Imagine o seguinte: Um funcionário da sua empresa faz o login logo cedo para se adiantar aos relatórios financeiros do final do mês. Ele acessa o armazenamento de arquivos da empresa para visualizar as faturas do mês anterior e, de repente, uma janela pop-up de aparência antiquada, escrita em fonte ameaçadora, dá a notícia: “seus arquivos estão todos criptografados e bloqueados por um novo tipo de ransomware”!
Antes que você perceba a gravidade da situação, eles recebem uma mensagem no Slack de um colega de trabalho. Eles receberam a mesma mensagem pop-up de mau agouro. A empresa inteira foi vítima de um ataque de ransomware.
Atualmente, essa é uma ocorrência muito comum, com 47% das organizações sofrendo com ransomware no ano passado. Em geral, o ransomware é introduzido por meio de táticas de engenharia social, como golpes de phishing, que induzem os funcionários a fazer o download de malware. Embora geralmente entendamos o que é ransomware e como ele entra, é fundamental que todos em uma organização entendam o processo de recuperação típico após um ataque de ransomware.
Etapa 1: Contenção
Depois de detectar o ransomware, você deve garantir que ele não se espalhe mais. Para isso, você deve basicamente desligar sua rede e encerrar todas as conexões VPN. Você também deve desconectar todos os dispositivos de armazenamento externo, como unidades de backup.
Uma estratégia de contenção de ransomware comumente negligenciada é a desativação de qualquer tarefa de manutenção automatizada, como manter arquivos antigos, esvaziar lixeiras, arquivar e-mails ou aplicar patches no sistema.
Isso certamente interromperá o trabalho, mas quanto mais rápido você encerrar as atividades e impedir que o problema se espalhe, mais rápido poderá consertar tudo e retomar as operações.
Etapa 2: Registro e relatório
Lembre-se de que o ransomware é um ato criminoso. Dependendo da sua empresa e de quaisquer requisitos regulamentares que você possa ter, a lei pode exigir que você informe o incidente às autoridades. Uma prática recomendada é iniciar um registro das ações detalhadas realizadas pela sua equipe de TI, durante e após o ataque de ransomware, tirar fotos da mensagem do ransomware e manter um inventário de impacto com detalhes de todos os sistemas afetados. Você sempre pode começar com a polícia local, mas, novamente, dependendo do seu setor, talvez seja necessário entrar em contato com as autoridades federais.
Etapa nº 3: Mais contenção
Se você for atingido por ransomware, é muito provável que esse não seja o único problema. Os criminosos geralmente iniciam um ataque de ransomware como parte de um ataque multifacetado que começa com o acesso não autorizado aos seus sistemas. Para evitar danos adicionais, altere todas (e queremos dizer todas) as senhas de administrador e desative todas as contas de VPN com acesso à rede.
Etapa nº 4: Hora da decisão… pagar ou não pagar
Agora vem a decisão desafiadora e difícil… você paga o resgate? A sabedoria convencional diz que não. Esses indivíduos que cometeram esse ato malicioso certamente não merecem nenhuma recompensa. No entanto, sua empresa está sangrando no momento. Dependendo do impacto do ataque, você provavelmente perderá milhares ou até milhões de dólares. Além disso, o impacto sobre sua reputação não pode ser ignorado. É difícil lutar contra o desejo de pagar e continuar com a vida de vocês.
Antes de sucumbir a esse impulso, considere alguns fatores. Em primeiro lugar, o pagamento do resgate não garante a você acesso imediato aos arquivos bloqueados. Após o pagamento, os criminosos cibernéticos fornecerão a você uma chave de descriptografia. A descriptografia de arquivos bloqueados de ransomware é um processo notoriamente lento. No caso da Colonial Pipeline, por exemplo, eles pagaram o resgate apenas para descobrir que a descriptografia dos arquivos era tão dolorosamente lenta que fazia mais sentido confiar na continuidade dos negócios e nos planos de recuperação de desastres.
Em segundo lugar, quando você paga um resgate cibernético, você instantaneamente coloca um alvo gigante em sua organização que diz “Criptografe-me, eu pago”. Em um estudo recente realizado pela Barracuda Networks, 38% dos entrevistados relataram ter sido vítimas repetidas de um ataque de ransomware. Pagar um resgate é uma maneira infalível de você se tornar um alvo recorrente das gangues de ransomware.
Etapa 5 Restaurar arquivos do backup
Supondo que você opte por não pagar, é hora de separar e arquivar os arquivos afetados e restaurá-los a partir de um backup. Isso é bem-sucedido, desde que seus backups não tenham sido afetados durante o ataque inicial, pois os criminosos cibernéticos geralmente tentam desativá-los.
Se os seus backups estiverem funcionando com uma cópia recente e intacta, essa é a sua melhor chance de retomar as operações. Uma palavra de cautela é que você deve verificar cuidadosamente seus backups primeiro, pois é possível que suas cópias recentes ou até mesmo todas elas também estejam criptografadas.
Etapa #6 Prevenção futura
Depois de sofrer um ataque de ransomware e recuperar com sucesso seus sistemas e dados, é fundamental priorizar as medidas de prevenção futuras. Tome medidas proativas para fortalecer ou implementar o seguinte em sua organização:
- Teste de simulação de phishing
- Varredura da Dark Web
- Monitoramento de eventos e informações de segurança (SIEM)
- Detecção e resposta de endpoint (EDR)
- Soluções avançadas de antivírus
- Detecção de ameaças
- Backups seguros e baseados em nuvem
- Soluções avançadas de arquivamento
Conteúdo detalhado disponível apenas em inglês.