O recente ataque da Kaseya (cadeia de fornecimento) foi analisado de diferentes ângulos e descrito como o pior ciberataque alguma vez executado num só dia, com cerca de 50MSP e 1500 dos seus clientes finais afectados.
Mas será assim tão mau?
Quantos destes clientes finais tiveram de pagar o resgate solicitado pelo ransomware?
De acordo com esta análise da Bleeping Computer, aparentemente não foram muitas, uma vez que os atacantes não apagaram nem encriptaram as cópias de segurança das empresas vítimas. A maioria delas conseguiu utilizar as suas cópias de segurança para restaurar os dados e não teve de pagar o resgate exigido pelos atacantes. Ao não terem mantido as cópias de segurança como reféns, os atacantes tiveram menos influência sobre os clientes.
Em 3 palavras, o que são os primeiros socorros contra o ransomware?
A resposta simples - Cópia de segurança, Cópia de segurança e... Cópia de segurança.
Esta é a resposta simples, mas não dá uma imagem completa!
O simples facto de fazer uma cópia de segurança dos dados, seja no mesmo computador ou noutro computador/dispositivo de armazenamento na mesma rede, pode não ser suficiente, como ficou provado em incidentes anteriores que eram um pouco mais sofisticados do que o ataque da Kaseya.
Atualmente, o vetor de ataque mais comum inclui várias fases em termos de acesso e bloqueio de cópias de segurança como parte de um ataque de ransomware:
- procura de cópias de segurança através da implementação de malware APT (Ameaça Persistente Avançada)
- roubar os dados importantes do armazenamento e das cópias de segurança
- encriptar os dados e as cópias de segurança em paralelo - por vezes até com chaves diferentes
Para atenuar o impacto e até mesmo evitar estes ataques sofisticados de ransomware, é necessário prestar os primeiros socorros:
Digitalizar todos os ficheiros que precisam de ser armazenados
- Simultaneamente com vários motores anti-malware para taxas de deteção mais elevadas
- Secure/mascarar as informações pessoais sensíveis e os dados financeiros nesses ficheiros com DLP (proteção contra perda de dados)
Sanitizar ficheiros suspeitos de incluírem potenciais perigos - ou seja, 'payloads' desconhecidos como macros em ficheiros Excel/Word, etc. Estes payloads potencialmente perigosos podem ser limpos com Deep CDR (Content Disarm and Reconstruction) para >100 tipos de ficheiros mais utilizados.
Armazenar e fazer cópias de segurança de ficheiros noutra rede e/ou numa solução de armazenamento em nuvem, como AWS, Azure, etc.
Fig: Papel do MetaDefender Storage Security na proteção do armazenamento Cloud
MetaDefender Storage Security facilita a obtenção de ficheiros do armazenamento interno ou carregados de uma fonte externa e a sua digitalização, higienização e armazenamento seguro no armazenamento em nuvem para um dia "chuvoso".
Conclusão
Sim, o dia chuvoso há-de chegar - quando a sua organização for alvo de um ciberataque. Não é uma questão de "se", mas de "quando" - por isso, é preciso estar preparado. A defesa fácil e segura é preparar (e atualizar regularmente) uma cópia de segurança limpa dos seus dados importantes numa rede separada e/ou na nuvem.
