Ransomware é um tipo de ataque que utiliza um malware projetado para criptografar arquivos em dispositivos, restringindo o acesso ao sistema infectado com uma espécie de bloqueio, fazendo dos arquivos e sistemas que dependem deles inutilizáveis. Tradicionalmente, criminosos exigem resgates em criptomoedas (como em um sequestro) em troca da decriptografia dos dados, para que o acesso possa ser restabelecido. Caso não ocorra o mesmo, arquivos podem ser perdidos e até mesmo publicados. De acordo com um relatório da Cisco, este tipo de ataque dominou o mercado de ameaças digitais em 2017 e atualmente é o tipo de malware mais rentável da história, com o primeiro relato documental deste tipo de ataque sendo o WannaCry em 2005.
Com o tempo, os criminosos ajustaram suas táticas de ransomware para serem mais destrutivas e impactantes, extraindo dados e ameaçando vendê-los ou vazá-los (incluindo informações confidenciais ou pessoais) se o resgate não for pago. Tais violações de dados podem causar perdas financeiras para a organização vítima do ataque e minar seu valor de mercado e a confiança dos clientes, fornecedores e funcionários.
O ransomware é uma ameaça séria e crescente a todas as organizações governamentais e do setor privado, incluindo organizações de infraestrutura crítica. Em resposta, o governo dos Estados Unidos lançou o site StopRansomware.gov, uma página centralizada que fornece recursos, orientações e alertas de ransomware.
Não existe nenhuma fórmula mágica para evitar ataques cibernéticos, mas há uma série de conjuntos de boas práticas na forma de checklists (CIS Controls V8, OWASP ASVS), frameworks (ISO 27701, NIST Cibersecurity Framework), leis (LGPD) e regulações (BACEN 4.658/3.909), criados com o objetivo de auxiliar no desenvolvimento de programas de Segurança da Informação que adotem práticas de Governança de Vulnerabilidades Cibernéticas. Estes conjuntos de boas práticas têm como objetivo ajudar organizações nos processos de governança, avaliação seus programas de Segurança da Informação e até a avaliação do risco de segurança em terceiros.
Nesse artigo falamos sobre:
Um destes conjuntos de boas práticas, desenvolvido pela CISA – Cybersecurity & Infrastructure Security Agency (Agência de Cibersegurança e Segurança de Infraestrutura dos EUA), tem como objetivo ajudar a evitar e mitigar os efeitos de ataques de ransomware. Entitulado “Protecting Sensitive and Personal Information from Ransomware–Caused Data Breaches” (Protegendo Informações Sensíveis e Pessoais de Violações Causadas por Ransomware), o material divulgado é o resultado de anos de estudo em que a agência e seus parceiros responderam a um número significativo de incidentes de ransomware, incluindo ataques recentes contra a Colonial Pipeline e a Kaseya, afetando provedores de serviços críticos, serviços gerenciados de segurança (MSPs) e seus clientes.
As medidas preventivas sugeridas pela agência podem ser divididas em três grandes passos compostos por grupos de controles de segurança que, quando executados em conjunto, fornecem um nível de preparo adequado para mitigar ou anular impactos resultantes de um ataque de ransomware.
Neste conjunto de boas práticas, a CISA lista uma série de controles de segurança que podem ser dividos em grupos com objetivos distintos:
Todas as organizações correm o risco de serem vítimas de um incidente de ransomware e são responsáveis por proteger os dados confidenciais e pessoais armazenados em seus sistemas. Pensando nisso, oferecemos nesse post informações para todas as organizações governamentais e do setor privado, incluindo organizações de infraestrutura crítica, sobre como prevenir e responder a violações de dados causadas por ransomware. Incentivamos as organizações a adotar um estado de maior consciência e implementar as recomendações abaixo, além de implementar um plano de higiene cibernética e um plano de resposta a incidentes.
NOTA: Alguns itens foram adaptados para adequarem-se ao cenário brasileiro.
Os procedimentos de backup devem ser realizados regularmente. É importante que os backups sejam mantidos offline, pois muitas variantes do ransomware tentam localizar, excluir ou criptografar backups acessíveis.
NOTA:Organizações que dependem de MSPs para gerenciamento remoto de sistemas de TI e SI, deve levar em consideração o gerenciamento de riscos e as práticas de higiene cibernética de seu MSP. Consulte o CISA Insights: Orientações para mitigações e proteção para MSPs e pequenas e médias empresas para obter orientações adicionais sobre como proteger sistemas contra ameaças cibernéticas, incluindo ransomware.
Organizações que armazenam informações sensíveis ou pessoais de clientes ou funcionários são responsáveis por protegê-las contra acesso ou exfiltração por ciberatores maliciosos. A CISA recomenda que as organizações:
Para mais informação sobre a importância da segurança física de ativos de TI, consulte:
Certifique-se de que os procedimentos de notificação estejam de acordo com as leis locais aplicáveis.
A CISA desencoraja fortemente o pagamento de resgate a criminosos. Pagar um resgate pode encorajar os adversários a visar organizações adicionais, encorajar outros atores criminosos a se envolverem na distribuição de ransomware e/ou pode financiar atividades ilícitas. Pagar o resgate também não garante que os arquivos da vítima serão recuperados.
Caso sua organização seja vítima de um incidente de ransomware e da violação de dados associada, recomendamos enfaticamente a implementação de um plano de resposta a incidentes cibernéticos e a tomada das seguintes ações.
Nota: a CISA recomenda incluir esta lista de verificação como um anexo específico do ransomware nos planos de resposta a incidentes cibernéticos. Consulte o Guia Conjunto do Ransomware CISA-MS-ISAC para obter uma lista de verificação completa da resposta do ransomware.
Adicionalmente, colete todos os registros relevantes, bem como amostras de quaisquer binários de malware “precursores” e observáveis associados ou indicadores de comprometimento. Nota: não destrua as evidências forenses e tome cuidado para preservar as evidências de natureza altamente volátil – ou de retenção limitada – para evitar perda ou adulteração.
Siga os requisitos de notificação conforme descrito em seu plano de resposta a incidentes cibernéticos.
Para informações adicionais e orientação sobre respostas a violações de dados, consulte o FTC Data Breach Response: A Guide For Businesses.
O conjunto de boas práticas proposto pela CISA é uma excelente forma de prevenir organizações de ataques de ransomware, por meio da implementação de controles de segurança e a criação de um framework com o objetivo de prevenir, proteger e responder a ataques de ransomware. Seguindo estes três passo, sua organização estará com seus ativos e equipe devidamente preparados para enfrentar eventuais ataques de ransomware direcionados a ela.
O conjunto de boas práticas propõe uma série de medidas focadas em:
Como todo conjunto de controles de segurança, o gerenciamento e controle dos processos envolvidos neste conjunto de boas práticas podem ser realizados de forma manual, por meio do uso de planilhas ou de ferramentas de gestão de vulnerabilidade. Plataformas para governança de vulnerabilidades cibernéticas como o GAT Core, auxiliam na redução dos custos, aceleração dos processos e diminuição dos riscos enfrentados durante a operação de uma organização e da implementação de práticas de conformidade.
Como você deve imaginar, não é fácil controlar todos esses processos e informações. Afinal, estamos falando de processos pontuais e dinâmicos que não favorecem a rastreabilidade, definição de workflows e mesmo follow-ups da equipe sobre planos projetos. Muitas equipes tentam realizar um gerenciamento manual ou utilizando planilhas como controle, o que permite um grande número de falhas e falta de rastreabilidade. Por isso, a melhor solução para gerenciar seu projeto é utilizar uma plataforma de gestão integrada de Segurança da Informação e conformidade como o GAT Core.
É possível importar planilhas na forma de um checklist associado a um projeto, garantindo consistência, integração e orquestração eficiente de dados, com métricas de evolução, economia de tempo e precisão. O GAT Core também envia um questionário para coleta de dados de outras áreas da empresa e de terceiros, de forma prática, ágil e com rastreabilidade, auxiliando o preenchimento dos controles e reduzindo sensivelmente o tempo de adequação aos controles.
O GAT Core já inclui checklists de conformidade em cibersegurança e proteção de dados como CIS Controls V8, NIST, OWASP ASVS, ISO 27701, LGPD e outros, facilitando os processos e gerando economia significativa de custos. Para entender como funciona, solicite uma demonstração para obter uma visão integrada da gestão dos processos de conformidade. Agilize o processo de adequação e centralize todas as tarefas do seu Programa de Segurança no mesmo sistema — um avanço e tanto em relação às planilhas.