Como responder a um ataque de ransomware

ransomware

Proteger os dados críticos de uma organização é uma tarefa cara, com os orçamentos de segurança continuamente sendo reduzidos para mitigar o cenário de ameaças em constante expansão.

Ransomware é, sem dúvida, um dos ciberataques mais incapacitantes, pegando vítimas inconscientes e causando consequências no longo prazo para as empresas que se infectam. Embora esse tipo de ataque tenha começado a se estabilizar, não é hora de ficar complacente com sua estratégia de segurança.

Eles ainda estão acontecendo e só porque uma organização pode não ser segmentada individualmente, se não corrigi-lo adequadamente, há uma chance de se tornar vítima de um ataque mais amplo, projetado para se infiltrar em qualquer sistema que tenha sido deixado vulnerável.

Entenda algumas das etapas que os profissionais de segurança aconselham que sejam feitas no caso de um ataque de ransomware, além de coisas que devem ser evitadas:

Rastrear o ataque

A maneira mais comum pela qual o ransomware entra em um sistema é por meio de um link malicioso ou anexo de email. Se tiver sorte, o malware afetará apenas a máquina em que foi aberto. No entanto, se não for possível corrigir toda a sua rede, todo o sistema será infectado.

Primeiro, é preciso localizar a máquina que foi inicialmente infectada e descobrir se eles abriram e-mails suspeitos ou se notaram alguma atividade irregular em sua máquina. Quanto mais cedo encontrar a fonte, mais rápido poderá agir. Ataques de ransomware tendem a ter um limite de tempo antes que os arquivos sejam apagados.

Desconectar o sistema

Uma vez que ele tenha inicialmente se infiltrado em uma máquina, o ransomware se espalha pela conexão de rede, o que significa que, quanto mais cedo remover a máquina infectada da rede do escritório, menor a probabilidade de outras máquinas serem infectadas.

Ao notificar os funcionários sobre a necessidade de desconectar dispositivos da rede, é importante entrar em contato, também, com os funcionários remotos. Só porque alguém não está fisicamente no escritório, se eles estão conectados à rede, eles ainda podem ser vítimas do ataque.

No mundo perfeito, a equipe de segurança ou equivalente já deve ter um plano para situações como essa, então pode ser o caso de passar para eles e permitir que eles minimizem os danos da melhor maneira possível. No caso de um plano não existir, uma reunião deve ser realizada para descrever o que precisa acontecer a seguir. É importante que todos saibam exatamente o que se espera deles.

Notificar a equipe de segurança de TI ou helpdesk

Não é incomum que organizações maiores tenham uma equipe de segurança de TI e até mesmo um diretor de segurança da informação dedicado que será o responsável por executar seu plano de ação e lidar com o protocolo após um ataque.

No entanto, para algumas empresas menores, as restrições orçamentárias geralmente significam que ter esses especialistas em casa não é viável. Nesse caso, é importante que o CIO seja totalmente informado sobre todos os problemas de segurança e possa assumir os reinados no caso de uma crise.

Também é útil mapear uma linha do tempo da violação. Isso deve ajudar em futuros ataques e ajudá-lo a conhecer seus sistemas de segurança atuais. Muitas vezes, os ataques cibernéticos deixam pistas nos metadados, portanto, uma pesquisa completa será necessária na maioria dos casos.

Notificar as autoridades

Se a empresa lida com dados que pertencem aos cidadãos dentro da União Europeia, o GDPR agora exige que a empresa informe a OIC dentro de 72 horas após a ocorrência de uma violação. Não fazer isso significa que a organização não está em conformidade com a legislação e com possíveis multas de 4% do faturamento global anual ou 20 milhões de euros.

Informar todos os funcionários e clientes

A transparência é fundamental em situações como essa. Quando se trata de ataques cibernéticos, o elo mais fraco normalmente são funcionários e, apesar dos melhores esforços, todos podem facilmente cometer erros que podem comprometer os dados da empresa.

Em vez de apontar os dedos, informe a equipe de que houve uma violação, o que isso significa e qual ação está sendo planejada. Também é necessário informar sobre qualquer tempo de inatividade esperado do sistema que afetará seu trabalho.

Também é importante antecipar os clientes que podem ter seus dados comprometidos em um ataque de ransomware.

Atualizar todos os sistemas de segurança

Corrigir, atualizar, investir e repetir. Depois que o incidente terminar, é necessário realizar uma auditoria de segurança total e atualizar todos os sistemas.

 

O que definitivamente não deve ser feito

Pânico

Se o pior acontecer e a empresa não tiver uma estratégia, é importante que tentar não entrar em pânico. As decisões improvisadas não ajudarão a situação, se precisar de ajuda, peça. Qualquer desordem óbvia poderia potencialmente ser explorada por criminosos virtuais, deixando-o vulnerável a novos ataques.

Pagar o resgate

Os ataques de ransomware tiveram um aumento significativo há alguns anos, porque os criminosos perceberam que podem ganhar uma quantidade relativamente grande de dinheiro por um pequeno custo inicial.

O mais alarmante é que a pesquisa mostrou que um terço das empresas admite que, na verdade, é mais econômico pagar apenas o resgate de cada vez do que investir em um sistema de segurança adequado.

Infelizmente, isso criou um círculo vicioso em que as empresas continuam a pagar o resgate, o que significa que o ransomware continuará a ser uma tática popular de ganhar dinheiro, servindo apenas para perpetuar o problema.

Geralmente, os especialistas em cibercrime e as autoridades desaconselham o pagamento do resgate por muitas razões. Em primeiro lugar, só porque o resgate foi pago, isso não significa que receberá uma chave de criptografia para desbloquear seus dados. Em segundo lugar, isso poderia encorajar os hackers a solicitar quantias maiores de dinheiro de futuras vítimas.