A Check Point Software comenta a recente decisão do governo australiano em tornar ilegal o pagamento a cibercriminosos em relação a ataques de ransomware. “As considerações do governo da Austrália sobre a introdução de uma nova legislação para tornar ilegais os pagamentos de resgate poderiam evoluir as estratégias cibernéticas das empresas no combate às mais proeminentes ameaças cibernéticas”, diz Fernando de Falchi, gerente de Engenharia de Segurança e Evangelista da Check Point Software Brasil.
Falchi ressalta que os cibercriminosos estão constantemente aperfeiçoando as suas técnicas para aumentar a pressão quanto ao pagamento dos resgastes. Verifica-se ainda que há mais famílias de ransomware que utilizam o roubo de dados e que visam os parceiros ou clientes das empresas para obterem um resgate, além dos métodos tradicionais de criptografia de informações valiosas roubadas – uma técnica chamada de tripla extorsão.
Os ataques cibernéticos não vão desaparecer. De fato, a Check Point Research revelou recentemente que os ataques globais aumentaram 28% no terceiro trimestre de 2022 em comparação com o mesmo período em 2021, com o Brasil apresentando um aumento de 37% comparado ao período do terceiro trimestre de 2021 sendo que as organizações no país foram atacadas 1.484 vezes semanalmente.
Além disso, o Relatório Semestral de 2022 da Check Point Software apontou o ransomware como a principal ameaça para todas as organizações no mundo, devido à simples razão de que os cibercriminosos têm recebido os pagamentos de resgate. Isto, por sua vez, cria um ciclo mortal, aumentando a motivação dos atacantes.
O executivo da Check Point Software Brasil também relembra que, se o ataque de ransomware for bem-sucedido e a organização for confrontada para pagar o resgate ou não, as empresas devem voltar ao início do ocorrido e descobrir por que o incidente aconteceu. Se foram fatores humanos ou tecnologias que falharam, será necessário passar por todos os processos novamente e repensar toda a estratégia para garantir que um incidente semelhante nunca aconteça novamente.
Entretanto, nunca se pode ficar confortável com o fato de que de alguma forma a recuperação de dados ocorreu e considerar o incidente resolvido. “As empresas devem se lembrar que mesmo que o resgate seja pago, isso não significa que os dados, ou mesmo parte deles, serão realmente decifrados. Existem casos conhecidos em que os atacantes possuem bugs nos códigos, de forma que a organização não pode recuperar os dados, mesmo se eles quisessem”, alerta Falchi.
Dessa forma, as recomendações a seguir ajudarão a minimizar o risco de uma empresa se tornar a próxima vítima de ransomware:
1) Ser extremamente vigilante nos fins de semana e feriados. A maioria dos ataques de ransomware no ano passado ocorreu nos finais de semana ou feriados, quando as organizações tendem a demorar mais para responder a uma ameaça.
2) Instalar atualizações e patches regularmente. O WannaCry atingiu fortemente organizações em todo o mundo em maio de 2017, infectando mais de 200 mil computadores em três dias. No entanto, um patch para a vulnerabilidade EternalBlue explorada estava disponível por um mês antes do ataque. Atualizações e patches precisam ser instalados imediatamente e ter uma configuração automática.
3) Instalar o antiransomware. A proteção antiransomware observa qualquer atividade incomum, como abrir e criptografar um grande número de arquivos, e se qualquer comportamento suspeito for detectado, a ferramenta pode reagir imediatamente e evitar danos massivos.
4) A educação é uma parte essencial da proteção. Muitos ataques cibernéticos começam com um e-mail direcionado que não contém malware, mas usa a técnica de engenharia social para tentar fazer com que o usuário clique em um link perigoso. A educação do usuário é, portanto, uma das partes mais importantes da segurança.
5) Os ataques de ransomware não começam com ransomware, portanto, é preciso tomar cuidado com outros códigos maliciosos, como Trickbot ou Dridex, que se infiltram nas organizações e preparam o terreno para um ataque de ransomware subsequente.
6) Fazer backup e arquivar dados é fundamental. Se algo der errado, os dados deverão ser recuperados de maneira fácil e rápida. É imperativo fazer backup de forma consistente, inclusive automaticamente nos dispositivos dos funcionários, e não depender deles para se lembrar de ativar o backup por conta própria.
7) Limitar o acesso apenas às informações necessárias e ao segmento. Se a empresa deseja minimizar o impacto de um ataque potencialmente bem-sucedido, é importante garantir que os usuários tenham acesso apenas às informações e aos recursos de que absolutamente precisam para realizar seu trabalho. A segmentação minimiza o risco de o ransomware se espalhar incontrolavelmente pela rede corporativa porque impede o movimento lateral de ameaças dentro de uma organização. Lidar com as consequências de um ataque de ransomware em um sistema pode ser difícil, mas reparar o dano após um ataque em toda a rede é muito mais desafiador. A ideia aqui é repartir a rede da empresa de modo que as ameaças possam ser contidas, limitando assim o alcance.
