Recuperação de Ransomware começa antes do ataque!

Recuperação de Ransomware começa antes do ataque! A recuperação de ransomware (ransomware recovery) é o processo de retornar o ambiente as condições usuais e retomar as operações após um ataque cibernético que exige pagamento em troca do desbloqueio de dados criptografados.

Ter bons backups de dados e um plano sólido de recuperação de desastres (DR) são as melhores maneiras de uma organização se recuperar com sucesso desse tipo de ataque. Com o ataque de ransomware sendo tão predominante, os especialistas pedem que as empresas assumam que serão atingidos por um ataque, para que a proteção e a recuperação sejam as principais.

O ransomware é um subconjunto de malware no qual os dados no computador da vítima são bloqueados – normalmente por  criptografia – e o pagamento é exigido antes que os dados do resgate sejam descriptografados e o acesso seja retornado à vítima. O motivo dos ataques de ransomware geralmente é monetário e, ao contrário de outros tipos de ataques, a vítima geralmente é notificada de que ocorreu uma exploração e recebe instruções sobre como se recuperar do ataque. 

O pagamento geralmente é exigido em uma moeda virtual, como o  bitcoin , para que a identidade do criminoso cibernético não seja conhecida. Em muitos casos, o pedido de resgate vem com um prazo e se a vítima não paga a tempo, os dados são perdidos para sempre. Outros ataques instalam malwares no sistema do computador, onde deixa a máquina infectada mesmo após o resgate pago e os dados liberados.

Embora inicialmente focado em sua maioria em computadores pessoais, cifragem por ransomware tem usuários alvo cada vez mais nas operações de negócios, pois as empresas muitas vezes, pagam mais para desbloquear os sistemas críticos e retomar as operações diárias da empresa e de seus funcionários.

Vários ataques importantes foram manchetes recentemente em todo o mundo:

  • O ransomware WannaCry em maio de 2017 atingiu mais de 100.000 organizações. O total de pagamentos não foi alto, considerando a escala do ataque, mas o tempo de inatividade das organizações levou a grandes perdas.
  • O Petya em junho de 2017 foi detectado pela primeira vez nos sistemas governamentais da Ucrânia antes de se espalhar para organizações em todo o mundo.
  • O ransomware Bad Rabbit em outubro de 2017 se espalhou pela Europa Oriental.
  • Um ataque de ransomware à cidade de Atlanta em março de 2018 encerrou vários departamentos. O custo do esforço de recuperação foi superior a US $ 5 milhões.

Para permanecer anônimo, os atacantes geralmente exigem pagamento na forma de moeda virtual, como o Bitcoin . O FBI não recomenda o pagamento do resgate, pois o acesso aos arquivos criptografados pode não ser garantido e a vítima se torna conhecida como uma organização que pagará, abrindo-se para a possibilidade de mais ataques. Pagar também incentiva o modelo de negócios. O governo recomenda entrar em contato com autoridades imediatamente, como um escritório local da polícia cibernética.

A recuperação adequada do ransomware é importante porque um ataque pode prejudicar ou até encerrar um negócio. Mesmo que uma organização não pague o resgate, o custo do tempo de inatividade pode ser catastrófico, devido à perda de receita e à perda de reputação. Como resultado, é essencial poder se recuperar rapidamente de um ataque de ransomware.

O planejamento da recuperação de ransomware é útil para uma organização, não apenas para responder a ataques, mas também para a recuperação de desastres. O estágio de planejamento permite que uma organização verifique onde pode estar vulnerável e necessitada.

A primeira ocorrência documentada de ransomware pode ser rastreada até o vírus do cavalo de tróia da AIDS em 1989. O Trojan da AIDS foi criado por um biólogo treinado em Harvard chamado Joseph Popp, que distribuiu 20.000 disquetes infectados rotulados como “AIDS Information – Introductory Diskettes” para Pesquisadores de AIDS na conferência internacional sobre AIDS da Organização Mundial da Saúde. Os participantes que decidiram inserir o disquete encontraram um vírus que bloqueava os arquivos do usuário na unidade do computador, tornando o PC inutilizável. Para desbloquear seus arquivos, os usuários foram forçados a enviar US $ 189 para uma caixa postal da PC Cyborg Corporation. Eventualmente, os usuários conseguiram contornar o vírus e descriptografar seus arquivos porque o vírus usava ferramentas de criptografia simétrica facilmente solucionáveis.

Além do vírus de Popp, em 1989, o ransomware era relativamente raro até meados dos anos 2000, quando os invasores usavam criptografia mais sofisticada para extorquir suas vítimas. Por exemplo, o Archievus ransomware usava criptografia RSA assimétrica. O Reveton, um vírus de 2012, acusou o sistema infectado de ser usado para atividades ilegais e usou a webcam do sistema para imitar a filmagem do usuário, usando táticas de intimidação para coletar um resgate de US $ 200.

Hoje, o vetor de ataque do ransomware se espalhou para incluir aplicativos usados ​​na Internet das Coisas ( IoT ) e dispositivos móveis, e os vírus estão incluindo criptografia mais complexa. Isso se deve parcialmente à disponibilidade de kits de ransomware prontos para uso – também chamados de ransomware como serviço (RaaS) – disponíveis na dark web, que apresentam criptografia resultante da colaboração entre comunidades de desenvolvedores de ransomware no teia escura. Agora, o ransomware é muito mais apto a atingir organizações maiores do que indivíduos, o que significa que estão em jogo quantias exponencialmente maiores. O ransomware evoluiu de um pequeno incômodo para uma grande ameaça desde os dias de Joseph Popp.

Como o ransomware evolui constantemente, é importante que os fornecedores de sdoluções de proteção de dados fiquem um passo à frente dos invasores. Por exemplo, um novo desenvolvimento é a capacidade do ransomware de atacar backups de dados, além de cargas de trabalho primárias; portanto, uma organização deve garantir que seu armazenamento secundário também esteja protegido.

Veja também: Tudo sobre Ransomware, da história à decisão de pagamento!

Recuperando de um ataque de ransomware

A recuperação do ransomware é iniciada antes do ataque. As organizações que seguem a regra 3-2-1 de backup estão em boa posição para se recuperar. Com esse método, há três cópias dos dados, em pelo menos dois tipos de mídia diferentes, com uma cópia fora do local ou offline.
Por exemplo, o uso do armazenamento em fita para uma das cópias de backup fornece uma opção externa e offline. O armazenamento que não está conectado a uma rede está protegido contra ransomware. Embora a fita normalmente não tenha dados de backup tão atualizados quanto o armazenamento em disco ou na nuvem, ela possui uma “lacuna de ar” – que fornece isolamento por falta de conectividade de rede ou Internet – e garante que uma organização possa recuperar pelo menos algumas de suas cargas de trabalho.
Quando ocorre um ataque, a TI deve assumir o controle imediatamente enquanto os usuários ficam fora da rede. Em sua forma mais simples, a TI limparia os sistemas afetados, garantiria que o ransomware não estivesse mais na rede e restauraria as operações do último backup válido conhecido. Para colocar a organização em funcionamento o mais rápido possível, a TI pode querer restaurar apenas os dados e operações mais críticos primeiro e, em seguida, trazer cargas de trabalho menos importantes. A nuvem é uma boa opção para backup externo, mas pode levar muito tempo para restaurar um grande volume de dados.
Como parte de seus planos de backup e recuperação de desastres, uma organização deve identificar quais cargas de trabalho são mais importantes para a sobrevivência dos negócios e garantir o backup adequado e seguro dessas cargas. Idealmente, uma organização fará backup de arquivos com frequência ao longo do dia, usando métodos como replicação de dados .

 

Os testes são essenciais para a recuperação de ransomware. Um teste pode ser tão simples quanto executar o que cada membro da equipe fará no caso de um ataque. A opção mais abrangente envolve a execução de um teste em grande escala de backups e o failover de operações como se o ataque realmente tivesse acontecido.
O teste de segurança também é necessário. A TI deve garantir que sua segurança – como software antivírus – esteja atualizada. As equipes de DR e segurança, se separadas, devem estar na mesma página em relação aos esforços de planejamento e recuperação.
Educar e treinar os usuários com antecedência é ideal, mas lembretes imediatamente após um ataque também são bons, enquanto o problema ainda está na mente de todos. Os funcionários devem saber para não abrir anexos ou sites frequentes que não reconhecem como seguros. Eles também devem saber informar a TI imediatamente se virem algo suspeito.

Principais ferramentas e fornecedores de recuperação de ransomware

Os fornecedores de proteção de dados recentemente adicionaram recursos específicos à recuperação de ransomware.

  • A tecnologia Actifio OnVault fornece uma lacuna de ar criando uma cópia de backup imutável no armazenamento de objetos, nas instalações ou na nuvem.
  • O software Acronis utiliza o aprendizado de máquina para ajudar a impedir que um vírus de ransomware corrompa os dados. Ele tenta detectar um comportamento suspeito do aplicativo antes da corrupção dos arquivos. O Acronis Active Protection permite que os clientes recuperem e recuperem de um ponto no tempo antes de um ataque de ransomware.
  • O Asigra Cloud Backup impede que o ransomware entre nos backups incorporando mecanismos de malware no fluxo de backup e recuperação. Os mecanismos foram projetados para identificar um vírus de ransomware, colocá-lo em quarentena e notificar o usuário.
  • O BackupAssist CryptoSafeGuard funciona com software anti-malware existente. Ele verifica e detecta atividades suspeitas nos arquivos de origem que podem estar relacionados ao ransomware, envia alertas e impede que as tarefas de backup continuem sendo executadas até a resolução do problema.
  • O CloudBerry Backup protege os backups em nível de arquivo quando encontra ransomware. Ele proíbe que os dados de backup existentes sejam substituídos até que um administrador confirme um problema.
  • O Druva inSync inclui ferramentas integradas de monitoramento e detecção. Alertas automatizados sinalizam atividades incomuns com dados em desktops, laptops, dispositivos móveis e aplicativos em nuvem. O software também ajuda a identificar o último instantâneo seguro .
  • A Proteção e recuperação crítica da Iron Cloud da Iron Mountain isola os dados, desconectando-os de uma rede. No caso de um ataque, ele fornece uma “sala limpa” para recuperar dados e garante que o ransomware esteja fora do sistema.
  • O Quorum possui um dispositivo projetado especificamente para se recuperar de ransomware. O Quorum onQ Ransomware Edition tira instantâneos de servidores e fornece recuperação no nível do servidor.
  • O Reduxio BackDating serve como uma máquina do tempo para dados, clonando qualquer volume em qualquer ponto do tempo para recuperação de dados e permitindo que uma organização volte ao momento anterior a um ataque de ransomware.
  • Os dispositivos físicos e virtuais da Unitrends usam análises preditivas para ajudar a determinar se o ransomware está operando em um sistema. O Unitrends alerta os clientes quando detectam o vírus ransomware, para que possam restaurar a partir do último momento seguro.
  • O recurso de proteção contínua de dados e registro no diário da Zerto oferece a capacidade de retroceder até um ponto no tempo antes de um ataque de ransomware.

Recursos a serem procurados em uma ferramenta

Os fornecedores de backup e recuperação podem ajudar com problemas específicos de ransomware de várias maneiras.

  • Como um ataque de ransomware pode ocorrer a qualquer momento, é útil uma ferramenta que pode aumentar a frequência dos backups.
  • Aumentar a duração da retenção de backup ajuda uma organização que precisa manter os arquivos a longo prazo.
  • Os produtos de proteção de dados que se integram à detecção de malware representam um importante cruzamento de segurança.
  • O software de backup pode alertar um administrador sobre taxas incomuns de alteração nos dados, um sinal de possível ransomware.

A TI não deve confiar em um produto de backup para recuperação de ransomware. Uma plataforma de proteção de dados mais abrangente e proativa é melhor. É importante analisar exatamente o que um fornecedor oferece, no entanto, simplesmente dizer que uma organização pode se recuperar de ransomware com um determinado produto é diferente de fornecer um meio tangível de recuperação.

Prevenção com o CrowdStrike Falcon

O CrowdStrike Falcon protege contra ataques de ransonware, permitindo organizações substituir seu AV de forma rápida e simples. Trabalhando com Inteligêncica Artificial (AI), Machine Learning (ML), sem a necessidade de fazer download de assinaturas constantemente e consumindo larga faixa de banda nos links de comunicação, o agente Falcon (pequeno e leve) e a nuvem (grande e potente) funcionam perfeitamente para oferecer proteção e visibilidade em tempo real, mesmo quando o agente não está conectado à Internet ou ainda não exista vacina para a ameaça. 

O processo de AI e ML garantem a identificação do ransomware, antes mesmo de existir vacinas contra a ameaça, no momento que o processo tenta rodar na memória do computador. O EDR baseadas em nuvem e AV de próxima geração, que permite que os consultores obtenham visibilidade da infra-estrutura de endpoint da vítima e evitem tráfego malicioso ativo e comportamento de atrapalhar uma investigação eficaz. Em um único click na console web, o CrowdStrike Falcon possibilita a “desconexão” do equipamento da rede de forma remota, “tunelando” a comunicação do equipamento com a console e não permitindo nenhuma interação com a rede ou internet.

Para saber mais sobre a Solução de Proteção de Endpoint da CrowdStrike, preencha o formulário abaixo e deixe seu contato que a MindSec, representante oficial da CrowdStrike no Brasil entrará em contato.

 


 

Fonte: TechTarget por Margaret Rouse

 

Veja também:

Sobre mindsecblog 2401 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

1 Trackback / Pingback

  1. Equinix é atingida por ransomware, ataque pode ter chegado ao Brasil

Deixe sua opinião!