No Brasil, o ransomware ganhou mais um destaque neste mês de agosto, quando em uma quinta-feira (19), ocorreu um ataque ao site de uma das maiores redes de varejo de moda do país. Fontes revelaram à imprensa que estimativa é a de que mais de 2.000 servidores podem ter sido afetados pelo ataque. No final da manhã do sábado (21), 48 horas depois do incidente, o site da empresa retomou suas operações, embora algumas áreas estivessem funcionando lentamente ou ainda não estivessem disponíveis.
De acordo com Bruno Lobo, General Manager da Commvault para a América Latina, para proteger as empresas do ransomware, até mesmo nos ambientes com uso mais intensivo de dados, existem alguns protocolos que toda a organização deveria seguir.
“Um ataque de ransomware é como o tique-taque de um relógio”, observa o executivo. “De repente, alguém sequestra os dados da empresa. Depois de criptografá-los, eles impedem o acesso e exigem uma quantia para permitir a descriptografia. Então os empresários se questionam sobre como responder a isso e se devem ou não pagar o resgate. Mas enquanto tomam a decisão, o negócio permanece paralisado”, explica.
Com base no incidente, os analistas da Commvault elencaram uma lista com as quatro dicas mais importantes para garantir a proteção e recuperação de ataques de ransomware:
1) Empregar estratégias de backup eficazes
Uma infecção de ransomware é quase sempre um processo progressivo. Ela dura um pouco tempo e pode ser executada em segundo plano, enquanto aprende o comportamento das rotinas de backup. Dessa maneira, é importante manter cópias persistentes dos dados em outros locais como parte da estratégia de preparação para recuperação e dos procedimentos de recuperação de desastres. Usar armazenamento na nuvem é uma boa alternativa. Como o backup na nuvem não é visível para a conta do sistema operacional do administrador local, seria necessário sofisticação adicional para acessar as credenciais do usuário na nuvem.
2) Educar os funcionários para proteger seus terminais
Os especialistas ressaltam que também é imprescindível treinar os usuários para seguirem as melhores práticas de segurança. Entre as dicas valiosas que podem evitar infecções estão usar um firewall, aplicar uma política de senha, garantir que os programas e usuários usem o nível mais baixo de privilégios possível, desabilitar a reprodução automática, desabilitar o compartilhamento de arquivos se não for necessário, desligar e remover os serviços desnecessários, manter os patches atualizados, configurar o servidor de e-mail para bloquear ou excluir e-mails, isolar rapidamente os computadores comprometidos para evitar que as ameaças se espalhem ainda mais e desativar o Bluetooth para dispositivos móveis se não for necessário.
3) Ter um programa de segurança da informação eficaz
Entre os elementos que compõem um programa de segurança eficaz, o principal é o domínio e conhecimento total sobre onde os dados críticos são armazenados e quais sistemas processam e transmitem esses dados. “Pode parecer uma tarefa fácil, mas na verdade é algo extremamente difícil nos dias de hoje, devido à diversidade e complexidade dos ambientes atuais”, comenta Lobo. Por meio de aplicativos de inventário, o ideal é que o profissional de tecnologia determine quais sistemas físicos ou digitais representam o maior risco para as operações e qual é a disponibilidade dos principais sistemas, serviços e dispositivos.
Além disso, também são recomendados outro elementos, como a aplicação de controles de segurança baseados em risco e preparados para cenários de ameaças de evolução contínua e o controle da eficácia por meio da avaliação proativa e aplicação de ações corretivas. Lobo explica que, além destes elementos, também há a necessidade de um programa de segurança da informação eficaz que priorize a educação dos usuários para garantir que eles sejam informados sobre o que fazer em situações como a de um sequestro de dados.
4) Aplicar as melhores práticas tecnológicas
De acordo com o relatório “The 2021 Threat Hunting Report”, 55% dos profissionais de segurança cibernética consideram a detecção prévia de ameaças avançadas como o principal desafio para seus centros de operações de segurança. Os especialistas da Commvault alegam que a segurança de rede é uma boa primeira linha de defesa para proteger contra ataques de ransomware. Assim, ao implementar práticas de tecnologia eficazes, as organizações podem proteger ainda mais seus dados e infraestrutura de TI.
Os especialistas reforçam que algumas estratégias tecnológicas podem mitigar o potencial de infecção por ransomware. Assim, a ideia é que o profissional de TI empregue uma solução de segurança multifacetada, mantendo os sistemas e software atualizados com ‘patches’ relevantes, que possam detectar e prevenir as ameaças simultaneamwente. Em resumo, a estratégia consiste em proteger das ameaças armazenadas dentro dos arquivos comantivírus tradicional, além de garantir a proteção de download, do navegador, das tecnologias heurísticas e também do firewall e da reputação do sistema de pontuação dos arquivos de origem comunitária.
Ainda de acordo com os especialistas, também é recomendado definir uma política abrangente de preparação para recuperação, incluindo políticas de rede e terminais. Os profissionais de tecnologia concordam em dizer que esses sistemas também conseguem limitar tanto a execução dos programas que não foram aprovados nas estações de trabalho quanto as possibilidades de escrita dos usuários. Com isso, mesmo que os usuários baixem e executem um aplicativo ransomware, não será possível criptografar arquivos além daqueles previamente especificados.
