Ransomware: o que é e como o DLP ajuda

O ransomware continua a ser uma grande preocupação, afetando uma vasta gama de setores. Segundo o Data Breach Investigations Report de 2024 da Verizon, o ransomware mantém-se como ameaça de topo em 92 % dos setores, sendo que quase um terço de todas as violações de dados envolve ransomware ou outras formas de extorsão. Mais preocupante ainda é o quão sofisticadas se tornaram estas operações de ransomware, funcionando à semelhança de empresas legítimas, com as suas próprias equipas de marketing e departamentos de desenvolvimento. Estes grupos passaram mesmo a oferecer RaaS (Ransomware as a Service), facilitando a vida aos cibercriminosos que querem lançar ataques. É quase genial — exceto pelo facto de ser uma das ameaças de cibersegurança mais perigosas que existem.

ransomeware-verizon-com

Violações por ransomware e extorsão ao longo do tempo (Data Breach Investigations Report de 2024 da Verizon)

As violações ligadas a fornecedores terceiros ou a vulnerabilidades na cadeia de fornecimento estão também a aumentar. Este ano, 15 % de todas as violações estiveram associadas a infraestrutura de parceiros ou a problemas na cadeia de fornecimento, o que representa um aumento de 68 % face ao ano anterior. Boa parte deste aumento deve-se ao recurso a explorações zero-day em ataques de ransomware e extorsão.

Antes de avançarmos para passos práticos para proteger a sua organização contra ransomware, comecemos por compreender o que é o ransomware e por que motivo representa uma ameaça tão significativa para a cibersegurança das empresas. Em seguida, exploraremos 10 estratégias acionáveis para ajudar a salvaguardar os seus dados destes ataques.

O que é o ransomware?

O ransomware é um tipo de software malicioso (malware) concebido para extorquir dinheiro às vítimas, mantendo os seus dados como reféns. Em essência, o ransomware cifra os ficheiros da vítima ou bloqueia-lhe o acesso ao sistema, exigindo um pagamento em troca da chave de decifragem ou do acesso ao sistema.

O ransomware entra normalmente num sistema através de táticas de engenharia social, como e-mails de phishing, ou explorando vulnerabilidades em software desatualizado ou medidas de segurança fracas. Uma vez no sistema da vítima, cifra os ficheiros ou bloqueia o utilizador. O atacante exige então um pagamento, muitas vezes com prazo, ameaçando eliminar ou cifrar permanentemente os ficheiros se o resgate não for pago.

Os dados roubados através de ransomware são frequentemente vendidos na dark web. Pagar o resgate não garante o seu regresso em segurança — afinal, está a lidar com criminosos motivados pelo dinheiro, não pela boa consciência.

objects-2

Como entra o ransomware numa rede?

O ransomware pode entrar num sistema através de vários meios, incluindo:

E-mails de phishing: esta tática comum consiste em enganar pessoas, levando-as a entregar informação sensível através de e-mails que aparentam vir de fontes legítimas. O ransomware propaga-se frequentemente por e-mails de phishing que contêm anexos maliciosos ou ligações para websites infetados.
Instalação direta: os atores de ameaça utilizam o acesso já existente ao sistema para instalar o ransomware diretamente. Isto pode ocorrer quando os atacantes já comprometeram o sistema por outros meios, como credenciais roubadas ou violações anteriores.
Aplicações web: a exploração de vulnerabilidades em aplicações web é outro método frequente. Os atacantes visam aplicações web para injetar malware nos sistemas.
Software de partilha de ambiente de trabalho: os atores de ameaça obtêm acesso explorando vulnerabilidades em software de partilha de ambiente de trabalho, o que lhes permite aceder ao sistema e instalar ransomware.
Vulnerabilidades de software: os atacantes exploram fraquezas nos sistemas, aplicações ou rede de uma organização para obterem acesso. Isto inclui vulnerabilidades em VPNs e em atualizações de software.
Botnets: uma rede de computadores ou dispositivos infetados que pode ser controlada remotamente por um atacante para realizar várias atividades maliciosas, incluindo ataques de ransomware.

O que acontece quando um sistema é infetado por ransomware?

Imagine alguém a entrar em sua casa e a trancar todos os seus bens valiosos num cofre que só essa pessoa pode abrir. É essencialmente isso que acontece quando um sistema é infetado por ransomware.

Quando o ransomware infeta um sistema, cifra alguns ou todos os ficheiros e documentos de uma organização, tornando-os inacessíveis. O cibercriminoso responsável pelo ataque exige então um pagamento para libertar os dados. Estes dados podem incluir tudo, desde dados sensíveis de clientes e detalhes financeiros a segredos de negócio e estratégias de marketing. O impacto é imediato e severo, perturbando as operações de negócio e colocando em risco informação sensível.

blog-ransomware

O ransomware pode ser removido sem pagar o resgate?

Pagar resgate a criminosos é, em qualquer caso, desencorajado. Quando é pedido um resgate, é fundamental contactar primeiro as autoridades competentes.

Em alguns casos, a remoção do ransomware pode ser possível sem pagar o resgate. Tal depende do tipo de ransomware e da forma como foi instalado no sistema. Tentar remover ransomware sem o conhecimento e as ferramentas adequados pode causar mais danos ao sistema e tornar potencialmente irrecuperáveis os ficheiros cifrados.

As organizações devem ter um plano robusto de resposta a incidentes que inclua passos para a remoção e a recuperação face a ransomware. Esse plano deve envolver o isolamento dos sistemas infetados, a identificação do tipo de ransomware e a utilização de ferramentas de decifragem, quando disponíveis. Cópias de segurança regulares e um bom plano de recuperação de desastres podem também mitigar o impacto de um ataque de ransomware.

Leitura adicional: Como criar uma política sólida de prevenção de perda de dados (um plano passo a passo)

10 boas práticas para a prevenção de ransomware

Prevenir ataques de ransomware pode parecer assustador, mas, com a abordagem certa, é muito gerível. Vejamos alguns passos simples que a sua organização pode dar para se manter em segurança:

number-1_12810388

Manter o software atualizado

Atualizações regulares: certifique-se de que todo o seu software, do sistema operativo às ferramentas de segurança, está sempre atualizado. Os hackers adoram encontrar fraquezas em software antigo, por isso manter tudo atual ajuda a fechar essas brechas. Automatize as atualizações para tornar isto ainda mais fácil.

number-2_12810389

Utilizar palavras-passe fortes e autenticação multifator (MFA)

Palavras-passe complexas: incentive todos na sua organização a utilizar palavras-passe fortes e únicas e certifique-se de que as alteram regularmente.

Autenticação multifator: adicione uma camada extra de segurança através do MFA. Isto significa que, mesmo que alguém obtenha a sua palavra-passe, ainda precisará de uma segunda forma de verificação, como um código enviado para o telemóvel.

number-3_12810390

Realizar cópias de segurança regulares dos dados

Cópias de segurança frequentes: faça cópias de segurança regulares de todos os dados importantes e guarde-as num local seguro e offline. Desta forma, se o ransomware atacar, não perderá tudo nem terá de pagar um resgate para recuperar os seus dados.

Teste os restauros: teste ocasionalmente as suas cópias de segurança para garantir que consegue mesmo recuperar os dados. Mais vale saber agora se algo não está a funcionar corretamente.

number-4_12810391

Formação e consciência dos colaboradores

Formação em segurança: eduque regularmente os seus colaboradores sobre como manter os dados da organização em segurança, incluindo como detetar e-mails de phishing e outras ciberameaças. Quanto mais souberem, mais segura estará a sua organização.

Monitorize o comportamento dos colaboradores: seja restringindo transferências de dados, controlando anexos de e-mail ou monitorizando a utilização de armazenamento na cloud, defina políticas que garantam que as suas práticas de tratamento de dados estão alinhadas com as boas práticas de segurança. Teste a sua equipa com e-mails de phishing simulados para ver como reagem em cenários reais. Isto pode ajudar a melhorar as respostas e a consciência.

number-5_12810392

Implementar proteção de endpoint robusta

Antivírus e antimalware: utilize software avançado de antivírus e antimalware em todos os dispositivos. Mantenha esse software atualizado para que possa detetar as ameaças mais recentes.

Deteção e resposta em endpoint: utilize ferramentas de prevenção de perda de dados (DLP) que lhe deem visibilidade em tempo real sobre o que se passa na sua rede, incluindo funcionalidades de controlo de dispositivos que restringem a utilização de dispositivos de armazenamento amovíveis e outros periféricos. Isto impede que o malware seja introduzido na sua rede através de dispositivos externos.

number-6_12810393

Segmentação da rede e controlos de acesso

Segmente a sua rede: divida a sua rede em secções para conter potenciais danos. Se uma parte for infetada, não se irá propagar a todo o lado.

Controlos de acesso: conceda acesso a dados e sistemas sensíveis apenas a quem realmente precisa. Quanto menos pessoas tiverem acesso, menor será o risco. Implemente a abordagem Zero Trust para uma proteção máxima.

number-7_12810394

Acesso remoto seguro

VPNs e acesso seguro: utilize VPNs e ferramentas de acesso remoto seguro para qualquer pessoa que se ligue de fora do escritório. Garanta que estas ferramentas estão corretamente configuradas e atualizadas.

Software de partilha de ambiente de trabalho: limite quem pode usar software de partilha de ambiente de trabalho e monitorize a sua utilização para impedir acessos não autorizados.

number-8_12810396

Cifragem de dados

Cifre dados sensíveis: certifique-se de que cifra os dados sensíveis, garantindo que, mesmo que o ransomware cifre os seus ficheiros, os dados se mantêm seguros e inacessíveis aos atacantes. Isto adiciona uma camada extra de segurança, dificultando a vida aos cibercriminosos no aproveitamento dos dados roubados, tornando-os menos lucrativos para eles.

number-9_12810398

Implementar soluções de prevenção de perda de dados (DLP)

Ferramentas de DLP: utilize software de DLP para monitorizar e controlar o movimento de dados na sua rede em tempo real. Isto ajuda a identificar e a responder rapidamente a comportamentos suspeitos, como acessos não autorizados a dados ou transferências de grande escala que possam indicar um ataque de ransomware.

Deteção de anomalias: as ferramentas avançadas de DLP podem detetar padrões invulgares de acesso a dados, ajudando a identificar potenciais ataques de ransomware numa fase inicial.

number-10

Planeamento da resposta a incidentes

Plano de resposta: tenha um plano claro para o que fazer caso o ransomware ataque. Este deve incluir passos para isolar sistemas afetados, notificar pessoas-chave e recuperar dados.

Leitura adicional: Estratégias de gestão de risco interno para empresas de média dimensão

Quais são as consequências de um ataque de ransomware?

A consequência mais óbvia de um ataque de ransomware é a perda de acesso a dados e sistemas críticos, perturbando significativamente as operações de negócio e conduzindo a perdas financeiras. Em alguns casos, as organizações podem ser forçadas a pagar o resgate para recuperar o acesso aos ficheiros, o que pode ser dispendioso e não garante o regresso seguro dos dados cifrados. Quer o resgate seja pago ou não, o risco de fuga de dados sensíveis é significativo.

Os ataques de ransomware bem-sucedidos podem resultar em:

Indisponibilidade: quando os sistemas estão cifrados ou bloqueados, podem ficar inutilizáveis até o resgate ser pago ou os dados recuperados. Isso pode levar a uma indisponibilidade significativa para a organização enquanto tenta recuperar. Esta indisponibilidade pode ser particularmente dispendiosa para empresas que dependem da tecnologia para conduzir as suas operações.
Perda de dados: os ataques de ransomware podem provocar a perda de dados críticos e informação sensível, incluindo dados de clientes, registos financeiros e informação confidencial de negócio. Se a organização vítima não tiver uma cópia de segurança dos dados cifrados, a perda pode ser permanente.
Coimas regulamentares: muitos setores têm regulamentações que exigem que as organizações protejam os dados dos clientes. Se os dados forem comprometidos num ataque de ransomware, a organização pode enfrentar coimas e sanções ao abrigo dessas regulamentações. Por exemplo, a TISAX para o setor automóvel, a HIPAA na saúde e a NIS2 e o GDPR para, bem, quase todos.
Danos reputacionais: se dados sensíveis de clientes forem roubados e/ou divulgados em qualquer tipo de ciberataque, a reputação da empresa ou organização pode sofrer. Estes danos podem também ser difíceis de reparar, sobretudo se a organização for vista como tendo sido negligente na sua abordagem à cibersegurança.
Perdas financeiras: as perdas financeiras na sequência de um ataque de ransomware podem advir de custos de remediação, como recuperação de dados e restauro de sistemas, bem como dos custos de indisponibilidade, perda de produtividade, menos negócio devido a danos reputacionais, coimas regulamentares, custos legais e pagamentos de resgate.

A indisponibilidade da CDK Global

Em julho de 2024, a CDK Global, um ator importante na indústria de software, tornou-se alvo de um ataque de ransomware com duas semanas de duração. Este ataque cibernético causou perturbações significativas em milhares de concessionários de automóveis que dependem da sua plataforma, afetando uma estimativa de 15 000 concessionários auto em toda a América do Norte. Os concessionários enfrentaram desafios operacionais como a impossibilidade de aceder a sistemas de gestão, interrupções no rastreio e encomenda de peças, e dificuldades em executar novas vendas e prestar financiamento. Para além disso, lutaram para agendar serviços de assistência e gerir inventários. Para além do caos operacional, a violação de dados sensíveis de clientes e de negócio por parte do grupo de ransomware representa uma séria ameaça.

Em última análise, é reportado que a CDK transferiu 387 Bitcoin (cerca de 25 milhões de dólares) para a conta de criptomoeda da BlackSuit.

Como o DLP da Safetica protege a sua organização contra ransomware

O software de DLP da Safetica fornece uma linha de defesa essencial contra o ransomware. Eis como:

Monitorização em tempo real: a Safetica monitoriza continuamente a atividade de dados na sua rede, detetando e alertando-o para qualquer comportamento suspeito que possa sinalizar um ataque de ransomware.

Análise comportamental do utilizador: ao analisar padrões no comportamento dos utilizadores, a Safetica consegue detetar anomalias e potenciais ameaças numa fase precoce, permitindo medidas proativas para travar o ransomware logo de início.

Proteção de endpoint: as funcionalidades robustas de proteção de endpoint da Safetica impedem a execução de software não autorizado nos seus sistemas, reduzindo o risco de infeções por malware.

Cifragem automatizada: a Safetica cifra automaticamente dados sensíveis, garantindo que, mesmo que o ransomware consiga passar, a sua informação crítica permanece segura e inacessível aos atacantes.

Aplicação de políticas: com a Safetica, pode aplicar políticas de segurança rigorosas que controlam o acesso e o movimento de dados, minimizando as hipóteses de que estes caiam nas mãos erradas.