Por Erich Kron, exclusivo para o CISO Advisor *
Há um tempo, o ransomware era apenas um esquema de roubo de dados que exigia das empresas pagamentos para a devolução e acesso a documentos. Inicialmente, as organizações foram pegas de surpresa, principalmente aquelas que não conseguiam operar sem qualquer sistema digital. Esta situação trouxe uma nova perspectiva para o mercado de restauração de dados, que se desenvolveu rapidamente. Empresas que nunca acreditaram estar sob o risco de grande perda de dados começaram a prestar atenção no que estava acontecendo com outras companhias ao seu redor. Com isso, backups de dados, que nunca foram uma preocupação, passaram a ser um dos assuntos principais nas reuniões do conselho das grandes corporações.
Com a crescente capacidade das empresas para restaurar dados com rapidez, fazer backups contínuos e até operar na ausência de sistemas digitais, os esquemas de ransomware também se transformaram. Há algum tempo a necessidade de pagar pela recuperação de dados caiu rapidamente. Mas, toda ação tem uma reação e o que vemos é um contra-ataque por parte dos atacantes.
Dessa forma, no final de 2019, vimos o primeiro caso de ransomware aliado a exfiltração de dados. Isso significaria que, além da apropriação indevida dos dados, as informações seriam tornadas públicas uma vez que o pagamento não fosse realizado. O blefe foi repetido diversas vezes, sem consequências, até que o Maze Ransomware vazou 2 GB dos 32 GB de dados que alegavam ter em sua posse. Isso alterou a ideia como as corporações passaram a encarar este tipo de ameaça e mostrou que a capacidade de restauração de dados com agilidade não era mais suficiente para proteger organizações, sendo preciso também se preocupar com a divulgação não autorizada de informações corporativas.
Impacto no planejamento de segurança da informação
No modelo antigo, uma empresa pode ter feito uma apólice de seguro no valor de US$ 1 milhão para cobrir um ataque desta natureza. Isso era calculado com base nos custos associados a reestruturação de equipamentos, equipes de análises, além do prejuízo financeiro devido ao tempo de inatividade. Agora, como os invasores têm acesso aos dados e os expõem publicamente, a organização tem que lidar com um tipo totalmente diferente de situação. É necessário criar todo um aparato de comunicação para gerenciar e conter uma potencial crise na imagem e reputação da empresa. Primeiro será preciso estruturar um call center e um website. Segundo, será necessário envolver uma agência de relações públicas para direcionar a melhor maneira de se posicionar, já que irão lidar com questões legais e possíveis multas regulatórias.
Mesmo considerando uma apólice de US$ 1 milhão, imagine quantos custos devem ser cobertos quando temos dois incidentes relacionados a segurança e privacidade da informação envolvidos em uma só situação. Certamente alguns dos custos podem ser compartilhados, no entanto, serviços de análises especializadas terão custos adicionais, já que é preciso entender como os invasores tiveram acesso a esses dados (o que geralmente acontece por phishing) e quais malwares e endpoints foram envolvidos no processo. Também é fundamental descobrir quais dados foram acessados e a extensão e impacto dessa violação.
Outros impactos da nova ameaça de ransomware
Uma outra questão importante dentro desse novo cenário é que ataques de ransomware geralmente não são relatados. Isso faz total sentido uma vez que nenhum dado foi vazado ou, em alguns casos, foi apenas um ataque pontual a alguns equipamentos. Não há nenhum motivo de alarde e, na prática, os ataques de ransomware tornaram-se “banais” como qualquer outra infecção de malware. Mas com a exfiltração de dados tudo muda, já que você terá um conjunto totalmente diferente de requisitos, relatórios e notificações caso os dados confidenciais de clientes sejam acessados.
Por ser um assunto de interesse público, o “U.S. Health and Human Services” (HHS) elaborou um guia sobre esse assunto em 2016, no qual traz informações sobre o risco da exfiltração de dados por ransomware “FACT SHEET: Ransomware and HIPAA“. Em resumo, o material diz que o evento deve ser relatado como uma violação se os dados não estiverem criptografados no momento em que o ransomware foi ativado . O ideal é que este documento sirva como um padrão, mesmo fora dos setores regulados pelo segmento e pelo HIPAA.
Como se defender dos ataques
Focar no backup e na restauração de dados não é mais suficiente para evitar o impacto de uma exfiltração de dados via ransomware. Na verdade, nunca foi. É necessário um approach preventivo, mesmo que a grande maioria dos profissionais de segurança da informação não acreditem nisso e achem que o assunto é complexo e difícil de prevenir.
Obviamente, não há um sistema de segurança que seja 100% eficaz o tempo todo. Esse modelo ideal não existe, mas muitas vezes é uma desculpa para focar na recuperação, e não na prevenção. Esse é um erro enorme que, agora com os dados sendo exfiltrados e expostos, custa ainda mais caro.
Quando se trata de minimizar os prejuízos, é preciso ter bons backups. Com o ransomware, os ataques quase sempre ocorrem por meio de um e-mail de phishing ou de um portal de acesso remoto (como o Windows Remote Desktop Protocol, ou RDP), expondo os dados de maneira insegura na Internet.
Sobre o phishing, a maneira mais eficaz de lidar é treinando e conscientizando os usuários finais, principais alvos dos ataques. Especialistas e técnicos não costumam ser os melhores candidatos a treinar funcionários, pois isso requer metodologias e materiais específicos.
Em relação ao problema de acesso remoto, sempre que possível ative a autenticação multifator (MFA). Certifique-se de registrar todas as tentativas de autenticação, bloquear contas após várias tentativas e relatar falhas rapidamente. Isso ajudará os profissionais de segurança a identificar ataques e reduzir a chance de invasores conseguirem fazer login usando técnicas de preenchimento de credenciais ou senhas comuns (ironicamente, dois comportamentos que também devem ser abordados no treinamento).
O ransomware não vai desaparecer tão cedo e as novas tendências tornam o cenário ainda mais complexo. É recomendável que as organizações analisem suas atuais coberturas de segurança cibernética para garantir a melhor defesa contra novas ameaças. Além disso, cada vez faz mais sentido abordar medidas preventivas em treinamentos de conscientização para segurança da informação, e revisar a configuração e os controles em torno dos portais de acesso remoto para evitar esses tipos de problemas.
Especialista em Segurança da Informação e evangelista em TI da KnowBe4
