Vetores de infecção e distribuição
Ransomware é um tipo de malware usado para criptografar arquivos importantes de computador ou dados confidenciais para resgate. As infecções ocorrem quando o malware ransomware é baixado e instalado em dispositivos na rede de uma organização.
Ransomware pode obter acesso ao sistema de destino de várias maneiras. Em 2023, os avanços tecnológicos aumentaram. As plataformas de inteligência artificial e ransomware como serviço simplificaram a capacidade dos hackers de executar ataques de ransomware. A engenharia social, os ataques patrocinados pelo estado e os ataques internos estão em ascensão, mas os e-mails de baixa higiene do sistema e phishing continuam sendo os vetores de ataque mais comuns.
Os e-mails de phishing normalmente contêm um link para um site comprometido ou um anexo com malware incorporado a ele. Quando o usuário clica no link ou anexo, o malware é baixado e executado no sistema de computador.
Leia sobre cinco áreas que criam vulnerabilidades comuns para ransomware.
O protocolo de desktop remoto (RDP, Remote Desktop Protocol) é outro vetor comum de ataque de ransomware porque é fácil de usar e pode dar a um invasor acesso de alto nível se ele conseguir acessar credenciais legítimas. Os agentes de ameaças podem usar uma variedade de técnicas, incluindo ataques de força bruta, preenchimento de credenciais ou comprá-los na dark web.
O acesso comprometido ao RDP comprado na dark web pode explorar uma conexão RDP simplesmente criando um script que verifica a porta padrão. Os hackers geralmente têm acesso às mesmas ferramentas que os profissionais de segurança e podem verificar toda a Internet em busca de uma porta aberta em menos de um minuto.
O ex-hacker Hector “Sabu” Monsegur discute o cenário e os desafios atuais da cibersegurança com Andrew Miller da Pure neste webinar sob demanda.
Criptografia
Depois que o ransomware é instalado no sistema de destino, ele fica em espera, coletando dados silenciosamente e infectando o maior número possível de sistemas. Em seguida, ela rouba e/ou criptografa arquivos de sistema com os dados mais valiosos e confidenciais da empresa. Ransomware podem destruir backups ou roubar dados como parte do ataque, por isso é importante que seus backups sejam seguros e imutáveis.
Agora, vamos dar uma olhada em alguns tipos e variantes de ransomware.
O ransomware criptográfico criptografa arquivos, embaralhando o conteúdo e tornando-os ilegíveis. Uma chave de descriptografia é necessária para restaurar os arquivos para um formato legível. Os cibercriminosos então emitem demandas de resgate, prometendo descriptografar dados ou liberar a chave de descriptografia assim que as demandas forem atendidas.
O ransomware do cofre não criptografa arquivos, mas bloqueia completamente a vítima de seu sistema ou dispositivo. Os cibercriminosos exigem um resgate para desbloquear o dispositivo. De modo geral, é possível se recuperar ou evitar uma tentativa de ataque criptográfico se um bom backup estiver disponível. No entanto, um ataque ransomware de cofre é mais difícil e caro de se recuperar. Mesmo com dados de backup, o dispositivo deve ser totalmente substituído.
O objetivo básico de um ataque ransomware é extorquir dinheiro, mas as organizações podem se recusar a pagar, especialmente quando têm um bom sistema de backup e recuperação implantado. Por esse motivo, os invasores usam extorsão dupla, na qual os dados são criptografados e extraídos. Se a empresa se recusar a pagar, os hackers ameaçam vazar as informações online ou vendê-las ao licitante mais alto.
E fica pior. Por mais devastador que pareça ser o ransomware extorsivo duplo, os especialistas em segurança estão alertando sobre uma ameaça maior: ransomware extorsivo triplo. Os invasores exigem dinheiro de terceiros afetados, além de extrair dados e exigir resgate do destino inicial.
Por fim, o ransomware como serviço (RaaS, ransomware as a service) usa o modelo padrão de software como serviço (SaaS, Software-as-a-Service). É um serviço baseado em assinatura que dá aos assinantes acesso a ferramentas de ransomware pré-desenvolvidas para lançar ataques de ransomware. Os assinantes são chamados de afiliados e ganham uma porcentagem de cada pagamento de resgate.
Demandas e notas de ataques de ransomware
Depois que o ransomware é implantado com sucesso na rede de destino, as demandas de resgate são feitas. Os hackers alertam a vítima de que ocorreu um ataque e detalham o resgate necessário para reverter o ataque. As demandas de resgate são exibidas em telas de computador ou deixadas em uma nota no diretório com os arquivos criptografados.
As solicitações de resgate normalmente contêm detalhes sobre o valor do resgate, o método de pagamento necessário e o prazo para pagamento, bem como uma promessa de retornar o acesso aos arquivos criptografados assim que o resgate for pago. Se ocorrer a exfiltração de dados, o hacker também pode concordar em não expor dados adicionais e mostrar evidências de que os dados foram destruídos. O pagamento normalmente é solicitado em criptomoedas (por exemplo, Bitcoin ou Monero).
No entanto, mesmo que um resgate seja pago, não há garantia de que o invasor restaurará os dados ou cumprirá qualquer promessa. Eles podem manter uma cópia dos dados roubados para usar posteriormente. As chaves de descriptografia podem não funcionar totalmente, deixando alguns dados criptografados ou podem conter malware adicional não detectado que o invasor pode usar no futuro.
A negociação: Pagar ou não pagar?
A decisão de pagar ou não pagar uma demanda de resgate pode ser complicada e depender de vários fatores:
- Qual é a importância do impacto da violação nas operações comerciais?
- Os funcionários não trabalharão? Quantos e por quanto tempo?
- Qual é o tamanho do risco de exposição de dados?
Para ver mais de perto os prós e os contras de pagar e não pagar, leia a publicação do blog “Hit by Ransomware ? O que fazer em seguida.”
Se seu sistema de backup e recuperação não tiver sido afetado pelo ransomware, você poderá evitar pagar o resgate completamente (dependendo do tipo de ransomware que o afeta). Mas se pagar o resgate é realmente sua única opção, é uma boa ideia contratar uma equipe experiente de resposta a incidentes para ajudar nas negociações e facilitar o pagamento.
As consequências: Restauração e recuperação
O tempo médio de inatividade após um ataque ransomware é de 24 dias. Se você pagar o resgate, pode levar vários dias adicionais para receber a chave de descriptografia e reverter a criptografia.
Esteja ciente de que algumas variantes de ransomware identificam e destroem backups na rede comprometida. Se os backups foram destruídos ou criptografados, o processo de recuperação pode se tornar mais complicado. Mas mesmo que os backups sejam utilizáveis, a recuperação ainda pode ser um processo demorado, dependendo do tipo de sistema de backup e recuperação que você tem em vigor.
Não importa se você paga o resgate ou tenta recuperar os dados, planeje todo o processo de recuperação para levar vários dias. Planeje também algum grau de perda financeira, seja na forma de pagamentos de resgate, custos de resposta a incidentes ou perda de receita devido ao tempo de inatividade.
Veja como o processo de recuperação pode variar entre duas organizações hipotéticas com diferentes recursos de recuperação no artigo “A Tale of Two Ransomware Attacks: Qual é a sua empresa?”
Esteja pronto para responder a um ataque
Um ataque ransomware é um risco para o qual você não pode se dar ao luxo de não estar preparado. Você pode achar que está fazendo todas as coisas certas para se manter seguro, mas confiar em arquiteturas de backup legadas não o protegerá contra ataques modernos.
A melhor maneira de responder a um ataque? Somente soluções modernas, como snapshots do SafeMode da Pure Storage ® e do FlashBlade//S (S) com restauração rápida , que oferece desempenho de recuperação de petabytes em grande escala, podem levar sua estratégia de segurança a um novo patamar.