Globalmente, os incidentes cibernéticos, como o ransomware, são os principal risco ameaçando o sucesso do negócio. Na verdade, os ataques de ransomware representam uma ameaça significativa para empresas de todos os tamanhos. Se você não tiver um plano de resposta a incidentes para ataques de ransomware, você está procurando problemas.
Então, o que uma empresa deve fazer? Esteja preparado. Quando sua empresa estiver preparada proativamente para a ameaça de um incidente de ransomware, você estará pronto para detectar e mitigar o incidente com mais rapidez, ao mesmo tempo em que reconecta e restaura os dados de maneira mais segura. Você também terá a confiança de que táticas iguais ou semelhantes não poderão ser usadas novamente contra sua organização.
Vamos dar uma olhada no estado atual do ransomware e na direção que ele pode tomar. A seguir, analisaremos algumas das estratégias de segurança cibernética mais eficazes da atualidade e, por fim, revisaremos os destaques de como criar sua própria lista de verificação de resposta a ransomware.
Tendências recentes e técnicas de ataque em evolução
Os atores de ameaças de ransomware aceleraram suas táticas e técnicas nos últimos anos. A diversidade de tipos de ataques de ransomware também está crescendo. Aqui estão quatro tipos de ataques de ransomware que vimos recentemente direcionados a empresas.
Direcionamento Avançado e Coleta de Inteligência
Os agentes de ameaças estão agora a dedicar mais tempo à preparação para os seus ataques, obtendo informações sobre as vulnerabilidades, os sistemas em rede e os comportamentos empresariais das vítimas visadas. Com essas informações, os agentes de ameaças encontram lacunas na segurança cibernética de uma empresa e podem personalizar seu ataque para obter o máximo impacto e destruição.
Extorsão Dupla
Ter seus arquivos criptografados e receber uma nota de resgate pode colocar seus especialistas em segurança cibernética em alerta máximo. Mas se a dupla extorsão for o objetivo final de um ator ameaçador – você terá o dobro de problemas.
Na extorsão dupla, um agente de ameaça extrairá dados confidenciais antes de criptografar seus arquivos. Eles então ameaçarão vender seus dados se o resgate não for pago. Desta forma, o ator da ameaça apresenta duas ameaças em vez de apenas uma. Mesmo que você consiga desbloquear ou recuperar seus próprios dados, você pode correr o risco de que seus arquivos comerciais confidenciais sejam vendidos ao licitante com lance mais alto ou divulgados ao público junto com qualquer informação confidencial que eles contenham. Mesmo que esses dados sejam benignos, eles podem criar uma preocupação de reputação e confiança entre seus clientes e funcionários.
Ransomware sem arquivo
O ransomware geralmente se baseia na execução de arquivos maliciosos no sistema de rede da vítima. Porém, cada vez mais, temos visto o aumento do ransomware sem arquivo. Este tipo de ransomware é mais difícil de detectar porque se esconde na memória do sistema. Usando esse método, os agentes de ameaças podem liberar ransomware sem deixar rastros perceptíveis, ao contrário do ransomware baseado em arquivo.
Ransomware como serviço
O ransomware foi encontrado disponível para compra (ou aluguel) na dark web. Portanto, agora são necessários poucos ou nenhum conhecimento de TI para lançar um ataque de ransomware a uma empresa. Na verdade, alguém com experiência em marketing pode ser mais eficaz do que um profissional de TI tradicional na introdução de malware nos sistemas. Espera-se que essa tática expanda exponencialmente as ameaças de ransomware e seja um excelente lembrete de que empresas de todos os tamanhos podem ser alvo de ransomware. Não seja pego despreparado.
Estratégias de segurança cibernética
Os profissionais de TI têm uma variedade de ferramentas e tecnologias disponíveis para auxiliá-los em seus planos de segurança cibernética. No entanto, ser proativo é a defesa definitiva contra os agentes de ameaças.
Ao avaliar a segurança cibernética da sua organização, certifique-se de que ela inclua estas cinco estratégias essenciais:
- Backups regulares de dados – Certifique-se de que o backup dos dados seja feito pelo menos semanalmente, embora diariamente seja preferível. Mantenha várias cópias com uma cópia armazenada fora do local.
- Gerenciamento de patches – Aplique patches de software em tempo hábil para eliminar vulnerabilidades conhecidas e encerrar agentes de ameaças em seu caminho.
- Treinamento de funcionário – A cibersegurança é importante para todos! Capacite seus funcionários com conhecimento e eles, por sua vez, serão capazes de identificar e relatar ameaças potenciais.
- Proteção de endpoint – A tecnologia de IA é uma excelente ferramenta que pode ser usada para monitorar endpoints e impedir que ransomware entre em sua rede.
- Segmentação de Rede – Se houver suspeita de vírus na sua rede, a segmentação da rede pode ajudar a separar e colocar em quarentena as áreas afetadas do resto da rede. Se for encontrado ransomware, isso pode ajudar a limitar os danos à sua rede.
Lista de verificação de resposta a ransomware
Também é importante ter um plano pronto no caso infeliz de um agente de ameaça violar suas defesas e reter seus dados para resgate. Um procedimento de resposta abrangente deve incluir uma gama completa de directivas, incluindo detecção, contenção e erradicação.
A Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) recomendou um lista de verificação de resposta a ransomware projetado para guiá-lo durante um incidente de ransomware. Esta lista de verificação fornece uma estrutura para as organizações criarem seu próprio plano de resposta a violações de segurança cibernética de ransomware.
As etapas desta lista de verificação estão organizadas em três seções:
Para mais informações, sugerimos que você revise Guia Stop Ransomware da CISA.
Seção Um: Detecção e Análise
- Encontre os sistemas afetados e certifique-se de que estejam isolados.
- Se você não conseguir desconectar os dispositivos da rede, desligue-os para evitar a propagação do ransomware ainda mais.
- Determine a urgência dos sistemas afetados antes da restauração e recuperação.
- Examine os sistemas de detecção ou prevenção existentes (por exemplo, antivírus, EDR, IDS, Sistema de Prevenção de Intrusões) e os registros que você possui como organização.
- Reúna-se com sua equipe para criar e documentar o que ocorreu com base na análise inicial e no seu entendimento atual do problema.
- Comece a caçar o problema.
Seção Dois: Relatórios e Notificações
- Notifique todas as equipes especificadas em seu plano de comunicação de incidentes, explicando o que elas podem fazer para ajudá-lo a mitigar, responder e se recuperar do incidente de segurança cibernética.
- Se a mitigação não for possível, faça uma captura de imagem do sistema e de memória de alguns dispositivos afetados para enviar às autoridades federais. Recomenda-se consultar as autoridades policiais se a mitigação for possível ou não.
- Continue a conter e mitigar o incidente:
- Identificação da origem da violação.
- Colocar uma suspensão em quaisquer sistemas que possam ser usados para acesso não autorizado.
- Se os dados do lado do servidor estiverem sendo criptografados por uma estação de trabalho infectada, siga as etapas rápidas de identificação da criptografia de dados do lado do servidor.
- Condução de análises estendidas para identificar mecanismos de persistência de fora para dentro e de dentro para fora.
- Reconstruir sistemas com base na priorização de serviços críticos (por exemplo, saúde e segurança ou serviços geradores de receitas). Se possível, use imagens padrão pré-configuradas.
- Emitir redefinições de senha para todos os sistemas afetados e resolver quaisquer vulnerabilidades associadas em segurança ou visibilidade.
- Fazer com que a autoridade de segurança de TI designada comunique à equipe que o incidente de ransomware terminou com base em critérios estabelecidos, que podem incluir a execução das etapas acima ou a busca de assistência externa.
Seção Três: Recuperação e Atividade Pós-Incidente
- Priorize seus serviços mais vitais ao restabelecer sistemas e dados a partir de backups criptografados off-line.
- Registre todas as notas, aprendizados e ações de resposta do incidente.
- Compare suas anotações, aprendizados e ações de resposta com quaisquer indicadores de compromisso e considere compartilhar essas descobertas com a CISA para ajudar melhor o seu setor.
Proteção completa e proativa de segurança cibernética para todas as empresas
Você sabia que 71% dos ataques cibernéticos têm como alvo pequenas empresas? Só porque sua empresa é pequena não significa que você não possa ter a melhor segurança cibernética do mercado. Aprenda como entender melhor as necessidades do seu ambiente tecnológico e identificar possíveis lacunas ou riscos. Baixe sua lista de verificação de inventário de tecnologia de negócios gratuita hoje mesmo!