zephyr_p - stock.adobe.com
Ransomware: pagar ou não pagar pelo resgate, esta não é a única questão
O que acontece quando um resgate de ransomware é pago e como isso afeta o aumento dos ataques?
A cada semana, 1.200 organizações ou mais em todo o mundo são vítimas de um ataque de ransomware, e todas as empresas, sem exceções, estão em risco. De acordo com a Cybersecurity Ventures, os danos causados pelo ransomware chegarão a aproximadamente US$ 20 bilhões este ano, um aumento de 57 vezes em relação a 2015. Em 2031, o custo dos incidentes de ransomware poderá até ultrapassar a cifra de US$ 265 bilhões.
O número de ataques de ransomware está crescendo por um motivo simples: os resgastes estão sendo pagos. A disposição para pagar cria um ciclo perigoso e aumenta a motivação dos atacantes. Além disso, o seguro contra riscos cibernéticos está se tornando mais comum, de modo que as empresas não hesitam em atender às demandas dos cibercriminosos, agravando ainda mais o problema.
O aumento de ataques também está relacionado à disponibilidade de ameaças. Muitos grupos de cibercriminosos oferecem "Ransomware como Serviço (RaaS)", então qualquer pessoa pode alugar esse tipo de ameaça, incluindo infraestrutura, negociação com vítimas ou sites de extorsão em que informações roubadas podem ser postadas. Portanto, o resgate é dividido entre os "parceiros"; além do fato de os grupos de cibercriminosos geralmente trabalharem juntos.
Contudo, um ataque de ransomware geralmente não começa com o ransomware. Muitas vezes se inicia com um e-mail de phishing "simples". Mas, como as empresas podem saber se foram vítimas de um ataque de ransomware e como devem reagir? Se não for detectado a tempo, é relativamente fácil descobrir, pois as organizações receberão uma mensagem pedindo resgate e não poderão acessar os dados da empresa.
Além disso, os cibercriminosos estão constantemente aprimorando suas técnicas para aumentar a pressão quanto aos pagamentos. Originalmente, o ransomware "apenas" criptografava os dados e um resgate era exigido para desbloqueá-los. Os atacantes logo adicionaram uma segunda fase e roubaram informações valiosas antes da criptografia, ameaçando torná-las públicas se o resgate não fosse pago. Aproximadamente 40% de todas as novas famílias de ransomware usam o roubo de dados de alguma forma, além da criptografia. Ademais, vimos recentemente uma terceira fase em que os parceiros ou clientes das empresas atacadas também são contatados para o pedido de um resgate, ou seja, trata-se de uma nova técnica chamada tripla extorsão .
Orientações básicas para empresas sobre como lidar com ataques de ransomware as auxiliará principalmente na prevenção, como em uma reação mais eficaz:
1) Manter a calma
Se uma organização for vítima de um ataque de ransomware, ela não deverá entrar em pânico. Recomenda-se entrar em contato com a equipe de segurança imediatamente e tirar uma foto da nota de resgate para as autoridades policiais e as futuras investigações.
2) Isolar os sistemas comprometidos
Desconectar imediatamente os sistemas infectados do resto da rede para evitar mais danos, e, ao mesmo tempo, identificar a origem da infecção. Como já foi mencionado, um ataque de ransomware geralmente começa com outra ameaça, e os cibercriminosos podem estar no sistema por um longo tempo, gradualmente cobrindo seus rastros. Então, detectar o "paciente zero" pode não ser algo que a maioria das empresas conseguirá lidar sem ajuda externa.
3) Cuidado com os backups
Os atacantes sabem que as organizações tentarão recuperar seus dados de backups para evitar o pagamento do resgate. É por isso que uma das fases do ataque costuma ser uma tentativa de localizar e criptografar ou excluir backups. Além disso, nunca se deve conectar dispositivos externos àqueles infectados. A recuperação de dados criptografados pode causar corrupção, por exemplo, devido a uma chave com defeito. Portanto, pode ser útil fazer cópias dos dados criptografados. Ferramentas de decriptação também estão sendo desenvolvidas gradualmente para ajudar a decifrar códigos até então desconhecidos. Se você tinha backups que não foram criptografados, verifique a integridade dos dados antes de restaurar totalmente.
4) Sem reinicializações ou manutenção do sistema
Desativar as atualizações automáticas e outras tarefas de manutenção em sistemas infectados. Excluir arquivos temporários ou fazer outras alterações poderá complicar desnecessariamente as investigações e correções. Ao mesmo tempo, não reiniciar os sistemas, pois algumas ameaças podem começar a excluir arquivos.
5) Cooperar
Na luta contra o cibercrime, e o ransomware em particular, a colaboração é fundamental. Assim sendo, deve-se entrar em contato com as autoridades policiais e cibernéticas nacionais e não hesitar em entrar em contato com a equipe dedicada de resposta a incidentes de uma empresa de segurança cibernética. Informar os funcionários sobre o incidente, incluindo instruções sobre como proceder no caso de qualquer comportamento suspeito, é outra ação fundamental.
6) Identificar o tipo de ransomware
Se a mensagem dos atacantes não declarar diretamente que tipo de ransomware é, então, o usuário poderá usar uma das ferramentas gratuitas e visitar o site No More Ransom Project , em que será possível encontrar uma ferramenta de decriptação apenas para o ransomware que está na organização.
7) Pagar ou não pagar?
Se o ataque de ransomware for bem-sucedido, a organização será confrontada com a escolha de pagar o resgate ou não. De qualquer forma, as empresas devem voltar ao início e descobrir por que o incidente ocorreu. Se foram fatores humanos ou tecnologia que falharam, passe por todos os processos novamente e repense toda a estratégia para garantir que um incidente semelhante nunca aconteça novamente. Essa etapa é necessária independentemente de a organização pagar o resgate ou não. Nunca se pode ficar confortável com o fato de que de alguma forma a recuperação de dados ocorreu e considerar o incidente resolvido.
A pergunta que não quer calar
Afinal, pagar ou não pagar? A resposta não é tão simples quanto parece. Embora os valores do resgate às vezes cheguem a centenas de milhares ou milhões de dólares, as interrupções de sistemas críticos costumam ultrapassar esses valores. No entanto, as empresas devem se lembrar que mesmo que o resgate seja pago, isso não significa que os dados, ou mesmo parte deles, serão realmente decifrados. Existem casos conhecidos em que os atacantes possuem bugs nos códigos, de forma que a organização não pode recuperar os dados, mesmo se eles quisessem.
As empresas não devem se apressar na tomada de uma decisão e considerar cuidadosamente todas as suas opções. Pagar o resgate deveria ser o último recurso. Dessa forma, as recomendações a seguir ajudarão a minimizar o risco de uma empresa se tornar a próxima vítima de ransomware:
- Ser extremamente vigilante nos fins de semana e feriados. A maioria dos ataques de ransomware no ano passado ocorreu nos finais de semana ou feriados, quando as organizações tendem a demorar mais para responder a uma ameaça.
- Instalar atualizações e patches regularmente. O WannaCry atingiu fortemente organizações em todo o mundo em maio de 2017, infectando mais de 200 mil computadores em três dias. No entanto, um patch para a vulnerabilidade EternalBlue explorada estava disponível por um mês antes do ataque. Atualizações e patches precisam ser instalados imediatamente e ter uma configuração automática.
- Instalar o antiransomware. A proteção antiransomware observa qualquer atividade incomum, como abrir e criptografar um grande número de arquivos, e se qualquer comportamento suspeito for detectado, a ferramenta pode reagir imediatamente e evitar danos massivos.
- A educação é uma parte essencial da proteção. Muitos ataques cibernéticos começam com um e-mail direcionado que não contém malware, mas usa a técnica de engenharia social para tentar fazer com que o usuário clique em um link perigoso. A educação do usuário é, portanto, uma das partes mais importantes da segurança.
- Os ataques de ransomware não começam com ransomware, portanto, é preciso tomar cuidado com outros códigos maliciosos, como Trickbot ou Dridex, que se infiltram nas organizações e preparam o terreno para um ataque de ransomware subsequente.
- Fazer backup e arquivar dados é fundamental. Se algo der errado, os dados deverão ser recuperados de maneira fácil e rápida. É imperativo fazer backup de forma consistente, inclusive automaticamente nos dispositivos dos funcionários, e não depender deles para se lembrar de ativar o backup por conta própria.
- Limitar o acesso apenas às informações necessárias e ao segmento. Se a empresa deseja minimizar o impacto de um ataque potencialmente bem-sucedido, é importante garantir que os usuários tenham acesso apenas às informações e aos recursos de que absolutamente precisam para realizar seu trabalho. A segmentação minimiza o risco de o ransomware se espalhar incontrolavelmente pela rede. Lidar com as consequências de um ataque de ransomware em um sistema pode ser difícil, mas reparar o dano após um ataque em toda a rede é muito mais desafiador.
Sobre o autor: Fernando de Falchi é gerente de Engenharia de Segurança da Check Point Software Brasil.