Ao olhar para a internet ao redor do mundo, é claro ver o aumento no números de empresas que foram atacadas por ransomware. Essa não é só uma percepção, mas está atestado pelos estudos feitos por inúmeros empresas de segurança digital.
Todos os meses surgem novos grupos com novas extensões de ransomware, com táticas cada vez mais abusivas para pressionar as vítimas ao pagamento do resgate.
O que começou por bloqueio por encriptação, levou ao vazamento dos dados em sites da Darknet, que levou a uma nova tática que é o leilão dos arquivos encriptados.
É claro ver as atualizações das táticas do grupos, que hoje terceirizam os ataques através do RaaS (Ransomware as a Service).
Ainda que os alvos mais cobiçados pelos grupos de ransomware sejam as grandes corporações, dispositivos pessoais também podem ser afetados.
Ainda que o funcionamento dos inúmeros ransomware que existem parecem ser idênticos, eles não são. Ainda que a funcionalidade básica de invadir, encriptar, bloquear e exigir resgate seja o mesmo em todos os ransomware, os caminhos até esse ponto podem variar.
A grande maioria dos ransomware só são capazes de atacar o sistema operacional Windows, e outros o sistema Linux, mas existem bem poucos que são capazes de atacar os dois sistemas, esse é um passo gigante para o avanço dos ataques.
Certo, diante de um cenário como esse, pode parecer que empresas estão a mercê de tais grupos, mas existe um caminho que difere dos caminhos propostos pelos no cibercriminosos, que é a o pagamento do resgate ou a exclusão total dos dados, a recuperação de dados encriptados, tal recuperação é feita por poucas empresas no mundo, entre elas estão a Digital Recovery e a Corvus, duas empresas que se destacam na capacidade de desenvolver tecnologias.
Mas antes de chegar ao ponto de precisar de uma empresa para recuperar os dados, é necessário tomar alguns cuidados, existe uma vasta gama de informações sobre isso na internet. Talvez a informação de como proceder após identificar o início do ataque e o que não fazer seja mais escassa.
Como recuperar arquivos que foram atacados por ransomware?
Ainda que exista a ideia de que não só é possível recuperar os arquivos encriptados com o pagamento do resgate, ela não é totalmente verdade, existe um caminho recém descoberto que leva a recuperação dos dados mesmo sem a chave de descriptografia.
Essa solução é recente, por isso, ainda há pessoas que a desconhecem, segundo um estudo da CISA (Cybersecurity and Infrastructure Security Agency) 80% das empresas optam pelo pagamento do resgate para recuperar os seus dados.
O pagamento do resgate não é recomendado pelas autoridades, que o desencoraja completamente, os resgates financiam os grupos e os dá o recursos necessários para expandir os ataques. Podendo trazer consequências legais para a empresa.
O ataque ransomware coloca a empresa em uma posição difícil e delicada, todos os cenários são danosos para a empresa, o vazamento, o pagamento do resgate e a paralisação do funcionamento.
Após a invasão do ransomware, a única coisa que resta à empresa é diminuir os estragos feitos pelo ataque. Dentre as opções viáveis, caso não haja um backup atualizado, a melhor é a recuperação de dados.
Ainda que essa opção não vá amenizar todas as consequências do ataque, a principal será resolvida, tendo os dados de volta podendo restabelecer o pleno funcionamento da empresa.
Diante desse cenário desastroso, o melhor a se fazer é criar precauções para não chegar a esse ponto. Precauções como:
- Implementar backups periódicos de todos os dados a serem armazenados como espaços de ar, protegidos por senha, cópias offline. Certifique-se de que essas cópias não estejam acessíveis para modificação ou exclusão a partir de qualquer sistema onde residam os dados originais.
- Implemente a segmentação da rede, de modo que todas as máquinas em sua rede não seja acessível a partir de qualquer outra máquina.
- Instale e atualize regularmente o software antivírus em todos os hosts, e habilite em tempo real detecção.
- Instalar sistemas operacionais, software e firmware de atualização/patch assim que atualizações/patches são lançadas.
- Revisar controladores de domínio, servidores, estações de trabalho e diretórios ativos para novos ou contas de usuário não reconhecidas.
- Auditar contas de usuários com privilégios administrativos e configurar controles de acesso com menos privilégios em mente. Não conceder privilégios administrativos a todos os usuários.
- Desativar portas de acesso remoto/Protocolo Remoto de Área de Trabalho (RDP) não utilizadas e monitorar registros de acesso remoto/DPR para qualquer atividade não usual.
- Considere adicionar um banner de e-mail aos e-mails recebidos de fora de sua organização.
- Desative os hyperlinks nos e-mails recebidos. Use dupla autenticação ao fazer login em contas ou serviços.
Conclusão
Os ataques ransomware têm crescido de forma assombrosa em todo o mundo, o que faz com que todas empresas sejam alvos viáveis para esses ataques. Os prejuízos causados por esses ataques podem facilmente chegar na casa dos milhões de dólares, dependendo do porte da empresa.
Além de se preocuparem com os arquivos que foram encriptados, as empresas também precisam se preocupar se os seus dados serão vazados na internet, o que pode chegar a multas astronômicas para a empresa.
Lembrando que após um ataque ransomware poucas coisas podem ser feitas, tudo o que será decidido a partir do ataque será para amenizar as perdas.
Diante de um cenário tão desastroso, a primeira coisa a se fazer é restabelecer o funcionamento pleno da empresa, e a melhor das decisões é a recuperação de dados feito por empresas especializadas.
