A evolução do Ransomware: respostas modernas e eficazes
Seu negócio já passou por algum ataque ransomware? Esse tipo de problema também é conhecido como sequestro digital e pode causar grandes transtornos no contexto organizacional.
Ainda que o termo esteja ganhando destaque na atualidade, sobretudo após a pandemia da Covid-19, muitos gestores ainda não dão a devida atenção ao perigo que este ataque representa.
E como vem acontecendo com vários outros tipos de ataques digitais, o ransomware tem evoluído, o que torna cada vez mais difícil contar com planos de respostas eficazes..
Quando a segurança cibernética não é tratada como prioridade nos mais diversos setores da empresa, o problema se torna ainda pior.
Infelizmente, muitas empresas ainda tratam essa questão como um ponto concernente apenas ao setor de TI, como se ele fosse o único afetado em caso de ataques.
A verdade é que os ciberataques como um todo e, mais especificamente, o ransomware, são problemas da empresa e não da equipe de TI.
É preciso que os gestores estejam conscientes disso para que tenham a chance de obter sucesso ao lidar com a possibilidade de uma invasão de seus sistemas.
Então, não deixe a sua equipe de TI lidar com esse tipo de problema como se fosse uma questão isolada.
Em casos de ataque, a empresa inteira pode ter suas atividades comprometidas e isso pode ser fatal. Não é uma questão de adquirir um novo software ou trocar um equipamento.
A grande questão é que a empresa precisa ser capaz de criar uma estratégia eficiente de recuperação que possa ser colocada em prática a qualquer momento.
Porém, mesmo que você já conte com uma estratégia de recuperação para uma possível situação de ataque ransomware, se ela estiver ajustada aos planos tradicionais de continuidade de negócios, você ainda tem razões para se preocupar.
O motivo é simples: as habilidades e estratégias dos cibercriminosos não param de evoluir. Então as suas estratégias de prevenção e respostas a incidentes não podem ser estagnadas.
Elas precisam passar por mudanças constantes e recorrer sempre às inovações disponíveis. As estratégias tradicionais já não são suficientes.
Mais do que investir em recursos de identificação e gerenciamento de vulnerabilidades e planos de respostas, é preciso também promover uma mudança na cultura organizacional.
Ao longo dos próximos tópicos, vamos explicar melhor o que é e como funciona o ataque ransomware, como ele tem evoluído e como você pode criar respostas modernas e eficazes para lidar com ele.
Continue a leitura!
Ransomware: o que é?
Saber o que é ransomware é o primeiro passo para combatê-lo eficientemente. Cada tipo de ataque cibernético possui suas especificidades e é um erro tratá-los como um problema a ser resolvido conjuntamente.
Então, vamos à definição desse cibercrime: o ransomware é um ataque digital em que os dados de um dispositivo são infectados e criptografados pelos criminosos.
Assim, os profissionais devidamente autorizados a visualizarem esses arquivos não conseguem mais acessá-los.
É claro que os dados contidos nos arquivos em questão quase nunca dizem respeito somente ao setor de TI. São dados da empresa como um todo, de seus parceiros, fornecedores e clientes.
Ficar sem acesso a eles pode significar ter que atrasar ou até parar as atividades do negócio.
Em outras palavras, o ransomware é um vírus ou código malicioso que torna inacessíveis os dados armazenados em um equipamento.
Para que esses dados sejam descriptografados, os cibercriminosos solicitam o pagamento de um resgate. Por isso, o ransomware também é chamado de sequestro digital.
Esse resgate muitas vezes é realizado via bitcoins, o que dificulta ainda mais a identificação dos cibercriminosos.
O ransomware é, na atualidade, um dos mais praticados e rentáveis crimes digitais, que foi impulsionado pela necessidade de trabalho remoto imposta pela chegada da pandemia da Covid-19.
A situação pandêmica levou muitas empresas que ainda não tinham dado muitos passos dentro do processo de transformação digital a fazerem mudanças bruscas em suas atividades.
A necessidade, por exemplo, de atendimento e da prestação de serviços online levou os gestores a tomarem decisões sem a preparação necessária no que se refere à segurança.
Assim, aumentaram muito os alvos dos criminosos que praticam ransomware, pois a quantidade de dados desprotegidos foi multiplicada.
Quando se pensa na própria crise financeira causada pela pandemia e nos demais riscos que os empreendimentos de diversos segmentos vêm correndo desde então, a possibilidade de ter que lidar com um ataque ransomware é ainda mais alarmante.
Imagine um cibercriminoso exigindo o pagamento de um resgate que pode comprometer todo o seu balanço e o seu planejamento financeiro?
Por isso é importante pensar de um ponto de vista mais amplo e entender que os danos causados pelo ransomware podem ir muito além da perda de dados.
Eles podem comprometer as atividades da empresa de uma maneira irreversível e é por isso que você deve agir preventivamente.
Como já mencionamos, os ataques ransomware vêm evoluindo constantemente, sendo possível identificar várias subcategorias.
Existem ransomwares simples, que podem ser desinstalados rapidamente por um bom profissional da área de tecnologia e segurança, mas infelizmente esses não são os mais numerosos.
O ransomware tem se tornado muito complexo e há versões muito complicadas de serem removidas de um equipamento de tecnologia.
É por conta dessa variedade que não existe uma solução universal para o problema. Ou seja, não é possível adquirir uma ferramenta de descriptografia que vai conseguir trazer os seus dados de volta em qualquer situação de ataque ransomware.
Por isso, além de contar com um bom plano de respostas, é importante que você e todos os seus colaboradores atuem conjuntamente.
Sobre a evolução do ransomware
Como dissemos, os cibercriminosos que utilizam o ransomware como ferramenta de extorsão costumam se aproveitar da falta de preparo dos gestores para lidar com a situação.
Muitas vezes, existe uma dificuldade até mesmo de definir quem são os responsáveis pela tomada de decisões relativas ao estabelecimento de uma resposta ao ataque.
Assim, esse tipo de ataque tem evoluído tanto do ponto de vista técnico, com códigos cada vez mais complexos, quanto do ponto de vista quantitativo.
Segundo dados da Accenture Cyber Investigations, a média de aumento dos ataques ransomware e extorsões ano a ano é de 107%.
Ou seja, a quantidade de crimes de sequestro de dados tem dobrado a cada ano e, se as empresas não se prepararem para dar respostas modernas e eficazes, a situação só vai piorar.
Ainda segundo a pesquisa, o Brasil está no top cinco dos países mais afetados, ficando atrás apenas dos Estados Unidos, da Itália e da Austrália.
Aproximadamente 47% dos ataques afetam organizações sediadas nos Estados Unidos. Itália e Austrália são atingidas por 8% dos ataques cada uma, enquanto Brasil e Alemanha são alvos de 6% dos ataques cada um.
Nesse contexto alarmante, não há como ignorar os riscos. Uma estrutura de decisão de crise precisa ser definida de forma antecipada e de maneira alinhada à estratégia de negócios.
Além disso, é preciso considerar, ao estabelecer essa estrutura, a tolerância ao risco e a estratégia de comunicação digital da empresa.
Por fim, mas não menos importante, é preciso atribuir de forma clara as responsabilidades pelas decisões técnicas e pelas decisões de negócios durante uma situação de crise.
Os profissionais envolvidos precisam se respaldar em critérios lógicos de tomada de decisões, que precisam ser revisados com regularidade.
Como tanto a organização quanto a tecnologia e também o cibercrime não são estáticos, a estratégia e todos os critérios precisam passar por ajustes e mudanças ao longo do tempo.
Tudo isso deve ser feito de maneira integrada e não tomando o assunto como uma questão ligada apenas à tecnologia.
Também é importante documentar as decisões tomadas e as ações tanto preventivas quanto de reação a um ataque.
Isso vai ajudar a organização a se preparar para as situações de crise em virtude dos ataques ransomware e acelerar as respostas a esses ataques.
A implementação de uma abordagem eficiente no que diz respeito à contenção das ameaças passa necessariamente por esses pontos.
Somente com um plano forte de comunicação os gestores conseguirão enfrentar o ransomware do ponto de vista dos negócios e não como simplesmente um problema tecnológico.
As comunicações de crise necessitam da agilidade e da transparência como características intrínsecas para serem eficazes no contexto das novas complexidades do ciberespaço.
Por isso, a comunicação deve buscar suporte na compreensão dos regulamentos, dos setores e dos clientes, bem como na própria estrutura de decisão.
Nesse sentido, o grande desafio é o alinhamento entre segurança e negócios em todas as fases: antes, durante e depois da situação de crise em razão do ransomware.
Ou seja, os planos de resposta a crises considerados tradicionais precisam passar por uma evolução, já que o ransomware é um risco comercial.
Além disso, é preciso conceber essas respostas como um trabalho de equipe, com o gerenciamento focado nos negócios.
Lembre-se de que o ransomware não tem limites. Ele não só não se restringe à área da tecnologia, como pode afetar, além de toda a empresa, os ecossistemas de terceiros e outros agentes interessados no negócio.
Como a pandemia estendeu as superfícies de ataque, as respostas a situações de crise também precisam evoluir para conseguir lidar, por exemplo, com clientes e fornecedores, que certamente serão afetados com a perda ou a falta de acesso aos dados sob responsabilidade da empresa.
Como criar respostas eficazes ao ransomware?
Vamos ver agora alguns passos práticos que você pode seguir para lidar de maneira mais efetiva com um possível ataque ransomware.
A meta é modernizar a sua gestão e criar uma estrutura de decisão organizada de modo a agilizar o seu plano de resposta.
Em resumo, os passos estão ligados ao conhecimento e preparação do negócio, à comunicação transparente e assertiva e ao envolvimento de toda a equipe.
O primeiro deles é saber quais são as prioridades da empresa caso seja detectado um ataque ransomware.
Não há como padronizar essa priorização. Cada negócio terá suas especificidades e é fundamental conhecê-las.
Busque informações sobre quais são as partes móveis responsáveis pela lucratividade do empreendimento, passando pelos processos críticos, fundamentos e dependências downstream.
Em segundo lugar, não se pode abrir mão da transparência da comunicação, ainda que ela precise ser concebida com cuidado.
Defina a sua estratégia de comunicação com requisitos que garantam a sua agilidade e considerem também toda a complexidade de uma crise cibernética.
Tenha em mente que a comunicação deve levar em conta a perspectiva técnica, mas deve tomar a situação do ponto de vista dos negócios, ou seja, com uma visão comercial sobre a crise.
É com base nessa visão que os gestores precisam não apenas estarem cientes, mas também participar ativamente do processo de modernização com vistas à eficácia das respostas ao ransomware.
Várias tecnologias ligadas à prevenção devem ser testadas e validadas, assim como os recursos de detecção, resposta e recuperação de ataques.
Mas esses recursos não devem ser conhecidos apenas pelas equipes de segurança. Quando os gestores são incluídos neste processo, os testes e validações são muito mais aprimorados.
Inclua as simulações de nível executivo nos testes planejados, para que os gestores conheçam de forma mais prática os riscos de um cenário de ataque.
Esse tipo de treinamento é muito importante para que, ao lidar com uma situação real de crise cibernética, toda a equipe não tenha dúvidas sobre o que precisa ser feito.
Nesse sentido, são vários os testes e simulações aos quais você pode recorrer. Aqueles que envolvem profissionais de tecnologia agindo como invasores costumam ser muito eficientes.
O raciocínio é simples: a sua equipe ou, até mesmo, uma empresa de segurança contratada especialmente para isso, deve buscar uma atuação que visa, além da identificação dos pontos de vulnerabilidade dos sistemas, o entendimento do ponto de vista dos cibercriminosos.
Assim, a empresa se antecipa e consegue evitar muitas possibilidades de crises, sobretudo quando o ransomware é colocado como um problema de negócio e não somente de tecnologia.Um dos testes que você pode realizar no sentido de identificar pontos de penetração de códigos de ransomware é o pentest. Para saber mais sobre ele, leia o artigo que publicamos aqui no blog sobre o assunto e já comece a colocar sua estratégia de gerenciamento de crise em prática. Até o próximo conteúdo!