Ransomware é uma forma de payload malicioso que melhor descreve a intenção maliciosa de agentes de ameaças que procuram extorquir um pagamento da vítima porque assumiram com sucesso o controle dos dados ou sistemas da vítima. A criptomoeda geralmente é solicitada para o pagamento do resgate.
O invasor poderá usar vários vetores de ataque e a falha no pagamento poderá ter consequências, incluindo as seguintes ameaças:
Em geral, os agentes maliciosos procurarão obter pagamentos porque suas ações podem comprometer os sistemas de TI e afetar negativamente as operações normais de suas vítimas. Embora o malware seja um dos principais métodos de ataque, vários incidentes de ransomware ocorreram sem o uso de malware – por exemplo, incidentes de ransomware com extorsão cibernética ameaçando um ataque de negação de serviço (DoS) ou uma desfiguração de site. O ransomware como serviço (RWaaS) também surgiu, onde os agentes de ameaças criaram um modelo de negócios para lançar um ataque direcionado contra um indivíduo ou empresa como serviço – por uma taxa.
O ransomware é comumente entregue por meio de emails de phishing ou downloads “drive by”. Emails de phishing parecem legítimos e confiáveis e atraem a vítima para clicar em um link malicioso ou abrir um anexo. Um download drive-by é um programa que é automaticamente baixado a partir da internet sem o consentimento dos usuários e sem seu conhecimento. É possível que o código malicioso possa ser executado após o download, sem qualquer interação do usuário. Depois que o código malicioso é executado, o computador do usuário é infectado com ransomware.
Ransomware então identifica as unidades em um sistema infectado e começa a criptografar os arquivos dentro de cada unidade. A criptografia geralmente vem com uma extensão exclusiva aos arquivos criptografados, como .aaa, .micro, .encrypted, .ttt, .xyz, .zzz, .locky, .crypt, .cryptolocker, .vault ou .petya. Uma vez que a criptografia é completa, o ransomware cria e exibe um arquivo ou conjunto de arquivos contendo informações e instruções sobre os termos do ataque ransomware. Por exemplo, uma vez que a vítima cumpre os termos do ransomware, o agente da ameaça pode fornecer uma chave criptográfica para a vítima desbloquear arquivos criptografados.
A higiene básica da segurança e práticas operacionais saudáveis podem ajudar as organizações a evitar incidentes de ransomware e limitar a perda financeira, o tempo de inatividade e a interrupção.
Existem vários pontos de vulnerabilidade entre os próprios usuários de uma organização. As organizações se beneficiariam ao educar usuários individuais sobre práticas seguras de email e navegação na Internet. A educação sobre o uso seguro de plataformas de mídia social também é importante para que os usuários estejam cientes de que um agente de ameaças mal-intencionado pode usar informações disponíveis publicamente sobre eles para atingi-los ou a outros em sua organização.
Para reforçar práticas seguras, as organizações podem implementar controles técnicos para os vários sistemas que os invasores usam para propagar malware ativado. Exemplos de controles técnicos incluem:
Além de executar produtos de proteção de ponto final atualizados, as organizações devem ter sistemas de IAM (Identity and Access Management, Gerenciamento de identidade e acesso) implementados, com uma abordagem de segurança de confiança zero. Com autenticação forte e princípios de privilégio mínimo impostos, as organizações podem manter um controle estrito sobre sistemas críticos e armazenamentos de dados confidenciais.
Juntamente com controles de acesso rigorosos, as organizações devem impor limitações para ferramentas de colaboração, recursos de compartilhamento de arquivos e outros sistemas acessados com frequência. As organizações podem enfrentar desafios adicionais de autenticação quando e quando apropriado. A eliminação de logins anônimos, contas genéricas e o uso de credenciais fracas, combinado com controle estrito sobre contas privilegiadas, como sistema operacional root e administrador ou contas DBA, é fundamental para manter uma forte postura de segurança.
As organizações devem definir e manter linhas de base de configuração de segurança conhecidas e implementar sistemas de acordo com as diretrizes de configuração de segurança. Como as cargas maliciosas geralmente visam vulnerabilidades de software conhecidas, é importante aplicar patches de segurança imediatamente.
Por fim, outra prática recomendada que ajudará uma organização a se recuperar do ransomware é armazenar backups separadamente e em um sistema operacional diferente para que eles não possam ser acessados pela rede.
Depois que as organizações descobrem o ransomware, elas devem tentar limitar a propagação do payload malicioso ao:
Para limitar o impacto de um ataque de ransomware, os planos de remediação de uma organização devem incluir a provisão para backups frequentes e seguros com procedimentos de recuperação eficazes e verificados. Antes de restaurar sistemas, as organizações devem determinar dentro de um nível razoável de confiança quando e como o compromisso inicial ocorreu. Sem a devida diligência, as organizações vitimizadas podem inadvertidamente restaurar o compromisso e restabelecer a infestação durante a recuperação inicial. Com isso em mente, pode ser necessário realizar uma análise de custo-benefício antes de escolher entre restaurar para um estado mais antigo, mas conhecido como seguro, ou restaurar para um estado mais recente, mas possivelmente infectado, para minimizar a interrupção dos negócios. Como alguns malwares são conhecidos por direcionar arquivos e recursos de backup, as organizações também precisam garantir um controle eficaz sobre eles.