em dia é enorme. Os dados são armazenados em muitos sítios diferentes e continuam a crescer diariamente, trazendo mais complexidade, o que, por sua vez, abre a empresa a um maior risco de sobre-exposição. Lamentavelmente, muitas organizações são igualmente cegas em relação aos seus dados mais confidenciais.

Se não souber se um utilizador copiou dados sensíveis e protegidos ao abrigo do RGPD para o seu próprio computador, ou se abriu recentemente ficheiros de RH sensíveis aos quais não deveria ter acesso, não saberá quando é que a sua organização foi atacada. Todas as organizações deveriam ser capazes de compreender o seu raio de explosão – o estrago potencial que um cibercriminoso poderá causar quando entra na sua rede –, mas muitas só podem fazer suposições.

A menos que se esteja a ver quem é que pode e quem é que acede aos dados, e o que estão a fazer com eles, irá inevitavelmente perder alguns sinais de que pode estar a decorrer um ataque. Sem ter visibilidade sobre os dados, não é possível detetar atividades suspeitas ou invulgares atempadamente, o que é um fator-chave. Só quem já recebeu uma notificação de ransomware, é que conhece bem a sensação que se tem. Se uma empresa conhecer o seu raio de explosão pode reduzi-lo e, em última análise, minimizar o efeito de um ataque.

Ver tudo, antecipar qualquer coisa

Já trabalhámos com muitas empresas que foram alvo de ataques de ransomware e estas sabem muito bem o esforço e custos de uma recuperação. As empresas mais bem-sucedidas são as que reduzem proactivamente o seu raio de explosão ao mitigar o volume de dados sobre-expostos. Estas organizações arquivam e apagam dados que já não devem estar armazenados. A prevenção é a chave para reduzir a superfície de ataque, pelo que é aí que começamos com todos os nossos clientes. É preciso que cada empresa entenda qual é o seu cenário nesta matéria e, depois, adotar o máximo de ações preventivas possíveis para conseguir reduzir a superfície de ataque.

Depois, há a questão das ameaças internas. É mesmo muito difícil perceber quando é que um colaborador valioso, com acesso a dados sensíveis, de repente começa a comportar-se de uma forma que não deveria. Um dos nossos clientes viu e impediu um empregado de roubar informação sensível sobre preços quando ele estava a preparar-se para a dar a um concorrente, porque tinha visibilidade sobre o que se passava com a maioria dos seus dados sensíveis.

É justo dizer-se que as táticas vão continuar a ser passadas ou espalhadas dos cibercriminosos experientes para os oportunistas. É um ambiente muito aberto e assim que as vulnerabilidades são descobertas, até os amadores conseguem usá-las. Também vamos assistir a uma exploração muito maior das infraestruturas ou recursos de cloud, que estão disponíveis 24/7. Por outro lado, o trabalho remoto ou híbrido contínuo está a substituir as tradicionais redes locais por redes sem perímetro, nas quais qualquer portátil ou telefone móvel é uma porta de entrada para os dados mais sensíveis e críticos.

Tudo isto só sublinha a importância de ter uma visibilidade clara sobre os dados da empresa