Como lidar com um ataque de ransomware – Blog da IBM

É a notícia que nenhuma organização quer ouvir: você foi vítima de um ransomware ataque, e agora você está se perguntando o que fazer a seguir. 

A primeira coisa a ter em mente é que você não está sozinho. Mais de 17% de todos os ataques cibernéticos envolvem ransomware-um tipo de malwares que mantém os dados ou o dispositivo da vítima bloqueados, a menos que a vítima pague um resgate ao hacker. Das 1,350 organizações pesquisadas em um estudo recente, 78 por cento sofreram um ataque de ransomware bem-sucedido (o link reside fora de ibm.com).

Os ataques de ransomware usam vários métodos, ou vetores, para infectar redes ou dispositivos, incluindo enganar indivíduos para que cliquem em links maliciosos usando Phishing e-mails e exploração de vulnerabilidades em software e sistemas operacionais, como acesso remoto. Os cibercriminosos normalmente solicitam pagamentos de resgate em Bitcoin e outras criptomoedas difíceis de rastrear, fornecendo às vítimas chaves de descriptografia no pagamento para desbloquear seus dispositivos.

A boa notícia é que, no caso de um ataque de ransomware, existem etapas básicas que qualquer organização pode seguir para ajudar a conter o ataque, proteger informações confidenciais e garantir a continuidade dos negócios, minimizando o tempo de inatividade.

Resposta inicial

Isolar os sistemas afetados 

Como as variantes de ransomware mais comuns verificam as redes em busca de vulnerabilidades que se propaguem lateralmente, é fundamental que os sistemas afetados sejam isolados o mais rápido possível. Desconecte a Ethernet e desative o WiFi, o Bluetooth e quaisquer outros recursos de rede para qualquer dispositivo infectado ou potencialmente infectado.

Duas outras etapas a serem consideradas: 

• Desligando tarefas de manutenção. Desative imediatamente tarefas automáticas (por exemplo, exclusão de arquivos temporários ou rotação de logs) nos sistemas afetados. Essas tarefas podem interferir nos arquivos e dificultar a investigação e recuperação de ransomware. 
• Desconectando backups. Como muitos novos tipos de ransomware têm como alvo backups para dificultar a recuperação, mantenha os backups de dados off-line. Limite o acesso aos sistemas de backup até remover a infecção.

Fotografe a nota de resgate

Antes de prosseguir com qualquer outra coisa, tire uma foto da nota de resgate – de preferência fotografando a tela do dispositivo afetado com um dispositivo separado, como um smartphone ou uma câmera. A foto agilizará o processo de recuperação e ajudará no preenchimento de um boletim de ocorrência ou em uma possível reclamação junto à sua seguradora.

Notifique a equipe de segurança

Depois de desconectar os sistemas afetados, notifique seu segurança de TI equipe do ataque. Na maioria dos casos, os profissionais de segurança de TI podem aconselhar sobre os próximos passos e ativar a segurança da sua organização. resposta a incidentes plano, ou seja, os processos e tecnologias da sua organização para detectar e responder a ataques cibernéticos.

Não reinicie os dispositivos afetados

Ao lidar com ransomware, evite reiniciar dispositivos infectados. Os hackers sabem que esse pode ser o seu primeiro instinto, e alguns tipos de ransomware percebem tentativas de reinicialização e causam danos adicionais, como danificar o Windows ou excluir arquivos criptografados. A reinicialização também pode dificultar a investigação de ataques de ransomware – pistas valiosas são armazenadas na memória do computador, que é apagada durante a reinicialização. 

Em vez disso, coloque os sistemas afetados em hibernação. Isso salvará todos os dados da memória em um arquivo de referência no disco rígido do dispositivo, preservando-os para análises futuras.

Erradicação 

Agora que você isolou os dispositivos afetados, provavelmente está ansioso para desbloquear seus dispositivos e recuperar seus dados. Embora a erradicação de infecções por ransomware possa ser complicada de gerenciar, especialmente as cepas mais avançadas, as etapas a seguir podem iniciar você no caminho da recuperação. 

Determine a variante de ataque

Várias ferramentas gratuitas podem ajudar a identificar o tipo de ransomware que está infectando seus dispositivos. Conhecer a cepa específica pode ajudá-lo a compreender vários fatores importantes, incluindo como ela se espalha, quais arquivos ela bloqueia e como você pode removê-la. Basta fazer upload de uma amostra do arquivo criptografado e, se os tiver, uma nota de resgate e as informações de contato do invasor. 

Os dois tipos mais comuns de ransomware são bloqueadores de tela e criptografadores. Os armários de tela bloqueiam seu sistema, mas mantêm seus arquivos seguros até você pagar, enquanto os criptografadores são mais difíceis de resolver, pois encontram e criptografam todos os seus dados confidenciais e só os descriptografam após você efetuar o pagamento do resgate. 

Procure por ferramentas de descriptografia

Depois de identificar a cepa do ransomware, considere procurar ferramentas de descriptografia. Existem também ferramentas gratuitas para ajudar nesta etapa, incluindo sites como Não mais resgate. Basta inserir o nome da variedade de ransomware e procurar a descriptografia correspondente. 

Baixe o Guia Definitivo para Ransomware

Recuperacao 

Se você teve a sorte de remover a infecção do ransomware, é hora de iniciar o processo de recuperação.

Comece atualizando as senhas do sistema e, em seguida, recupere os dados dos backups. Você deve sempre ter três cópias de seus dados em dois formatos diferentes, com uma cópia armazenada externamente. Essa abordagem, conhecida como regra 3-2-1, permite restaurar seus dados rapidamente e evitar pagamentos de resgate. 

Após o ataque, você também deve considerar a realização de uma auditoria de segurança e a atualização de todos os sistemas. Manter os sistemas atualizados ajuda a evitar que hackers explorem vulnerabilidades encontradas em softwares mais antigos, e a aplicação regular de patches mantém suas máquinas atualizadas, estáveis ​​e resistentes a ameaças de malware. Você também pode querer refinar seu plano de resposta a incidentes com quaisquer lições aprendidas e certificar-se de ter comunicado o incidente de forma suficiente a todas as partes interessadas necessárias. 

Autoridades notificadoras 

Como o ransomware é uma extorsão e um crime, você deve sempre denunciar ataques de ransomware às autoridades policiais ou ao FBI. 

As autoridades poderão ajudar a descriptografar seus arquivos se seus esforços de recuperação não funcionarem. Mas mesmo que não consigam guardar os seus dados, é fundamental que cataloguem a actividade cibercriminosa e, esperançosamente, ajudem outros a evitar destinos semelhantes. 

Algumas vítimas de ataques de ransomware também podem ser legalmente obrigadas a denunciar infecções de ransomware. Por exemplo, a conformidade com a HIPAA geralmente exige que as entidades de saúde relatem qualquer violação de dados, incluindo ataques de ransomware, ao Departamento de Saúde e Serviços Humanos.

Decidindo se vai pagar 

Decidindo se deve fazer um pagamento de resgate é uma decisão complexa. A maioria dos especialistas sugere que você só deve considerar pagar se tiver tentado todas as outras opções e a perda de dados for significativamente mais prejudicial do que o pagamento.

Independentemente da sua decisão, você deve sempre consultar as autoridades policiais e profissionais de segurança cibernética antes de prosseguir.

Pagar um resgate não garante que você recuperará o acesso aos seus dados ou que os invasores cumprirão suas promessas – as vítimas geralmente pagam o resgate, apenas para nunca receberem a chave de descriptografia. Além disso, o pagamento de resgates perpetua a atividade cibercriminosa e pode financiar ainda mais os crimes cibernéticos.

Prevenir futuros ataques de ransomware

Ferramentas de segurança de e-mail e software antimalware e antivírus são as primeiras linhas de defesa críticas contra ataques de ransomware.

As organizações também contam com ferramentas avançadas de segurança de endpoint, como firewalls, VPNs e Autenticação multifatorial como parte de uma estratégia mais ampla de proteção de dados para defesa contra violações de dados.

No entanto, nenhum sistema de segurança cibernética está completo sem capacidades de detecção de ameaças e resposta a incidentes de última geração para capturar criminosos cibernéticos em tempo real e mitigar o impacto de ataques cibernéticos bem-sucedidos.

O IBM Security® QRadar® SIEM aplica machine learning e análise de comportamento do usuário (UBA) ao tráfego de rede juntamente com logs tradicionais para detecção de ameaças mais inteligente e correção mais rápida. Em um estudo recente da Forrester, o QRadar SIEM ajudou os analistas de segurança a economizar mais de 14,000 horas ao longo de três anos identificando falsos positivos, reduzindo o tempo gasto na investigação de incidentes em 90% e reduzindo o risco de sofrer uma violação grave de segurança em 60%.* Com o QRadar SIEM, as equipes de segurança com recursos limitados têm a visibilidade e as análises necessárias para detectar ameaças rapidamente e tomar medidas imediatas e informadas para minimizar os efeitos de um ataque.

Saiba mais sobre o IBM QRadar SIEM

*O Total Economic ImpactTM do IBM Security QRadar SIEM é um estudo encomendado conduzido pela Forrester Consulting em nome da IBM, abril de 2023. Baseado em resultados projetados de uma organização composta modelada a partir de 4 clientes IBM entrevistados. Os resultados reais variarão com base nas configurações e condições do cliente e, portanto, os resultados geralmente esperados não podem ser fornecidos.