Fonte: Fortinet
Identificação da variante do ataque e localização dos backups estão entre as ações recomendadas
Os ataques de ransomware estão cada vez mais frequentes. De acordo com o relatório global de ameaças do FortiGuard Labs, da Fortinet, esse crime aumentou sete vezes na última metade de 2020 e se tornou ainda mais extensivo, atingindo quase todos os setores e países do mundo.
Ao mesmo tempo, as táticas dos criminosos mudam constantemente e já não basta possuir as estratégias defensivas corretas, mas avaliar continuamente as políticas de segurança, para garantir que as redes possuam as respostas atualizadas contra esse tipo de ataque.
Com isso em mente, a Fortinet preparou um checklist para ajudar organizações a lidarem com um ataque de ransomware quando ele acontecer:
- Execute o plano de RI: Se disponível, comece a executar seu plano de resposta a incidentes (RI) imediatamente. Se você não tiver um, as etapas abaixo podem ajudar. Em alternativa, contate o seu fornecedor de segurança para obter ajuda ou reporte o incidente à sua companhia de seguros; eles podem já ter uma lista de provedores de segurança especializados que podem ajudá-lo. Considere o potencial impacto que o incidente de segurança pode ter.
- sole seus sistemas e interrompa a propagação: Existem várias técnicas para isolar a ameaça e impedir que ela se espalhe. Primeiro, identifique o alcance do ataque. Se o incidente já for generalizado, implemente bloqueios no nível da rede, como isolar o tráfego no switch ou na borda do firewall, ou considere desligar temporariamente a conexão com a Internet. Se disponível, a tecnologia de detecção e resposta de endpoint (EDR) pode bloquear o ataque no nível do processo, o que seria a melhor opção imediata com o mínimo de interrupção dos negócios. A maioria dos invasores de ransomware encontra uma vulnerabilidade para entrar em sua organização, como RDP exposto e e-mails de phishing.
- Identifique a variante do ransomware: Muitas das táticas, técnicas e procedimentos (TTPs) de cada variante de ransomware estão documentados publicamente. Determinar com qual cepa você está lidando pode dar pistas sobre a localização da ameaça e como ela está se espalhando. Dependendo da variante, algumas ferramentas de descriptografia podem já estar disponíveis para você quebrar a criptografia de seus arquivos.
- Identifique o acesso inicial: Determinar o ponto de acesso inicial, ou o primeiro sistema comprometido, ajudará a identificar e fechar a brecha em sua segurança. Os vetores de acesso inicial comuns são phishing, exploits em seus serviços de borda (como serviços de Área de Trabalho Remota) e o uso não autorizado de credenciais. Determinar o ponto inicial de acesso às vezes é difícil e pode exigir a experiência de equipes forenses digitais e especialistas em RI.
- Identifique todos os sistemas e contas infectados (escopo): Identifique qualquer malware ativo ou sobras persistentes em sistemas que ainda estão se comunicando com o servidor de comando e controle (C2). As técnicas de persistência comuns incluem a criação de novos processos que executam a carga maliciosa, o uso de chaves de registro de execução ou a criação de novas tarefas programadas.
- Descubra se os dados foram exfiltrados: Muitas vezes, os ataques de ransomware não apenas criptografam seus arquivos, mas também exfiltram seus dados. Eles farão isso para aumentar as chances de pagamento de resgate, ameaçando postar dados proprietários ou embaraçosos online. Procure por sinais de exfiltração de dados, como grandes transferências de dados em seus dispositivos de borda de firewall. Procure comunicações estranhas de servidores que vão para aplicações de armazenamento em nuvem.
- Localize seus backups e determine a integridade: Um ataque de ransomware tentará limpar seus backups online e cópias de sombra de volume para diminuir as chances de recuperação de dados. Por isso, certifique-se de que sua tecnologia de backup não foi afetada pelo incidente e ainda está operacional. Os invasores geralmente ficam em sua rede por dias, se não semanas, antes de decidirem criptografar seus arquivos. Isso significa que backups podem conter cargas maliciosas e que não podem ser restaurados para um sistema limpo. Analise seus backups para determinar sua integridade.
- Limpe os sistemas ou crie novas arquiteturas: Se existe confiança na capacidade de identificar todos os malwares ativos e incidentes de persistência em seus sistemas, então talvez não seja necessário reconstrui-los. No entanto, pode ser mais fácil e seguro criar sistemas novos e limpos. Você pode até considerar a construção de um ambiente limpo e totalmente separado para o qual poderá então migrar. Isso não costuma demorar muito em um ambiente virtual. Ao reconstruir ou higienizar sua rede, certifique-se de que os controles de segurança apropriados estejam instalados e de que estejam seguindo as práticas recomendadas para garantir que os dispositivos não sejam infectados novamente.
- Reporte o incidente: É importante relatar o incidente. É preciso também determinar se o relato às autoridades legais é necessário e obrigatório. Sua equipe jurídica pode ajudar a resolver quaisquer obrigações legais em torno de dados regulamentados. Se o ataque for grave e sua empresa abranger várias regiões geográficas, você pode precisar entrar em contato com os serviços de aplicação da lei nacionais e não locais.
- Pagando o resgate?: As autoridades policiais desaconselham o pagamento do resgate, no entanto, se você estiver pensando em fazê-lo, deverá contratar uma empresa de segurança com habilidades especializadas para ajudá-lo. Além disso, pagar o resgate não corrigirá as vulnerabilidades exploradas pelos invasores, portanto, certifique-se de ter identificado o acesso inicial e fechado as brechas.
- Conduza uma revisão pós-incidente: Analise sua resposta ao incidente para entender o que deu certo e para documentar oportunidades de melhoria. Isso garante a melhoria contínua de suas capacidades de resposta e recuperação para o futuro. Considere simular os detalhes técnicos e não técnicos do ataque para que você possa revisar suas opções.
“Quando ocorre um ataque de ransomware, tomar as medidas corretas é essencial para minimizar o impacto sobre a equipe e a organização”, explica Alexandre Bonatti, diretor de Engenharia da Fortinet Brasil. “Depois que um ataque ocorre, o pânico pode se espalhar pela empresa e criar problemas maiores. Os CISOs sabem que sobreviver a um ataque de ransomware requer um plano de resposta a incidentes, mas o desafio está na hora de documentar um plano completo e ter os recursos certos para implementá-lo quando necessário.”