Como evitar ataques de ransomware

Como evitar ataques de ransomware

Ransomware é uma ameaça cada vez maior — mas as boas práticas de segurança, como atualizações regulares de software, backups de dados frequentes e treinamento de usuários sobre segurança de e-mail, podem diminuir as chances de que isso tenha impacto sobre uma organização.

O ransomware é um tipo de software malicioso, ou malware, que bloqueia arquivos e dados e os retém para resgate. Ele normalmente faz isso criptografando os arquivos e dados e o invasor mantém a chave de criptografia. O ransomware pode entrar em uma rede de várias maneiras diferentes, desde e-mails maliciosos a explorações de vulnerabilidades até o piggybacking em outras infecções por malware.

Não há uma maneira 100% infalível de evitar a entrada de ransomware em uma rede, mas tomar as medidas abaixo pode reduzir enormemente o risco de ataque.

Práticas recomendadas de prevenção de ransomware

Embora os ataques de ransomware sejam generalizados, existem métodos eficazes para evitar ataques de ransomware e proteger dados confidenciais. Abaixo estão seis táticas que as empresas podem usar para evitar o ransomware.

1. Atualizar o software regularmente

Uma maneira comum de o ransomware entrar e se espalhar em uma rede é explorando vulnerabilidades em softwares desatualizados. Uma "vulnerabilidade" é uma falha de software que alguém pode usar para fins maliciosos. Conforme as vulnerabilidades são descobertas, os fornecedores de software regularmente emitem correções para eles na forma de atualizações de software. Não atualizar sistemas operacionais e aplicativos regularmente é como deixar a porta da frente de uma casa destrancada e permitir que os ladrões entrem direto.

Por exemplo, em maio de 2017, o ransomware WannaCry usou a famosa vulnerabilidade "EternalBlue" para se espalhar por mais de 200 mil computadores, apesar de a Microsoft ter emitido anteriormente um patch para essa vulnerabilidade.

Os ataques de ransomware também exploram vulnerabilidades para se espalharem dentro de uma rede, quando já estão dentro. Por exemplo, o ransomware Maze procura vulnerabilidades para explorar quando já esteja em uma rede, depois usa essas vulnerabilidades para infectar o maior número possível de máquinas.

Para ajudar a evitar ransomware, junto com muitos outros tipos de ataques, as empresas devem atualizar o software com a maior frequência possível. Isso corrigirá vulnerabilidades, essencialmente trancando novamente a porta da frente para que os criminosos (ou invasores de ransomware) não possam entrar.

2. Usar autenticação de dois fatores (2FA)

Muitos ataques de ransomware começam com uma campanha de phishing: eles obtêm credenciais de usuário (nome de usuário e senha) e, em seguida, usam essas credenciais para entrar e se mover em uma rede. Em outros casos, os invasores de ransomware tentam usar credenciais padrão conhecidas até encontrarem um servidor ou rede que usa essas credenciais e, assim, obter acesso. (Ataques do Maze usaram essa técnica.)

Autenticação de dois fatores (2FA) é uma abordagem mais segura para autenticar os usuários. A 2FA envolve a verificação de um fator adicional, tal como um token de hardware que só o usuário autêntico possui. Desta forma, mesmo que um invasor consiga roubar uma combinação de nome de usuário e senha, ele ainda não consegue ter acesso à rede.

3. Manter o e-mail interno seguro

Uma ferramenta essencial de prevenção contra ransomware é a segurança de e-mail. Há uma variedade de métodos que os ataques de ransomware usam para comprometer dispositivos e redes, mas o e-mail ainda é um dos mais usados. Muitos ataques de ransomware começam com um ataque de phishing, um ataque de spear phishing ou um trojan oculto em um anexo de e-mail malicioso.

Procure fornecedores de segurança de e-mail que incluam as seguintes áreas principais:

• Descoberta de infraestrutura de invasores e campanhas de phishing em ambiente real, combinada com técnicas de detecção baseadas em heurísticas e aprendizado de máquina para filtrar e-mails e anexos de e-mail de fontes não confiáveis.
• Triagem e correção de phishing automatizada e gerenciada
• Proteção contra todos os quatro tipos de ataque BEC definidos pela Gartner

4. Implementar a segurança de endpoints

Outra etapa para evitar o ransomware é a segurança de endpoints. A segurança de endpoints é o processo de proteção de dispositivos como notebooks, computadores desktop, tablets e smartphones contra ataques. A segurança de endpoints envolve o seguinte:

• O software antimalware pode detectar o ransomware em dispositivos e depois colocar em quarentena os dispositivos infectados para evitar que o malware se propague. Além disso, alguns ataques de ransomware se espalham através de infecções pré-existentes por malware — por exemplo, o ransomware Ryuk frequentemente entra em redes através de dispositivos que já estão infectados com o malware TrickBot. O antimalware pode ajudar a eliminar essas infecções antes que elas levem ao ransomware. (No entanto, o antimalware é de pouca ajuda uma vez que o ransomware está ativado e já tem arquivos e dados criptografados).
• O controle de aplicativos ajuda a impedir que os usuários instalem aplicativos falsos ou comprometidos pelo invasor que contenham ransomware.
• A criptografia do disco rígido não ajuda a parar o ransomware, mas é uma parte importante da segurança do endpoint, pois impede que partes não autorizadas roubem dados.

Leia mais sobre segurança de endpoint.

5. Fazer back up de arquivos e dados

O backup regular de arquivos e dados é uma prática recomendada bem conhecida para se preparar para um possível ataque de ransomware. Em muitos casos, uma organização pode restaurar seus dados de um backup em vez de pagar o resgate para descriptografá-los ou reconstruir toda a infraestrutura de TI do zero.

Mesmo que o backup de dados não evite o ransomware, ele pode ajudar uma organização a se recuperar de um ataque de ransomware mais rapidamente. No entanto, o backup também pode ser infectado, a menos que seja particionado do restante da rede.

6. Usar um modelo Zero Trust

Muitas organizações pensam em suas redes como um castelo cercado por um fosso. Medidas defensivas que protegem o perímetro da rede , como firewalls e sistemas de prevenção de intrusão (IPS), mantêm os invasores fora — assim como um fosso mantinha as forças invasoras fora de um castelo na Idade Média.

No entanto, as organizações que adotam essa abordagem de castelo e fosso para a segurança são altamente vulneráveis a ataques de ransomware. O fato é que os invasores regularmente conseguem violar o "fosso" por meio de uma variedade de métodos e, uma vez dentro, praticamente têm liberdade para infectar e criptografar toda a rede.

Uma abordagem melhor para a segurança de rede é assumir que existem ameaças dentro e fora do "castelo". Esta filosofia chama-se Zero Trust.

Os modelos de segurança Zero Trust mantêm controles de acesso rígidos e não confiam em nenhuma pessoa ou máquina por padrão, mesmo em usuários e dispositivos dentro do perímetro da rede. Como o Zero Trust monitora continuamente e reautentica regularmente os usuários e dispositivos, ele pode impedir que ataques de ransomware se espalhem, revogando o acesso à rede e ao aplicativo assim que uma infecção for detectada. O Zero Trust também segue um princípio de "privilégio mínimo" para controle de acesso, tornando difícil para o ransomware escalar seus privilégios e obter controle sobre uma rede.

O Cloudflare One é uma plataforma de rede como serviço (NaaS) Zero Trust. Ele combina serviços de segurança e rede para conectar com segurança usuários remotos, escritórios e data centers (um modelo conhecido como SASE, ou Serviço de Acesso Seguro de Borda).

Deseja saber mais sobre ransomware? Se aprofunde no tema com estes artigos:

• O que é ransomware?
• O que é Maze ransomware?
• O que foi o ataque de ransomware WannaCry?
• O que é o ransomware Ryuk?