O blog Falando Tech usa cookies de navegação. Ao continuar a navegação, você concorda com o uso de cookies de acordo com nossa política de privacidade.
Os benefícios econômicos motivam de forma significativa os atacantes e houve picos no uso de ataques de DDoS com pedido de resgate ao longo do ano. Esta tendência deve continuar em 2022 e nos anos seguintes.
Um levantamento da Lumen Technologies apontou que no primeiro trimestre de 2022, dos 500 maiores ataques hackers, 97% foram direcionados para as verticais de telecomunicações, jogos, software, hosting e governo. Uma das características desses ataques, segundo a Lumen, é o pedido de resgate por meio dos criminosos para que as vítimas tenham de volta o acesso aos seus dados e sistema.
Para abordar o tema, entrevistei o especialista em Soluções de Segurança da empresa Lumen, Walter Almeida, que respondeu algumas questões sobre a segurança cibernética nas empresas e deu algumas orientações de como proceder diante de um possível ataque e um pedido de resgate.
– Quais as brechas mais comuns usadas pelos hackers em um ataque de ransomware?
Os ataques de ransonware podem usar métodos muito variados para atingir seu objetivo, por isso estão entre os mais difíceis de combater. O ataque em si, a criptografia dos dados e o pedido de resgate, é a última de uma série de ações executadas. Para chegar a este ponto o hacker precisa conquistar o acesso privilegiado aos sistemas e dados, e, nesse estágio, já é muito difícil diferenciá-lo de um usuário normal, identificar a atividade ilícita e tomar as ações de recuperação.
Para obter este acesso o atacante pode usar diferentes ferramentas e estratégias. Desde ataque de força bruta, usando tentativa e erro para quebrar senhas de acesso, passando pelas técnicas de phishing, captura de acesso de usuários por e-mails ou sites falsos, e ações de engenharia social para conseguir dados de acesso de usuários. A falta de atualização dos softwares também causam falhas de segurança em sistemas operacionais de servidores, estações de trabalho, e de qualquer equipamento conectado à rede que serão facilmente certamente exploradas. O atacante pode ficar dias ou meses executando estas pequenas ações e obtendo cada vez mais informações e acessos dentro dos sistemas, até chegar ao ponto onde pode disparar o ataque final.
As modalidades mais comuns de acesso ilícito e que trazem melhor desempenho para os atacantes ainda são o uso de técnica de phishing e engenharia social. Continuam no topo da lista há alguns anos e se agravaram durante a pandemia.
– Sobre essas brechas, quais cuidados que as empresas devem ter?
Na linguagem popular, “não há uma bala de prata” e a proteção contra o ransonware consiste em uma série de atividades rotineiras que devem ser tratadas com método e disciplina. Entre as principais atividades, podemos citar:
– Ter instalado um sistema de monitoramento, detecção e bloqueio de malwares. Este é o conceito do antivírus, que foi substituído pelos mais modernos protetores de endpoint ( EDR/EPP). Estes últimos utilizam técnicas avançadas de inteligência artificial para detecção e bloqueio de ações maliciosas.
– Atualizar continuamente os sistemas que tiverem anúncio de uma correção, sendo sistemas operacionais, navegadores e firmware de todos os equipamentos conectados à rede;
– Manter uma rígida política de acesso controlado à informação, retirando da rede tudo o que não seja essencial e mantendo os acessos de usuário dentro do necessário para suas atividades;
– Manter treinamentos continuados de conscientização dos usuários, incluindo comportamentos e simulações de ataques de engenharia social;
– Manter uma política de backup de todos os dados, segregando em redes diferentes os dados de produção e de backup.
– Para as empresas que operam com muitos dados pessoais sempre que possível, utilizar ferramentas de criptografia e segmentação para proteção final, quando um malware já adquiriu acesso à rede;
– Sobre o pedido de resgate por meio dos hackers, quais providências as empresas devem tomar?
Neste ponto, entramos em dilemas éticos, operacionais e econômicos. A recomendação clássica é não efetuar o pagamento de resgate, mas tudo dependerá da gravidade, amplitude e capacidade de auto recuperação do ambiente de TI. Uma medida que já tem sido aplicada no mercado é a contratação do seguro cibernético. Mas, quando se tratar de uma decisão de realizar o pagamento, é sugerido incluir um profissional de negociação de resgate com o cyber criminoso.
Uma vez os dados encriptados, não há nenhuma garantia de que pagar o resgate significa o retorno à normalidade. O melhor a fazer, nestes casos, é obter ajuda de especialistas, e tomar decisões emergenciais como; desconectar toda a infraestrutura atingida, bloquear o acesso de todos os usuários, limpar e/ou reinstalar todos os sistemas para eliminar qualquer malware ou bot que tenha sido instalado, e recuperar o backup mais recente disponível. A partir disso, reintroduzir os usuários com novas senhas de acesso. Ou seja, praticamente recomeçar do zero toda a infraestrutura de TI.
O bloqueio dos acessos aos dados pode paralisar totalmente e, inclusive, inviabilizar financeira e operacionalmente a continuidade da empresa. Mas este pode não ser o maior dos problemas. Uma vez que o hacker obteve total acesso até executar a encriptação da informação, ninguém garante que ele também não tenha copiado os dados, e o ataque pode ser seguido de um vazamento de informações. Por este motivo é ideal que as empresas já mantenham seus dados mais sensíveis criptografados em seu armazenamento. Assim, mesmo que o atacante tenha acesso a estes dados, não conseguirá aproveitá-los de alguma forma.
Por mais difícil que seja identificar a autoria do ataque, é necessário tomar as medidas legais necessárias, como fazer o boletim de ocorrência e informar autoridades sobre possíveis vazamentos de dados, como determina a LGPD.
Ainda segundo Walter Almeida, a pandemia se tornou um acelerador para a transformação digital, com a necessidade de se disponibilizar mais aplicações e dados em menor tempo para atender as necessidades de menor contato social. Assim, se acelerou também a fragilidade nas áreas de segurança da informação. Isto ocorreu em diversas etapas da produção de aplicações, desenvolvimento, infraestrutura e usuários finais.
Prevenir continua sendo a melhor estratégia, por isso é importante estabelecer na governança de TI atividades que devem ser planejadas como: implantar na organização um estado de prontidão operacional e documentação detalhada do plano de recuperação e definir os responsáveis para cada atividade. Do mesmo modo que é realizado para um plano de desastre.
Os investimentos para melhorias de infraestrutura e processos nas áreas de segurança da informação vêm acelerando e principalmente com a contratação de serviços especializados como os da Lumen.
“Estamos ajudando nossos clientes, de maneira mais rápida e com menor custo de investimentos, a ampliar e implantar novas ferramentas e processos de proteção. A Lumen, através do BlackLotus Lab, seu laboratório de pesquisas em segurança da informação, analisa dados de ataques cibernéticos ao longo do ano. Mais de 200 Bilhões de sessões netflow, 1 bilhão de consultas de DNS e 46 mil Comand & Control (C2), são monitorados diariamente. Estes dados são consolidados em um report anual que traz informações muito úteis sobre as principais ameaças e suas tendências.”, finaliza Walter.
Você pode ter mais informações sobre as análises do Black Lotus Labs em: Lumen – Black Lotus Labs
*Imagens: Pixabay e Pexels
Leia também
