#74 Ransomware: Prepare e Não entre em Pânico
Subscribe to get the latest
on Wed Jan 26 2022 16:00:00 GMT-0800 (Pacific Standard Time)
with Darren W Pulsipher, Stephanie Sabatini,
Darren Pulsipher, Arquiteto Principal de Soluções da Intel, fala com Stephanie Sabatini, Diretora Sênior de Serviços Profissionais da Hitachi Systems Security, sobre prevenir e se preparar para ataques de ransomware e o que fazer se sua organização for atacada.
Keywords
Embora um ataque de ransomware comece para a maioria das organizações com um pedido de resgate de algum tipo, a história completa geralmente vem sendo preparada há muitos meses.
A demanda de resgate ocorre depois que os atacantes criptografam informações de sistemas comprometidos e os bloqueiam o máximo possível, ou quando roubam informações confidenciais e ameaçam publicá-las. Em ambos os casos, eles solicitam uma quantia em dinheiro para interromper a divulgação ou para restabelecer as informações.
A quantia de dinheiro pode ser alvo pois os atacantes sabem o quanto a empresa pode pagar, e eles irão solicitar uma quantidade massiva. Ataques menos direcionados irão pedir um valor aleatório e torcer para obter sucesso. Contudo, cada vez mais os ataques são sofisticados e os atacantes fizeram seu trabalho de casa. Eles podem ter obtido um progresso significativo, movendo-se lateralmente pelo ambiente e comprometendo múltiplos domínios. Eles sabem que custará uma quantia considerável para a organização restabelecer seus serviços, então eles podem pedir mais.
Mas antes que os atacantes exijam o resgate, eles já estiveram dentro do sistema por algum tempo, em média, pouco menos de 300 dias, até executarem completamente seu plano. Eles tentam chegar o mais longe possível dentro da rede para causar o máximo impacto. Por exemplo, eles vão eliminar o sistema de backup executivo, deixando dados de backup corrompidos e inutilizáveis, paralisando a organização. Eles também gastarão tempo comprometendo credenciais para aumentar seus privilégios e se mover lateralmente pela rede, procurando qualquer vulnerabilidade.
Cada ataque é diferente, portanto, é difícil nomear a vulnerabilidade mais comum. Os atacantes encontram qualquer entrada que conseguirem, seja uma fraqueza na gestão de vulnerabilidades ou mesmo nas pessoas, por exemplo, ataques de phishing ou táticas de engenharia social. Eles farão chamadas telefônicas e se passarão por executivos, ou usarão nomes de tipo executivo para obter informações e dados dos funcionários online.
Muitos na indústria dirão que não é uma questão de se, mas de quando você será atacado. Stephanie, no entanto, não acredita que esse seja o caso, porque com diligência adequada, bloqueando adequadamente e tomando as medidas necessárias, você não será alvo.
Due diligence é o que os especialistas em segurança vêm pregando há décadas: fazer gerenciamento de vulnerabilidades e de correções, alterar senhas e conceder privilégios conforme possível. Treine sua equipe. Administradores não devem estar na internet com contas administrativas postando em fóruns, por exemplo. Tudo se resume a compreender quais são as superfícies de ataque e gerenciá-las.
O que você deve fazer se for vítima de um ataque de ransomware? Stephanie diz que o que as pessoas deveriam fazer e o que elas realmente fazem são coisas diferentes. A reação imediata dos profissionais de TI costuma ser reiniciar, corrigir ou modificar o ambiente de maneiras significativas. Isso apenas alertará os atacantes de que o tempo deles está esgotado. Para investigação forense, é extremamente importante agir com cautela nessas situações. Faça o menor número possível de digitações e definitivamente não reinicie.
Algumas empresas entrarão em pânico e realizarão negação de serviços sobre si mesmas, entrando em modo completo de bloqueio, desligando tudo. Em vez de entrar em pânico, elas deveriam depender de suas políticas de resposta a incidentes e perceber que o problema pode ser resolvido, mesmo que não seja agradável.
Obviamente, todas as empresas devem ter essas políticas de resposta a incidentes que possam ser implantadas rapidamente para gerenciar as comunicações internamente e com a mídia, e manter o negócio em andamento, se possível. Profissionais de segurança podem ajudar a criar esses planos de resposta e podem intervir e ajudar durante um ataque.
O primeiro passo deles para preservar as informações é observar algumas das atividades questionáveis que estão ocorrendo na rede. Os ataques de ransomware não começam com a criptografia ou roubo de informações; há muitos ataques anteriores. É importante identificar de onde eles estão vindo, onde se originaram e por onde passaram. Para fazer isso, os profissionais de segurança precisam de evidências e informações e estas precisam ser devidamente preservadas. Um bom começo é colocar as pessoas certas no lugar certo para gerenciar o que está acontecendo.
O próximo passo é gerenciar adequadamente o ambiente. Infelizmente, uma vez que ocorra ransomware ou qualquer tipo de violação ou incidente, a organização fica altamente vulnerável. Cem por cento das vezes, quando ambientes passaram por ataques bem-sucedidos de ransomware, sejam eles divulgados ou não, eles são alvos do mesmo grupo ou de um grupo diferente. É como um animal ferido com abutres circulando. Os atacantes sabem que você está ferido e vulnerável. Um novo ataque está por vir.
Na maioria das vezes, quando profissionais de segurança estão realizando suas investigações, eles encontram outros indicadores de ataque e comprometimento em diferentes partes da rede. Eles devem determinar se faz parte do mesmo ataque ou de um ataque diferente. Essa investigação é uma parte crítica da recuperação de malware porque mesmo quando você pensa que eliminou um ataque e que o negócio está funcionando corretamente novamente, ainda existe a possibilidade desses outros ataques.
Um ataque típico custa em média quatro milhões e meio de dólares para ser limpo, e isso não inclui o resgate. O valor pode ser ainda maior e é proporcional ao tamanho da organização.
É impossível ter certeza de quantas organizações pagam o resgate. Muitos dos resgates vêm com ameaças de não entrar em contato com as autoridades ou divulgar o ataque. Por esse motivo, as estatísticas disponíveis sobre quantas organizações pagam são variadas.
Algumas organizações respondem dizendo que não pagarão sob qualquer circunstância, mesmo que custe mais reconstruir, destruindo assim a capacidade de negociar. Essa é uma decisão emocional que pode obscurecer o julgamento. No final do dia, se o objetivo é continuar fazendo negócios e ganhar dinheiro, pagar um resgate baixo de talvez dez ou vinte mil dólares será mais barato do que os custos de forense e o restante do processo. Por outro lado, existem casos documentados em que o resgate foi pago e os dados não foram totalmente restaurados. Além disso, a organização não tem certeza sobre a segurança de seu ambiente. Não há garantia quando se paga um resgate; você está pedindo aos criminosos que ajam de boa fé.
Muitos governos ao redor do mundo tornaram ilegal pagar um resgate porque os atacantes são considerados terroristas, e não é permitido negociar com terroristas. Outro complicação é que os atacantes às vezes se recusam a lidar com negociadores profissionais. Eles frequentemente nomeiam alguém na organização como a única pessoa com quem eles vão negociar, esperando que essa pessoa tome decisões emocionais.
As ameaças são comunicadas de várias maneiras: por email, telefone e até mesmo como papel de parede no computador.
A melhor estratégia para evitar ou mitigar um ataque é não esperar até que sua organização esteja nessa situação. Em vez disso, engaje-se na diligência devida. Realize avaliações pelo menos anualmente para identificar as lacunas na segurança. As ameaças e os ataques estão constantemente mudando e se tornando mais sofisticados, portanto, a segurança de sua organização deve acompanhar. Monitore e corrija continuamente. Faça gerenciamento de vulnerabilidades, altere constantemente as senhas e lembre e eduque os usuários sobre as ameaças. Essas não são estratégias novas. Profissionais de segurança vêm recomendando essas medidas há décadas; as organizações apenas não estão realizando-as corretamente e evoluindo.
Também é inteligente chamar os especialistas para guiar o processo de planos de resposta a incidentes e exercícios. Todos na organização devem saber o que fazer e para quem ligar em um cenário de ataque, a fim de evitar danos ainda maiores.
Se a sua organização for atacada, esperamos que o impacto seja mínimo, ou pelo menos contido e gerenciável se houver preparação. Qualquer tempo, energia e dinheiro que uma empresa investe em medidas preventivas é uma pequena fração do custo de um ataque.