Como evitar o ransomware

Fazer backup de dados, atualizar regularmente o software e usar uma abordagem de segurança Zero Trust são, todas elas, formas de evitar que as infecções por ransomware derrubem uma rede.

Objetivos de aprendizado

Após ler este artigo, você será capaz de:

  • Identifique as principais estratégias para deter os ransomwares
  • Saiba como evitar um possível ataque de ransomware
  • Explique quais são os melhores modelos de segurança de rede para bloquear as infecções por ransomware

Copiar o link do artigo

Como evitar ransomware

Ransomware é uma ameaça cada vez maior — mas as boas práticas de segurança, como atualizações regulares de software, backups de dados frequentes e treinamento de usuários sobre segurança de e-mail, podem diminuir as chances de que isso tenha impacto sobre uma organização.

O ransomware é um tipo de software malicioso, ou malware, que bloqueia arquivos e dados e os retém para resgate. Ele normalmente faz isso criptografando os arquivos e dados e o invasor mantém a chave de criptografia. O ransomware pode entrar em uma rede de várias maneiras diferentes, desde e-mails maliciosos a explorações de vulnerabilidades até o piggybacking em outras infecções por malware.

Não há uma maneira 100% infalível de evitar a entrada de ransomware em uma rede, mas tomar as medidas abaixo pode reduzir enormemente o risco de ataque.

Atualizar o software regularmente

Uma maneira comum de o ransomware entrar e se espalhar em uma rede é explorando vulnerabilidades em softwares desatualizados. Uma "vulnerabilidade" é uma falha de software que alguém pode usar para fins maliciosos. Conforme as vulnerabilidades são descobertas, os fornecedores de software regularmente emitem correções para eles na forma de atualizações de software. Não atualizar sistemas operacionais e aplicativos regularmente é como deixar a porta da frente de uma casa destrancada e permitir que os ladrões entrem direto.

Por exemplo, em maio de 2017, o ransomware WannaCry usou a famosa vulnerabilidade "EternalBlue" para se espalhar por mais de 200.000 computadores, apesar de a Microsoft ter emitido anteriormente um patch para essa vulnerabilidade.

Os ataques de ransomware também exploram vulnerabilidades para se espalharem dentro de uma rede, quando já estão dentro. Por exemplo, o ransomware Maze procura vulnerabilidades para explorar quando já esteja em uma rede, depois usa essas vulnerabilidades para infectar o maior número possível de máquinas.

Para ajudar a evitar ransomware, junto com muitos outros tipos de ataques, atualize o software com a maior frequência possível. Isso corrigirá vulnerabilidades, essencialmente trancando novamente a porta da frente para que os criminosos (ou atacantes de ransomware) não possam entrar.

Usar autenticação de dois fatores (2FA)

Muitos ataques de ransomware começam com uma campanha de phishing: eles obtêm credenciais de usuário (nome de usuário e senha) e, em seguida, usam essas credenciais para entrar e se mover em uma rede. Em outros casos, os invasores de ransomware tentam usar credenciais padrão conhecidas até encontrarem um servidor ou rede que usa essas credenciais e, assim, obter acesso. (Ataques do Maze usaram essa técnica.)

Autenticação de dois fatores (2FA) é uma abordagem mais segura para autenticar os usuários. A 2FA envolve a verificação de um fator adicional, tal como um token de hardware que só o usuário autêntico possui. Desta forma, mesmo que um invasor consiga roubar uma combinação de nome de usuário e senha, ele ainda não consegue ter acesso à rede.

Mantenha o e-mail interno seguro

Há uma variedade de métodos que os ataques de ransomware usam para comprometer dispositivos e redes, mas o e-mail ainda é um dos mais usados. Muitos ataques de ransomware começam com um ataque de phishing, um ataque de spear phishing , ou um trojan escondido dentro de um anexo de e-mail malicioso.

A segurança do e-mail envolve duas áreas principais:

  1. Filtragem de e-mails e anexos de e-mails de fontes não confiáveis
  2. Treinar os usuários para evitar clicar em links e baixar ou abrir anexos de e-mails possivelmente perigosos

Implementar a segurança de endpoint

A segurança de endpoint é o processo de proteger dispositivos como notebooks, computadores desktops, tablets e smartphones contra ataques. A segurança do endpoint envolve o seguinte:

  • O software antimalware pode detectar o ransomware em dispositivos e depois colocar em quarentena os dispositivos infectados para evitar que o malware se propague. Além disso, alguns ataques de ransomware se espalham através de infecções pré-existentes por malware — por exemplo, o ransomware Ryuk frequentemente entra em redes através de dispositivos que já estão infectados com o malware TrickBot. O antimalware pode ajudar a eliminar essas infecções antes que elas levem ao ransomware. (No entanto, o antimalware é de pouca ajuda uma vez que o ransomware está ativado e já tem arquivos e dados criptografados).
  • O controle de aplicativos ajuda a impedir que os usuários instalem aplicativos falsos ou comprometidos pelo invasor que contenham ransomware.
  • A criptografia do disco rígido não ajuda a parar o ransomware, mas é uma parte importante da segurança do endpoint, pois impede que partes não autorizadas roubem dados.

Leia mais sobre segurança de endpoint.

Faça o back up de arquivos e dados

O backup regular de arquivos e dados é uma prática recomendada bem conhecida para se preparar para um possível ataque de ransomware. Em muitos casos, uma organização pode restaurar seus dados de um backup em vez de pagar o resgate para descriptografá-los ou reconstruir toda a infraestrutura de TI do zero.

Mesmo que o backup de dados não evite o ransomware, ele pode ajudar uma organização a se recuperar de um ataque de ransomware mais rapidamente. No entanto, o backup também pode ser infectado, a menos que seja particionado do restante da rede.

Use um modelo Zero Trust

Muitas organizações pensam em suas redes como um castelo cercado por um fosso. Medidas defensivas que protegem o perímetro da rede , como firewalls e sistemas de prevenção de intrusão (IPS), mantêm os atacantes fora — assim como um fosso mantinha as forças invasoras fora de um castelo na Idade Média.

No entanto, as organizações que adotam essa abordagem de castelo e fosso para a segurança são altamente vulneráveis a ataques de ransomware. O fato é que os invasores regularmente conseguem violar o "fosso" por meio de uma variedade de métodos e, uma vez dentro, praticamente têm liberdade para infectar e criptografar toda a rede.

Uma abordagem melhor para a segurança da rede é assumir que existem ameaças dentro e fora do "castelo". Esta filosofia chama-se Zero Trust.

Os modelos de segurança Zero Trust mantêm controles de acesso rígidos e não confiam em nenhuma pessoa ou máquina por padrão, mesmo em usuários e dispositivos dentro do perímetro da rede. Como o Zero Trust monitora continuamente e reautentica regularmente os usuários e dispositivos, ele pode impedir que infecções de ransomware se espalhem, revogando o acesso à rede e ao aplicativo assim que uma infecção for detectada. A Zero Trust também segue um princípio de "privilégio mínimo" para controle de acesso, tornando difícil para o ransomware escalar seus privilégios e obter controle sobre uma rede.

O Cloudflare One é uma plataforma de rede como serviço (NaaS) Zero Trust. Ele combina serviços de segurança e rede para conectar com segurança usuários remotos, escritórios e data centers (um modelo conhecido como SASE, ou Serviço de Acesso Seguro de Borda).

Deseja saber mais sobre ransomware? Se aprofunde no tema com estes artigos: