O que é o ransomware?
O ransomware é um tipo de software malicioso (malware) concebido para bloquear permanentemente o acesso a recursos informáticos ou encriptar dados até que seja pago um resgate ao atacante.
Alguns dos tipos mais comuns de ransomware incluem:
- Crypto Ransomware: Também conhecido como malware de encriptação, é o tipo mais comum de ransomware. O crypto ransomware encripta dados e ficheiros num sistema informático e exige um resgate pela chave de desencriptação.
- Locker Ransomware: O ransomware Locker não utiliza encriptação. Em vez disso, desactiva as funções básicas do computador para impedir o utilizador de utilizar o dispositivo até que o resgate seja pago.
- Scareware: Embora nem sempre esteja agrupado na categoria de ransomware, o scareware assusta os utilizadores, levando-os a acreditar que o seu computador está infetado com um vírus e, em seguida, incita-os a comprar software de limpeza com o objetivo de ganhar dinheiro ou comprometer o sistema.
- Doxware (ou Leakware): O Doxware encripta, exfiltra e ameaça publicar informações confidenciais ou pessoais, a menos que seja pago um resgate.
Os ataques de ransomware podem causar graves danos a organizações de infra-estruturas críticas, como fabricantes, empresas, instituições de saúde e escolas, que têm de manter um funcionamento consistente e proteger dados importantes.
Os pagamentos de resgate, se pagos, podem variar de milhares a milhões de dólares por incidente. As organizações que são vítimas de ataques também sofrem danos irreversíveis à sua reputação e custos de reparação, incluindo o tempo de inatividade do sistema, a recuperação de dados e o fornecimento de novo hardware ou software.
Além disso, os dados das organizações estão em risco, uma vez que não há garantia de que os atacantes entreguem a chave de desencriptação após o pagamento do resgate. Mesmo quando os dados são desencriptados pela chave, estão frequentemente corrompidos e requerem regeneração por parte das organizações, se possível.
Como funciona o ransomware
A crescente digitalização da infraestrutura organizacional introduziu vários vectores de ataque para o ransomware. O método mais comum são os e-mails de phishing, que se fazem passar por remetentes legítimos e contêm ligações ou anexos maliciosos. Os atacantes também espalham ransomware através de sites e aplicações duvidosos, que podem descarregar automaticamente malware sem o conhecimento do utilizador.
As vulnerabilidades na infraestrutura do sistema podem ser alvo de ataques de ransomware. Por exemplo, os atacantes podem infiltrar-se remotamente e infetar redes empresariais com ransomware através de RDP (Remote Desktop Protocols) com segurança inadequada.
Assim que os atacantes obtêm acesso, o ransomware é executado no sistema da vítima, analisando a rede em busca de ficheiros alvo e procurando privilégios mais elevados para se espalhar mais. Em seguida, encripta ficheiros valiosos, como documentos e registos. A maioria dos resgates utiliza encriptação assimétrica, o que significa que o ransomware encripta os dados acima mencionados com uma chave pública, que só será desencriptada pela chave privada (armazenada no lado do atacante).
Ao perder o acesso a ficheiros e dados, as vítimas deparam-se com uma nota de resgate que exige pagamentos para recuperar os seus bens encriptados ou roubados.
Desafios únicos em ambientes IT/OT
O ransomware pode afetar os ambientes IT/OT de formas distintas:
- Em ambientes IT , o ransomware causa normalmente perda de dados ou bloqueio de acesso. Em ambientes OT, o ransomware pode causar mau funcionamento, danos físicos e riscos de segurança. Recentemente, uma siderurgia na Alemanha sofreu graves danos no seu alto-forno quando um ciberataque, iniciado através de phishing, explorou vulnerabilidades desconhecidas e contornou o procedimento de encerramento padrão.
- Devido à natureza interligada das redes entre IT e os ambientes OT, os componentes OT podem ser comprometidos mesmo que o ransomware tenha origem em IT, e vice-versa. Isto exige uma linha de defesa abrangente em todas as superfícies de ataque possíveis.
- Os sistemas OT de infra-estruturas críticas têm de manter o funcionamento em tempo real com uma latência mínima, como é o caso das redes eléctricas, das instalações de tratamento de água ou das linhas de produção. Isto complica os esforços de resposta a ataques de ransomware, uma vez que o atraso nas paragens ou o isolamento de componentes infectados pode levar a uma maior propagação e danos do ransomware.
- O possível impacto do ransomware em ambientes interligados de IT e OT é significativo. Um ataque de ransomware a infra-estruturas críticas, como as cadeias de abastecimento de petróleo, pode perturbar a produção e a distribuição de gasolina, causando uma perturbação generalizada das actividades civis e industriais.
12 Estratégias de especialistas para evitar ataques de ransomware
Com base em mais de 20 anos de proteção de infra-estruturas críticas e com a confiança de mais de 1700 organizações em todo o mundo, sabemos o que é necessário para evitar ataques de ransomware e a continuidade do seu negócio. Aqui estão 12 estratégias comprovadas para combater as ameaças de ransomware.
Estratégia de backup abrangente
A primeira e principal estratégia de defesa preventiva contra o ransomware é fazer regularmente cópias de segurança dos dados críticos para os proteger contra perdas ou danos. Os repositórios de cópias de segurança podem ser armazenados de forma segura offline ou numa rede separada e protegida, permitindo que os dados sejam recuperados sem pagar o resgate em caso de ataque. Este processo essencial pode ser protegido com a utilização de uma solução de gateway de segurança unidirecional, como o MetaDefender Optical Diode.
Sensibilização para o ransomware
Qualquer estratégia de cibersegurança tem de proteger o elo mais fraco da cadeia de segurança: o fator humano. Cursos de formação obrigatórios, bases de conhecimentos, testes de phishing e avaliações regulares são métodos eficazes para criar uma forte sensibilização contra as tácticas de engenharia social dos atacantes de ransomware. OPSWAT A Academy oferece cursos e recursos de formação profissional que equipam os formandos com conhecimentos, competências e experiência abrangentes em cibersegurança.
Correção de vulnerabilidades
Os sistemas e as infra-estruturas tornam-se mais complexos à medida que as organizações amadurecem. É crucial mantê-los continuamente corrigidos com as últimas actualizações e versões de segurança para reduzir as vulnerabilidades que os atacantes de ransomware podem explorar. MetaDefenderO módulo Patch Management da Microsoft pode identificar as actualizações mais recentes disponíveis para aplicações de pontos finais e corrigi-las automaticamente.
Segurança robusta dos Endpoint
À medida que as organizações adotam opções de trabalho remotas ou mais descentralizadas, elas também precisam proteger e proteger os dispositivos de endpoint. O Deep Endpoint Compliance doMetaDefender impõe políticas de endpoint abrangentes, além do padrão, como verificações no nível do sistema operacional, software de segurança, verificação de malware, gerenciamento de vulnerabilidades e criptografia de disco.
Email Security
O ransomware também pode ser anexado a mensagens de correio eletrónico, enviadas por atacantes como método de spear phishing ou de burla. Os ataques sofisticados por correio eletrónico podem assemelhar-se a remetentes legítimos e criar um sentimento de urgência para abrir ou descarregar ficheiros anexados. Os sistemas de correio eletrónico das empresas devem integrar capacidades anti-malware eficazes, tais como MetaDefender Email SecurityOs sistemas de correio eletrónico das empresas devem integrar capacidades anti-malware eficazes, tais como a prevenção de phishing de dia zero, URL com clique, recolha de credenciais e CC, fuga de dados e muito mais.
Periférico Media Segurança
As organizações também têm de se proteger contra ameaças de ficheiros provenientes de suportes de dados periféricos e amovíveis, como unidades flash USB e outros dispositivos de armazenamento portáteis. Todos os suportes de dados recebidos devem ser analisados e higienizados para evitar que qualquer conteúdo malicioso entre na infraestrutura das organizações. As soluções de proteção de suportes de Media periféricos daOPSWAT podem analisar a maioria dos tipos de suportes, atingindo uma taxa de deteção de 99,2% e garantindo que os ficheiros e os sectores de arranque são higienizados e seguros antes da utilização.
Secure Implementação do acesso
Secure O acesso envolve a monitorização e o controlo dos pontos de entrada da rede, garantindo que todos os dispositivos ou ligações são visíveis em tempo real. MetaDefender O acesso fornece uma visão consolidada da postura de segurança de todos os nós de ligação, permitindo a aplicação da conformidade de segurança quando necessário.
Threat Intelligence Implementação
Aumentar a eficácia das operações de deteção de ameaças adoptando e integrando feeds de alta qualidade Threat Intelligence . MetaDefender Threat Intelligence pode fornecer deteção e contextualização chave através dos controlos de segurança com os quais está integrado para impulsionar a deteção e o bloqueio de Ransomware e outras ciberameaças maliciosas.
Proteção contra malware desconhecido e de dia zero
O malware desconhecido e de dia zero explora vulnerabilidades não descobertas, permitindo que os atacantes contornem as soluções tradicionais. MetaDefender Sandbox integra soluções antimalware avançadas que utilizam a análise adaptativa de ameaças para detetar malware de dia zero e analisa com êxito ameaças evasivas e sofisticadas que podem deixar os sistemas vulneráveis a ransomware.
Instalar Software anti-malware
Uma solução anti-malware fiável com mecanismos fortes e eficazes é essencial para qualquer estratégia de prevenção de ransomware. As organizações devem adotar soluções anti-malware que combinem vários mecanismos AV capazes de detetar e isolar ficheiros e actividades maliciosos em tempo real. A reputação do OPSWATMultiscanning da OPSWAT incorpora mais de 30 motores anti-malware líderes, detectando quase 100% das ameaças conhecidas. Além disso, gere eficazmente as instâncias e os resultados do multiscanning com o MetaDefender Endpoint.
Tirar partido da DLP (prevenção da perda de dados) contra o ransomware de dupla extorsão
Muitos ataques de ransomware envolvem agora dupla extorsão, em que os atacantes não só encriptam os dados como também os roubam, ameaçando divulgá-los a menos que seja pago um resgate. OPSWATO Proactive DLP da Microsoft ajuda a evitar esta situação, detectando e bloqueando a transferência não autorizada de dados sensíveis - como PII (informações pessoais identificáveis), registos financeiros e propriedade intelectual - antes de saírem da rede. Com a verificação de conteúdo em tempo real de arquivos e e-mails, classificação baseada em IA e OCR para imagens, as soluções DLP reduzem o risco de exfiltração e garantem a conformidade com padrões como PCI, HIPAA e GDPR.
Defesa em profundidade
Uma estratégia de defesa em vários níveis é altamente eficaz quando aplicada em possíveis superfícies de ataque da infraestrutura IT/OT. A defesa em profundidade é uma abordagem que coloca em camadas várias medidas defensivas para se tornar uma fortificação em torno de informações e dados. Se uma linha de defesa falhar, outras permanecem para impedir que os atacantes penetrem e causem danos. Aproveitando o vasto leque de tecnologias e soluções eficazes da plataformaMetaDefender da OPSWAT, as organizações podem criar uma defesa robusta que protege de forma abrangente todas as superfícies de ataque, impedindo ataques de ransomware em várias fases.
Manter-se vigilante contra ameaças futuras
O ransomware continua a ser uma ameaça cibernética iminente devido aos ganhos financeiros significativos para os atacantes. Como resultado, os criminosos de ransomware estão sempre a conceber mais tácticas e métodos para atingir quaisquer componentes vulneráveis no sistema. É crucial salvaguardar os recursos críticos em caso de ataques através de cópias de segurança de dados, segmentação da rede e controlo de acesso. Mais importante ainda, as organizações devem avaliar e monitorizar sempre a sua infraestrutura para se manterem atentas e se defenderem contra vectores de ataque generalizados.
