Como mitigar ataques de ransomware e phishing durante uma pandemia
Onde a maioria vê crise, os cibercriminosos veem oportunidades. Saiba como os líderes de segurança podem enfrentar os desafios de mitigar ameaças de ransomware e ataques de phishing durante uma pandemia.
Você tem... malware. Enquanto a pandemia de Covid-19 varria os Estados Unidos, advogados da Culhane Meadows, um escritório de advocacia que atua em sete estados e no distrito de Columbia, receberam um e-mail que parecia vir da Escola de Medicina da Universidade Johns Hopkins. Porém, um link que prometia transportar os usuários ao mapa interativo de surtos do programa, com as últimas estatísticas confirmadas de infecção e mortalidade, na verdade os levou a um site de malware de terceiros projetado para obter acesso a dados corporativos.
De acordo com Kimberly Verska, sócia-diretora, advogada de segurança de dados e CIO, foi um dos três ataques de phishing relacionados à pandemia que atingiu a Culhane Meadows em uma única semana. Felizmente, os usuários da empresa reconheceram os e-mails como suspeitos e os encaminharam à equipe de segurança, evitando, assim, uma possível violação.
"Basicamente, o elo mais fraco será sempre as pessoas, especialmente se elas estiverem um pouco desorganizadas", disse Verska, enfatizando a importância do treinamento em conscientização de segurança para mitigar as ameaças de ransomware em tempos de crise.
Os hackers exploram o caos, o estresse e a dor causados em pandemias e outras emergências globais, aproveitando-se da maior vulnerabilidade dos usuários. O provedor de proteção abrangente de endpoints, VMware Carbon Black, informou um aumento nos ataques de ransomware durante a crise da Covid-19, registrando 148% a mais em março de 2020, se comparado aos números de referência do mês anterior. Segundo os relatórios, os picos de atividade estavam correlacionados com notícias de última hora, como as declarações de emergência de saúde pública. A Barracuda Networks, provedora de soluções de segurança, anunciou ter registrado um aumento de 667% nos e-mails de spear phishing com temática Covid entre fevereiro e março.
"Há uma avalanche de ataques oportunistas", disse Jinan Budge, analista principal da Forrester Research. Ela citou uma campanha que, segundo os relatórios, visava colegas de vítimas da pandemia, alegando que seus companheiros de trabalho falecidos haviam deixado mensagens para eles. "É algo terrível".
Tony Buffomante, diretor e co-líder global de serviços de segurança cibernética da KPMG, disse que observou um aumento significativo dos ataques de phishing desde o início da pandemia de Covid-19.
"Os clientes da KPMG estão buscando ajuda para responder às violações de dados e infecções por malware. É algo com que se defrontam diariamente", disse Buffomante.
Tempos difíceis, escolhas difíceis
O grande desafio de mitigar ataques de ransomware e phishing durante uma pandemia apresenta dilemas únicos para os líderes de segurança, disse Budge. Por exemplo, fazer simulação de campanhas de phishing com temática da pandemia, como parte dos esforços de treinamento de conscientização sobre segurança interna, pode ser complicado. Os apoiadores argumentam que o prevenido está preparado, mas os céticos veem tais iniciativas como potencialmente insensíveis ou mesmo ofensivas. "Essas decisões não são fácies", comentou Budge.
Thomas Johnson, CISO do ServerCentral Turing Group, um provedor de serviços de colocation, nuvem e recuperação de desastres, situado em Chicago, disse que enfrentou algumas críticas internas por executar uma simulação de phishing relacionada à Covid-19, durante os primeiros dias de resposta à pandemia.
"Todos diziam: 'Por que você fez isso durante nossa primeira semana trabalhando desde casa? Isso é o caos´. Mas é justamente nessa situação quando quero que vocês pensem nessas coisas, quando a guarda está em baixa", disse Johnson.
Joseph Blankenship, analista sênior de segurança e riscos da Forrester, disse que em sua empresa ocorreu um "debate saudável", onde avaliaram se as próprias campanhas internas de phishing deveriam usar apelos de Covid-19.
"Acho que essa é uma questão delicada paras as equipes de segurança", acrescentou Blankenship. Embora as empresas devam preparar os usuários para as ameaças emergentes relacionadas à pandemia, em sua opinião, elas devem evitar criar estresse adicional e indevido num momento em que os funcionários já estão ansiosos e irritados.
Seu conselho: Nunca castigue os usuários que caem em ataques simulados de phishing dizendo: "Uau, não posso acreditar que você clicou nisso, perdeu o mérito". Ao invés disso, ele recomendou reiterar que esses ataques de phishing são uma realidade, explicar como eles aparecem e aconselhar os usuários para que sejam, sobretudo, cuidadosos.
Verska disse que as sessões de treinamento sobre conscientização de segurança específica para uma pandemia também são importantes para preparar os usuários para uma avalanche de ataques de phishing relacionados. No entanto, o aprendizado remoto pode representar desafios únicos, especialmente para equipes que nunca trabalharam desde casa e estão acostumadas com a responsabilidade integrada de interações presenciais.
"Realmente, são necessárias duas coisas: o treinamento em si, com exemplos de phishing do mundo real, e as pessoas que estão ouvindo", disse Verska.
Para incentivar os participantes a prestar atenção, apesar das inevitáveis distrações do ambiente doméstico, Verska solicita que respondam a questionários curtos que revisam o que aprenderam ao concluir as sessões de treinamento via web. "É preciso encontrar um substituto para a dinâmica da reunião presencial", completou.
Uma abordagem estratificada e a vantagem da nuvem
Blankenship disse que mitigar as ameaças de ransomware durante uma pandemia requer uma abordagem estratificada, que combine políticas de segurança e treinamento de conscientização com controles técnicos, como filtragem de e-mail e software antimalware.
"Por mais que as pessoas sejam treinadas, sempre cometerão erros", acrescentou. "É bem provável que mesmo uma pessoa de segurança experiente possa ser vítima de uma campanha de phishing ou fraude, especialmente em momentos de estresse e distração".
As ferramentas avançadas de segurança atuam como uma verdadeira rede de segurança, mitigando os ataques de ransomware que conseguem ultrapassar as camadas de proteção e atingir o usuário.
James Carder, CSO e vice-presidente da LogRhythm, provedor de tecnologia SIEM (Security Information and Event Management), com sede em Boulder, no Colorado, disse que o modelo de segurança de confiança zero (Zero Trust Model) de sua empresa o ajudou a permanecer alerta mesmo quando realizava uma transição abrupta para um ambiente de trabalho totalmente remoto para cumprir com as diretrizes de distanciamento social.
"Temos total visibilidade de onde está nossa base de funcionários, o que está acontecendo em seus computadores, etc., e isso tem sido ótimo", disse Carder. "Podemos ver todos os metadados associados aos e-mails de entrada e de saída, e criamos mecanismos de detecção e automação em torno disso".
“Como uma empresa totalmente remota e sem espaço físico de escritório permanente, a Culhane Meadows também se viu em vantagem tecnológica quando começou a pandemia de Covid-19, graças à sua infraestrutura baseada em nuvem e políticas agressivas de criptografia”, disse Verska. As ordens para ficar em casa complicaram as operações comerciais e de segurança normais, mas não as comprometeram.
De acordo com Verska, muitos escritórios de advocacia têm serviços centrais que são acessados pelos usuários via VPN. Uma vez invadida a rede, os agentes de ameaças podem se mover lateralmente dentro dela, saqueando ou criptografando a maior parte dos dados confidenciais de uma empresa. "Por outro lado, se eu clicar no link errado, não será possível usar minhas credenciais para bloquear todo o escritório de advocacia", acrescentou.
Blankenship concordou que as empresas que já operam em nuvem estejam, provavelmente, melhor posicionadas para atender de forma rápida e segura as exigências de trabalho remoto durante uma pandemia, enquanto aquelas com infraestrutura local terão dificuldades para possibilitar um ambiente distribuído e seguro. Ele também acrescentou que algumas empresas tiveram que enviar seus funcionários para casa com endpoints obsoletos ou pedir-lhes para usar seus próprios dispositivos, o que torna uma rede vulnerável a agentes de ameaças.
"Devem obrigar os usuários a se conectarem através da rede corporativa, de uma VPN ou outra ferramenta de acesso seguro, para que sua bateria de segurança funcione", disse Blankenship, "enquanto aqueles que migraram para o acesso baseado em nuvem podem proporcionar segurança através do provedor da nuvem".
A Medicalodges Inc, uma empresa do setor de saúde, faz backups de VMs hospedadas em nuvem a cada hora como segurança contra ataques de phishing e outros crimes cibernéticos, segundo o consultor e CIO Stephen Arndt. Ao fazer isso, disse, é possível mitigar as consequências dos ataques de ransomware, caso os hackers consigam violar o sistema.
"Eu tive um cliente afetado pelo [criptoransomware], porém, conseguimos rastrear a rota de entrada e usar o backup da VM para restaurar tudo ao normal em, aproximadamente, três horas", acrescentou Arndt. "Mas, caso não tenha o recurso de um backup de VM hospedada em nuvem, você está frito".