Cinco etapas críticas para se recuperar de um ataque de ransomware

Os hackers estão usando cada vez mais o ransomware como uma forma de ataque eficiente para atacar organizações e, consequentemente, financiar atividades maliciosas. 

Um relatório da SonicWall divulgado em março deste ano apontou que o Brasil foi o alvo preferencial dos criminosos cibernéticos em 2020. No ano passado, o país foi um dos que mais sofreu ataques de ransomware. Outros dados, como os apurados pela Cybersecurity Ventures, apontam que as empresas poderão ter que lidar, ainda em 2021, com uma tentativa de ataque a cada 11 segundos. 

Diante desses números, é imprescindível se preparar para a possibilidade de um ataque de ransoware a qualquer momento – o que pode afetar seus dados, serviços e continuidade dos negócios. Mas afinal, uma vez que houve o ataque, como sair desse cenário? Quais etapas estão envolvidas na recuperação de um ataque de ransomware? 

Passo 1: Isole e desligue sistemas críticos

A primeira etapa importante é isolar e desligar sistemas críticos para os negócios. É possível que o ransomware não tenha afetado todos os dados e sistemas acessíveis. Desligar e isolar sistemas infectados e sistemas saudáveis ​​ajuda a conter o código malicioso. 

Desde a primeira evidência de ransomware na rede, a contenção deve ser uma prioridade. A contenção e o isolamento podem incluir sistemas de isolamento de uma perspectiva de rede ou desligá-los completamente. 

Passo 2: Execute seu plano de continuidade de negócios

O plano de continuidade de negócios e o planejamento de recuperação de desastres são essenciais para manter algum nível de operações de negócios. 

O plano de continuidade de negócios é um manual passo a passo que ajuda todos os departamentos a entender como a empresa opera em tempos de desastre ou outros cenários de alteração nos negócios. O componente de recuperação de desastres detalha como dados e sistemas críticos podem ser restaurados e colocados online novamente. 

Passo 3:  Denuncie o ataque cibernético

Muitas empresas podem hesitar em fazê-lo, mas relatar o ataque aos clientes, partes interessadas e polícia é essencial. Com a denúncia formal, é possível ter acesso a recursos que podem não estar disponíveis de outra forma. 

Você também precisará considerar os regulamentos de conformidade. O GDPR, por exemplo, oferece às empresas uma janela de 72 horas para divulgar uma violação de dados envolvendo informações pessoais dos clientes. 

Passo 4: Restaure o backup

A melhor medida de proteção que você tem para seus dados são os backups. No entanto, restaurar grandes quantidades de dados pode ser demorado, forçando a empresa a ficar offline por um longo período de tempo. 

Essa situação destaca a necessidade de descobrir e conter ataques de ransomware o mais rápido possível para reduzir a quantidade de dados que precisam ser recuperados. 

Passo 5: Corrigir, corrigir e monitorar

Na fase final de recuperação de um ataque de ransomware, as empresas remediam os sistemas que podem ter causado o comprometimento inicial do ransomware, e monitoram o ambiente de perto para outras atividades maliciosas. 

Não é incomum que a atividade maliciosa continue, mesmo que o resgate seja pago ou se os sistemas infectados sejam restaurados. Se existir a mesma vulnerabilidade que levou ao ataque inicial, o ambiente pode ser comprometido mais uma vez. 

Na medida em que as empresas buscam fortalecer o ambiente contra ransomware e outras ameaças maliciosas, é crucial examinar os pontos de entrada comuns para esses tipos de ataques. 

Geralmente, os criminosos usam ataques de phishing para coletar credenciais roubadas que podem ser usadas para lançar um ataque de ransomware ou acessar sistemas diretamente. 

Prevenção e próximas etapas

As empresas não devem se descuidar ao lidar com a segurança de senha, especialmente com contas de usuário do Active Directory. Infelizmente, o Active Directory não tem boas ferramentas de segurança nativas para proteger as senhas de acordo com os requisitos atuais da política de segurança de senha. 

Por isso, é importante que todas as contas que têm acesso à Internet estejam protegidas por autenticação multifator, dificultando a utilização de contas do AD para o acesso aos sistemas da empresa. 

A Varonis oferece um serviço gratuito para organizações que foram atingidas por ransomware. Se você acha que a sua empresa sofreu algum ataque, não hesite em entrar em contato com a resposta a incidentes e ajuda forense em https://www.varonis.com/help