3 passos para proteger-se contra ransomware

Ransomware é um tipo de ataque que utiliza um malware projetado para criptografar arquivos em dispositivos, restringindo o acesso ao sistema infectado com uma espécie de bloqueio, fazendo dos arquivos e sistemas que dependem deles inutilizáveis. Tradicionalmente, criminosos exigem resgates em criptomoedas (como em um sequestro) em troca da decriptografia dos dados, para que o acesso possa ser restabelecido. Caso não ocorra o mesmo, arquivos podem ser perdidos e até mesmo publicados. De acordo com um relatório da Cisco, este tipo de ataque dominou o mercado de ameaças digitais em 2017 e atualmente é o tipo de malware mais rentável da história, com o primeiro relato documental deste tipo de ataque sendo o WannaCry em 2005.

Com o tempo, os criminosos ajustaram suas táticas de ransomware para serem mais destrutivas e impactantes, extraindo dados e ameaçando vendê-los ou vazá-los (incluindo informações confidenciais ou pessoais) se o resgate não for pago. Tais violações de dados podem causar perdas financeiras para a organização vítima do ataque e minar seu valor de mercado e a confiança dos clientes, fornecedores e funcionários.

O ransomware é uma ameaça séria e crescente a todas as organizações governamentais e do setor privado, incluindo organizações de infraestrutura crítica. Em resposta, o governo dos Estados Unidos lançou o site StopRansomware.gov, uma página centralizada que fornece recursos, orientações e alertas de ransomware.

Não existe nenhuma fórmula mágica para evitar ataques cibernéticos, mas há uma série de conjuntos de boas práticas na forma de checklists (CIS Controls V8, OWASP ASVS), frameworks (ISO 27701, NIST Cibersecurity Framework), leis (LGPD) e regulações (BACEN 4.658/3.909), criados com o objetivo de auxiliar no desenvolvimento de programas de Segurança da Informação que adotem práticas de Governança de Vulnerabilidades Cibernéticas. Estes conjuntos de boas práticas têm como objetivo ajudar organizações nos processos de governança, avaliação seus programas de Segurança da Informação e até a avaliação do risco de segurança em terceiros.

Proteção de Informações Sensíveis e Pessoais de Violações Causadas por Ransomware

Um destes conjuntos de boas práticas, desenvolvido pela CISA – Cybersecurity & Infrastructure Security Agency (Agência de Cibersegurança e Segurança de Infraestrutura dos EUA), tem como objetivo ajudar a evitar e mitigar os efeitos de ataques de ransomware. Entitulado “Protecting Sensitive and Personal Information from Ransomware–Caused Data Breaches” (Protegendo Informações Sensíveis e Pessoais de Violações Causadas por Ransomware), o material divulgado é o resultado de anos de estudo em que a agência e seus parceiros responderam a um número significativo de incidentes de ransomware, incluindo ataques recentes contra a Colonial Pipeline e a Kaseya, afetando provedores de serviços críticos, serviços gerenciados de segurança (MSPs) e seus clientes.

As medidas preventivas sugeridas pela agência podem ser divididas em três grandes passos compostos por grupos de controles de segurança que, quando executados em conjunto, fornecem um nível de preparo adequado para mitigar ou anular impactos resultantes de um ataque de ransomware.

Neste conjunto de boas práticas, a CISA lista uma série de controles de segurança que podem ser dividos em grupos com objetivos distintos:

1. Prevenção de ataques de ransomware
2. Proteção de informação sensível e pessoal
3. Resposta adequada a violação de dados

Todas as organizações correm o risco de serem vítimas de um incidente de ransomware e são responsáveis ​​por proteger os dados confidenciais e pessoais armazenados em seus sistemas. Pensando nisso, oferecemos nesse post informações para todas as organizações governamentais e do setor privado, incluindo organizações de infraestrutura crítica, sobre como prevenir e responder a violações de dados causadas por ransomware. Incentivamos as organizações a adotar um estado de maior consciência e implementar as recomendações abaixo, além de implementar um plano de higiene cibernética e um plano de resposta a incidentes.

NOTA: Alguns itens foram adaptados para adequarem-se ao cenário brasileiro.

Prevenindo Ataques de Ransomware

1. Mantenha backups de dados criptografados e offline, testando seus backups regularmente

Os procedimentos de backup devem ser realizados regularmente. É importante que os backups sejam mantidos offline, pois muitas variantes do ransomware tentam localizar, excluir ou criptografar backups acessíveis.

2. Crie, mantenha e execute um plano básico de resposta a incidentes cibernéticos, um plano de resiliência e um plano de comunicações associado

• O plano de resposta a incidentes cibernéticos deve incluir procedimentos de resposta e notificação para incidentes de ransomware. Consulte o Guia Conjunto de Ransomware do CISA e do Centro de Compartilhamento e Informações Multiestaduais (MS-ISAC) para obter mais detalhes sobre a criação de um plano de resposta a incidentes cibernéticos.
• O plano de resiliência deve abordar como operar se você perder o acesso ou o controle de funções críticas. A CISA oferece avaliações de resiliência cibernética sem custo e não técnicas para ajudar as organizações a avaliar sua resiliência operacional e práticas de segurança cibernética.

3. Trabalhe para mitigar vulnerabilidades e configurações incorretas voltadas à Internet a fim de reduzir o risco de agentes explorarem estas superfícies de ataque

• 3.a. Empregue as melhores práticas para o uso do Remote Desktop Protocol (RDP) e outros serviços de área de trabalho remota. Os agentes da ameaça, geralmente, obtêm acesso inicial a uma rede por meio de serviços remotos expostos e mal protegidos e, posteriormente, propagam o ransomware;
• 3.a.i. Audite a rede para sistemas usando RDP, portas RDP fechadas não usadas, aplique bloqueios de conta após um número especificado de tentativas, aplique autenticação de duplo fator (2FA) ou multifator (MFA) e registre tentativas de login RDP;
• 3.b. Conduza varreduras de vulnerabilidades regularmente para identificar e resolver vulnerabilidades, especialmente aquelas em dispositivos voltados à Internet. A CISA oferece uma variedade de serviços de higiene cibernética gratuitos, incluindo varredura de vulnerabilidade, para ajudar as organizações de infraestrutura crítica a avaliar, identificar e reduzir sua exposição a ameaças cibernéticas, tais como ransomware. Tirando proveito desses serviços, organizações de qualquer porte receberão recomendações sobre maneiras para reduzir seus riscos e mitigar vetores de ataque;
• 3.c. Atualize o software, incluindo sistemas operacionais, aplicativos e firmware, em tempo hábil. Priorize a correção oportuna de vulnerabilidades críticas e vulnerabilidades em servidores voltados à Internet – bem como software processando dados da Internet, como navegadores da web, plugins de navegador e leitores de documentos. Se a correção rápida não for viável, implemente as medidas de mitigação providas pelo fornecedor.
• 3.d. Certifique-se de que os dispositivos estão configurados corretamente e que os recursos de segurança estão ativados. Por exemplo, desative portas e protocolos que não estão sendo usados ​​para uma finalidade comercial.
• 3.e. Desabilite ou bloqueie o protocolo SMB (Server Message Block) de entrada e saída e remova ou desabilite as versões desatualizadas do SMB.

4. Reduza o risco de mensagens de e-mails de phishing chegarem aos usuários finais

• 4.a. Habilitando filtros de spam fortes;
• 4.b. Implementando um programa de cibersegurança para conscientização e treinamento do usuário que inclua orientação sobre como identificar e relatar atividades suspeitas (por exemplo, phishing) ou incidentes. A CISA oferece uma Avaliação de Campanha de Phishing sem custo para organizações obterem suporte e medirem a efetividade dos treinamentos de conscientização dos usuários.

5. Pratique uma boa higiene cibernética

• 5.a. Garantindo que o software antivírus, antimalware e as assinaturas estejam atualizados;
• 5.b. Implementando a lista de permissões de aplicativos;
• 5.c. Garantindo que as contas de usuários e privilégios sejam limitadas por meio de políticas de uso de contas, controle de contas de usuários e gerenciamento de contas com privilégios;
• 5.d. Empregando MFA para todos os serviços na medida do possível, especialmente para webmail, redes privadas virtuais (VPNs) e contas que acessam sistemas críticos;
• 5.e. Implementando as boas práticas de segurança cibernética do CISA’s Cyber Essentials e do CISA-MS-ISAC Joint Ransomware Guide.

NOTA:Organizações que dependem de MSPs para gerenciamento remoto de sistemas de TI e SI, deve levar em consideração o gerenciamento de riscos e as práticas de higiene cibernética de seu MSP. Consulte o CISA Insights: Orientações para mitigações e proteção para MSPs e pequenas e médias empresas para obter orientações adicionais sobre como proteger sistemas contra ameaças cibernéticas, incluindo ransomware.

Protegendo Informações Sensíveis e Pessoais

Organizações que armazenam informações sensíveis ou pessoais de clientes ou funcionários são responsáveis ​​por protegê-las contra acesso ou exfiltração por ciberatores maliciosos. A CISA recomenda que as organizações:

1. Saiba quais informações pessoais e confidenciais estão armazenadas em seus sistemas e quem tem acesso a elas

• Limite os dados armazenando apenas as informações necessárias para as operações comerciais. Certifique-se de que os dados sejam descartados de forma adequada quando não forem mais necessários.

2. Implemente as melhores práticas de segurança física

Para mais informação sobre a importância da segurança física de ativos de TI, consulte:

• Proteção de informações pessoais: um guia para empresas (Federal Trade Comission)
• Segurança cibernética para pequenas empresas (Federal Trade Comission)
• Guia de convergência de segurança cibernética e segurança física (CISA)

3. Implemente as melhores práticas de segurança cibernética

• 3.a. Identificando os computadores ou servidores onde as informações pessoais confidenciais são armazenadas. Nota: não armazene dados confidenciais ou pessoais em sistemas ou laptops voltados à Internet, a menos que seja essencial para as operações comerciais. Se os laptops contiverem dados confidenciais, criptografe-os e treine os funcionários sobre a segurança física adequada do dispositivo;
• 3.b. Encriptando informações confidenciais em repouso e em trânsito;
• 3.c. Implementando firewalls para proteger redes e sistemas de tráfego de rede malicioso ou desnecessário;
• 3.d. Considerando a aplicação de segmentação de rede para proteger ainda mais os sistemas que armazenam informações confidenciais ou pessoais.

4. Garanta que seus planos de comunicação e resposta a incidentes cibernéticos incluam procedimentos de resposta e notificação para incidentes de violação de dados

Certifique-se de que os procedimentos de notificação estejam de acordo com as leis locais aplicáveis.

Respondendo a violações de dados causadas por ransomware

A CISA desencoraja fortemente o pagamento de resgate a criminosos. Pagar um resgate pode encorajar os adversários a visar organizações adicionais, encorajar outros atores criminosos a se envolverem na distribuição de ransomware e/ou pode financiar atividades ilícitas. Pagar o resgate também não garante que os arquivos da vítima serão recuperados.

Caso sua organização seja vítima de um incidente de ransomware e da violação de dados associada, recomendamos enfaticamente a implementação de um plano de resposta a incidentes cibernéticos e a tomada das seguintes ações.

1. Proteja as operações de rede e interrompa a perda de dados adicionais usando a lista de verificação a seguir, passando pelas etapas na sequência descrita abaixo

Nota: a CISA recomenda incluir esta lista de verificação como um anexo específico do ransomware nos planos de resposta a incidentes cibernéticos. Consulte o Guia Conjunto do Ransomware CISA-MS-ISAC para obter uma lista de verificação completa da resposta do ransomware.

• 1.a. Determine quais sistemas foram impactados e isole-os imediatamente. Se vários sistemas parecerem impactados, torne a rede offline no nível do switch. Se tornar a rede temporariamente off-line não for possível imediatamente, localize o cabo de rede (por exemplo, Ethernet) e desconecte-o dos dispositivos afetados da rede ou remova-os do Wi-Fi para conter a infecção;
• 1.b. Se – e somente se – os dispositivos afetados não puderem ser removidos da rede ou a rede não puder ser desligada temporariamente, desligue os dispositivos infectados para evitar a propagação da infecção por ransomware. Nota: esta etapa deve ser realizada apenas se necessário, pois pode resultar na perda de artefatos de infecção e possíveis evidências armazenadas na memória volátil;
• 1.c. Faça a triagem de sistemas impactados para restauração e recuperação. Priorize com base na criticidade.
• 1.d. Converse com sua equipe para desenvolver e documentar um entendimento inicial sobre o que ocorreu com base em uma análise preliminar;
• 1.e. Envolva suas equipes internas e externas e as partes interessadas para informá-los sobre como eles podem ajudá-lo a mitigar, responder e recuperar-se do incidente. Considere fortemente a solicitação da assistência de um provedor de resposta a incidentes terceirizado com experiência em violações de dados.

2. Se nenhuma ação de mitigação inicial parecer possível, faça uma imagem do sistema e uma captura de memória de uma amostra dos dispositivos afetados

Adicionalmente, colete todos os registros relevantes, bem como amostras de quaisquer binários de malware “precursores” e observáveis ​​associados ou indicadores de comprometimento. Nota: não destrua as evidências forenses e tome cuidado para preservar as evidências de natureza altamente volátil – ou de retenção limitada – para evitar perda ou adulteração.

3. Siga os requisitos de notificação conforme descrito em seu plano de resposta a incidentes cibernéticos

Siga os requisitos de notificação conforme descrito em seu plano de resposta a incidentes cibernéticos.

• Se as informações pessoais armazenadas em nome de outras empresas forem roubadas, notifique essas empresas sobre a violação;
• Se a violação envolver informações de identificação pessoal, notifique as pessoas afetadas para que possam tomar medidas a fim de reduzir a chance de que suas informações sejam utilizadas indevidamente. Informe às pessoas o tipo de informação exposta, recomende ações e forneça informações de contato relevantes;
• Se a violação envolver informações de saúde eletrônicas, você pode precisar notificar as autoridades e, em alguns casos, a mídia.
• Consulte o guia da FTC Resposta à violação de dados: um guia para negócios para obter mais orientações sobre como notificar empresas e indivíduos afetados.

4. Relate o incidente às autoridades locais

• Informe o ocorrido às autoridades competentes, procurando a delegacia de crimes cibernéticos mais próxima de seu local.

Para informações adicionais e orientação sobre respostas a violações de dados, consulte o FTC Data Breach Response: A Guide For Businesses.

Recursos Adicionais

• Para obter mais informações e recursos sobre proteção e resposta a ransomware, consulte StopRansomware.gov.
• O Ransomware Readiness Assessment (RRA) da CISA é uma autoavaliação gratuita com base em um conjunto de práticas em camadas para ajudar as organizações a avaliar melhor o quão bem estão equipadas para se defender e se recuperar de um incidente de ransomware.
• CISA Tip: Protecting Against Ransomware
• CISA Tip: Preventing and Responding to Identity Theft
• National Institute of Standards and Technology, National Cybersecurity Center of Excellence: Data Confidentiality: Detect, Respond to, and Recover from Data Breaches
• MS-ISAC: Ransomware: The Data Exfiltration and Double Extortion Trends
• FTC’s Ransomware Fact Sheet, Quiz, e Video de Cybersecurity For Small Business.

Resumo

O conjunto de boas práticas proposto pela CISA é uma excelente forma de prevenir organizações de ataques de ransomware, por meio da implementação de controles de segurança e a criação de um framework com o objetivo de prevenir, proteger e responder a ataques de ransomware. Seguindo estes três passo, sua organização estará com seus ativos e equipe devidamente preparados para enfrentar eventuais ataques de ransomware direcionados a ela.

O conjunto de boas práticas propõe uma série de medidas focadas em:

• Manutenção de backups criptografados, offline e regularmente testados;
• Criação, manutenção e execução de um plano básico de resposta a incidentes cibernéticos, um plano de resiliência e um plano de comunicações associado;
• Mitigação de riscos e vulnerabilidades cibernéticas;
• Redução da incidência de mensagens de phishing;
• Prática de uma boa higiene cibernética;
• Proteção de informações sensíveis e pessoais;
• Proteção de ativos e instalações;
• Comunicação do Incidente.

Como todo conjunto de controles de segurança, o gerenciamento e controle dos processos envolvidos neste conjunto de boas práticas podem ser realizados de forma manual, por meio do uso de planilhas ou de ferramentas de gestão de vulnerabilidade. Plataformas para governança de vulnerabilidades cibernéticas como o GAT Core, auxiliam na redução dos custos, aceleração dos processos e diminuição dos riscos enfrentados durante a operação de uma organização e da implementação de práticas de conformidade.

Acelerando e otimizando a gestão de riscos em cibersegurança com plataformas integradas

Como você deve imaginar, não é fácil controlar todos esses processos e informações. Afinal, estamos falando de processos pontuais e dinâmicos que não favorecem a rastreabilidade, definição de workflows e mesmo follow-ups da equipe sobre planos projetos. Muitas equipes tentam realizar um gerenciamento manual ou utilizando planilhas como controle, o que permite um grande número de falhas e falta de rastreabilidade. Por isso, a melhor solução para gerenciar seu projeto é utilizar uma plataforma de gestão integrada de Segurança da Informação e conformidade como o GAT Core. 

É possível importar planilhas na forma de um checklist associado a um projeto, garantindo consistência, integração e orquestração eficiente de dados, com métricas de evolução, economia de tempo e precisão. O GAT Core  também envia um questionário para coleta de dados de outras áreas da empresa e de terceiros, de forma prática, ágil e com rastreabilidade, auxiliando o preenchimento dos controles e reduzindo sensivelmente o tempo de adequação aos controles.

O GAT Core já inclui checklists de conformidade em cibersegurança e proteção de dados como CIS Controls V8, NIST, OWASP ASVS, ISO 27701, LGPD e outros, facilitando os processos e gerando economia significativa de custos. Para entender como funciona, solicite uma demonstração para obter uma visão integrada da gestão dos processos de conformidade. Agilize o processo de adequação e centralize todas as tarefas do seu Programa de Segurança no mesmo sistema — um avanço e tanto em relação às planilhas.