Como parar os ataques sofisticados de ransomware

O número e a frequência dos ciberataques de ransomware estão a crescer todos os anos. A Agência Europeia para a Cibersegurança (ENISA) registou um aumento de 150% só em 2020 e, desde o ano passado, os ataques de ransomware tornaram-se a ameaça número um. Além disso, os custos de recuperação e os tempos de paragem incorridos podem ser até 10 a 15 vezes superiores ao resgate exigido pelos cibercriminosos. Os números citados acima são apenas alguns dos principais factos e conclusões revelados pelo novo e-book da WatchGuard 'Escapar ao Labirinto do Ransomware'. 

A publicação também descreve como os hackers utilizam hoje em dia táticas sofisticadas para escapar às medidas tradicionais de deteção de ransomware e tirar partido de processos comummente utilizados para invadir os sistemas. Os criminosos movem-se lateralmente através da rede em busca de roubo de dados e oportunidades de encriptação. Uma vez obtido o que precisam, ameaçam vender ou divulgar os dados exfiltrados ou informações de autenticação se um resgate não for pago. O e-book estabelece os passos que os cibercriminosos maliciosos normalmente seguem para alcançar este objetivo:

1. Os hackers têm acesso à organização utilizando um dos seguintes vetores de ataque: roubo de palavra-chave, força bruta, vulnerabilidades de software ou phishing. 
2. Uma vez obtido o acesso inicial à rede, os atacantes tentarão encontrar identidades chave dentro da organização para obter credenciais de acesso que lhes permitam progredir, contornando, assim, as medidas tradicionais de cibersegurança.
3. Após a intrusão, utilizam várias ferramentas para levar a cabo o ciberataque. Ou entram com malware contendo um pacote com todas as ferramentas necessárias ou descarregam as ferramentas de que necessitam, estabelecendo a comunicação com um servidor de comando e controlo uma vez dentro do sistema. 
4. Na fase final do ciberataque, uma vez que o software de resgate já tenha sido descarregado e instalado no sistema, começa a fazer o que foi concebido para fazer. Tentará desativar as medidas de cibersegurança e extrair dados sensíveis, destruir cópias de segurança e, finalmente, desativar os sistemas e encriptar os dados da organização.

Tendo em conta estes perigos, como podem as organizações impedir os ciberataques de ransomware que utilizam técnicas cada vez mais sofisticadas, ocorrem com maior frequência e conseguem escapar às soluções tradicionais de cibersegurança com uma facilidade espantosa? O e-book responde a esta pergunta propondo várias boas práticas, tais como a implementação de cópias de segurança protegidas separadas da rede ligada da organização, a garantia de que os sistemas e software de terceiros são totalmente atualizados com os últimos patches e a gestão eficaz das senhas e permissões de acesso dentro da organização.

Mas adverte também que, embora estas medidas sejam preventivas, não são infalíveis e precisam de ser combinadas com uma solução abrangente de cibersegurança que possa detetar e responder a ameaças avançadas desta natureza. Esta solução deve incorporar tecnologias que se concentrem num modelo de zero-trust e basear as suas capacidades na proteção, deteção e resposta no endpoint, ajudando a reduzir a superfície de ataque através da correção de vulnerabilidades conhecidas. Também precisa de executar a gestão de identidade através de autenticação multifatorial (MFA), funcionalidades anti-phishing, anti-exploração, anti-manipulação e um serviço de classificação automática para processos e aplicações, juntamente com um serviço de threat hunting, de modo a que as ameaças sofisticadas possam ser detetadas proactivamente.