O ransomware – uma forma de malware em que seus dados são bloqueados e criptografados até que você pague para liberá-los – não é, de forma alguma, uma ameaça nova. Relatórios recentes indicam um aumento de 15% nos ataques de ransomware nos últimos cinco anos. Embora a porcentagem possa não parecer alarmante, as repercussões são substanciais. Considere o seguinte: em média, um único ataque de ransomware pode prejudicar uma empresa com um ônus financeiro de US$ 1,85 milhão. Além disso, muitas organizações são frequentemente afetadas pelo ransomware mais de uma vez.
Quando sua organização é vítima de um ataque de ransomware, geralmente há duas opções para a recuperação de dados: pagar o resgate ou restaurar os arquivos a partir de um backup. No entanto, nem sempre o pagamento do resgate produz os resultados desejados. O processo de obtenção e utilização da chave de criptografia fornecida pelo grupo de ransomware pode ser extremamente demorado, atrasando o acesso imediato aos seus dados, mesmo após o pagamento.
Tradicionalmente, a restauração de arquivos bloqueados a partir de backups tem sido a abordagem mais eficaz para a recuperação de ataques de ransomware. Infelizmente, as organizações criminosas cibernéticas, empresas altamente lucrativas e bem financiadas, evoluíram e desenvolveram métodos para impedir a eficácia dos backups. Aqui estão três maneiras pelas quais as soluções tradicionais de backup podem não conseguir agilizar a recuperação de ransomware.
#1 Criminosos cibernéticos inteligentes desativam seus backups
No infame ataque de ransomware da Colonial Pipeline em 2021, a organização criminosa cibernética DarkSide paralisou a Colonial Pipeline, a maior distribuidora de gasolina e combustível de aviação do sudeste americano. Embora o ransomware seja tradicionalmente introduzido em um sistema por um funcionário que faz o download inadvertido de um arquivo malicioso por meio de um e-mail fraudulento, no caso da Colonial Pipeline, o ataque de ransomware foi iniciado por meio de credenciais de administrador expostas.
As descobertas desse incidente foram realmente reveladoras por vários motivos. Em primeiro lugar, isso generalizou a prática dos criminosos cibernéticos de ter acesso desconhecido aos sistemas de uma empresa antes de introduzir o ransomware. Em média, são necessários aproximadamente seis meses para detectar esse acesso indesejado, período durante o qual os criminosos cibernéticos exploram todas as oportunidades para aumentar a eficácia de seu ataque de ransomware pendente. Isso pode envolver a desativação de soluções antivírus para retardar a detecção de malware, a alteração de senhas de contas de administrador para dificultar a resposta ao ataque e a desativação ou exclusão de seus backups primários.
De acordo com a Veeam, 93% de todos os ataques de ransomware tentam destruir seus backups. Se os criminosos cibernéticos desativarem seus backups antes de um ataque de ransomware, você terá pouco recurso além de pagar o resgate. Esse é um excelente exemplo de como os ataques cibernéticos modernos evoluíram para combater os métodos comuns de TI para manter os dados seguros.
#2 Má comunicação e jargão confuso de TI
Um dos aspectos complicados da tecnologia da informação é a abundância de termos e opções disponíveis para manter os dados seguros. Quando se trata de proteção de dados, você precisa entender a diferença entre backups, failovers, arquivamento, redundância, redundância geográfica, continuidade dos negócios, recuperação de desastres e muito mais. Um problema bastante comum é quando um executivo confunde redundância com backups.
Uma solução de backup envolve uma cópia pontual de seus dados que é feita e armazenada em outro local. A redundância, por outro lado, envolve ter vários locais para o seu aplicativo principal, caso os sistemas primários fiquem off-line. A confusão surge porque, em uma situação de redundância, tudo é copiado como está em ambos os locais, o que significa que, se seus arquivos forem criptografados em um local, eles também serão criptografados no local de redundância. Os backups são eficazes contra o ransomware porque permitem que você restaure uma cópia do seu arquivo que foi feita antes de o ransomware ser introduzido. Muitas organizações de grande porte ficam surpresas quando percebem, após um ataque de ransomware, que não entenderam completamente como recuperar rapidamente seus dados.
#3 Erro humano
Você sabia que o erro humano é responsável por 75% da perda de dados? Embora vivamos em um mundo amplamente automatizado, a tecnologia ainda depende da contribuição humana. Quando se trata de backups e proteção contra ransomware, há várias maneiras pelas quais o erro humano pode tornar os backups ineficazes em uma situação de ransomware:
- Não adicionar um novo servidor ou sistema à sua solução de backup
- Ignorar ou deixar de lado as verificações manuais de backup
- Exclusão acidental de arquivos
- Um administrador ou administradores são vítimas de golpes de engenharia social
- Um erro que surge com integrações de terceiros
- Operar sistemas sem patches ou atualizados
Todos esses exemplos levaram a pelo menos um grande incidente de ransomware nos últimos cinco anos e continuarão a causar problemas, a menos que soluções novas e mais avançadas sejam implementadas.
Conclusão
Com base nos fatos, se você confiar apenas em uma solução de backup tradicional para ajudá-lo a se recuperar de um ataque de ransomware, você pode estar se colocando em risco. Tome uma atitude agora e explore soluções modernas como o Assureon da Nexsan, que impede alterações não autorizadas em seus arquivos arquivados. Se você realmente não pode correr o risco de perder dados, entre em contato com a Nexsan hoje mesmo para saber mais.
Conteúdo detalhado disponível apenas em inglês.