0
0
É terça-feira de manhã. Você chega na sua mesa (na sala de estar) e, oh não… más notícias.
Não só seu gato está dormindo no teclado novamente, mas quando você tenta entrar na sua rede, uma mensagem na tela confirma o pior: sua organização foi atingida por ransomware. Piorando as coisas, seus backups estão correndo, digamos, um pouco atrás.
Deixa os gritos internos. (Seu cônjuge está em uma chamada zoom a poucos metros de distância, então você tem que ficar quieto.)
Mas é sério. Como um profissional da Infosec, o que você faz agora?
Os ataques de ransomware estão aumentando. Isso era verdade mesmo antes da pandemia COVID-19 forçar os trabalhadores a ir para casa, enviando uma miríade de novas conexões vulneráveis on-line. De acordo com dados fornecidos ao The New York Times pela empresa de segurança Emsisoft, 205.280 organizações enviaram arquivos que foram hackeados em um ataque de ransomware em 2019 – um aumento de 41% em relação ao ano anterior.
Eles também estão ficando mais caros: dados do 1º trimestre relatados pela empresa de segurança cibernética Coveware mostram pagamentos médios de resgate aumentando 33% em relação ao último trimestre, para US$ 111.605.
Embora você possa não imaginar um cenário em que sua empresa cederia ao pagamento de resgate, isso está acontecendo com mais frequência à medida que as organizações pesam os riscos e benefícios e descobrem que não têm escolha.
Então diga que essa é a sua realidade. O Dark Reading conversou com vários especialistas em segurança cibernética para mapear o passo a passo do pagamento do resgate e o que você deve saber para concluir o processo.
Passo 1: Avalie a situação
Depois de ter sido hackeado com ransomware, você precisa tomar medidas rápidas.
Com o aumento maciço da demanda digital, as equipes de TI estão mudando para o modo “hipercuidado”. O desafio: como eles permanecem lá à medida que a demanda continua aumentando?Trazido a você por PagerDuty
A primeira coisa que você quer saber, diz Jeff Horne, CSO da empresa de segurança cibernética Ordr, é se o ransomware está se propagando através de sua rede – e, em seguida, impedi-lo de fazê-lo usando ferramentas de detecção e resposta (XDR) ou de resposta a incidentes.
Depois de fazer tudo o que puder para isolar e tirar suas máquinas da rede infectada, o próximo passo é descobrir com o que você está lidando, diz Horne. Para isso, basta realizar uma pesquisa simples para o ransomware específico no Google para ver que tipo é e “posteriormente, há um decodificador disponível para que eu não tenha que pagar esse resgate?”, diz ele.
É possível encontrar a chave você mesmo, diz Horne, pois às vezes há casos de erros programáticos no código de ransomware em que a chave é exposta antes que os arquivos sejam bloqueados. Outras vezes a mesma chave é usada em ataques. Isso significa que uma vítima que paga o resgate permite que todos os outros descriptografem.
Mas digamos que você não pode encontrar facilmente uma chave de descriptografia no Google, e você não tem processos internos de backup em vigor que permitem que você recupere tudo por conta própria. O que você faz agora?
É quando sua organização precisa tomar decisões críticas sobre se o pagamento do resgate vale a pena.
“Eu tive uma posição em evolução no cumprimento das demandas de extorsão”, diz Charles Carmakal, SVP e CTO de serviços estratégicos da empresa de segurança cibernética Mandiant. “[Há] um monte de variáveis diferentes que você vai querer olhar para pagar.”
As variáveis incluem desde se sua rede está comprometida pode ter um impacto material na vida humana (por exemplo, serviços municipais, hospitais, etc.) até se sua organização pode se dar ao luxo de perder os dados infectados.
Passo 2: Aliste-se fora da ajuda
Supondo que você tenha descartado suas opções preferidas de encontrar chaves de descriptografia soltas na Internet, recuperar suas redes através de soluções de backup sofisticadas ou apenas considerando os dados perdidos, é hora de começar a se comunicar com seu invasor.
Se sua empresa tem experiência em segurança interna e um suprimento completo de criptomoedas em mãos, então esta pode ser uma tarefa que você pode lidar sem ajuda externa.
Se esse não for o caso, o Carmakal da Mandiant recomenda a alistar provedores terceirizados especializados na resolução de ataques de ransomware. Essas organizações possuem insights sobre a credibilidade dos atores de ameaças e as chances de cooperarem se forem pagas, diz ele. Além disso, eles têm bitcoins em reserva, tornando-se um processo mais rápido para pagar o resgate do que se você procurou comprar criptomoedas por conta própria.
Passo 3: Teste os códigos de descriptografia
Mas recuperar-se de um ataque de ransomware não é tão simples quanto entregar bitcoins e recuperar sua rede. O processo de ida e volta entre você/sua empresa de terceiros e o ator de ameaças envolve uma série de comunicações por e-mail onde geralmente há um processo de teste que passa a descriptografar uma amostra de sua rede para provar que eles realmente têm as chaves.
“Alguns ficarão no telefone com você enquanto você testa a chave de descriptografia. Uma vez que você verificou que funciona, eles desligam”, disse Christopher Kuhl, CISO e CTO do Dayton Children’s Hospital, falando de sua experiência em papéis antes de entrar no hospital, onde ele não viu nenhum ataque de ransomware. “O que é louco é que muitos operadores de ransomware, os maiores, têm seu próprio call center. As pessoas lá são incrivelmente agradáveis e amigáveis. Eles reconhecem que o que estão fazendo é errado.”
No entanto, operadores de ransomware menores, ou aqueles que só querem obter seus bitcoins e fugir, enviarão a chave de descriptografia e fecharão suas contas de e-mail, acrescenta.
Nota lateral: Não tente negociar
Embora possa ser tentador (particularmente se as pessoas do call center são gentis), tanto Kuhl quanto Horne concordam que não vale a pena nem no seu melhor interesse negociar sobre a soma do resgate.
“Os preços que eu vi ou outras pessoas viram não são negociáveis. Então, nunca tentamos”, diz Kuhl.
“Você está lidando com uma festa anônima”, acrescenta Horne. “Você não tem literalmente nenhuma vantagem. Se eu fosse um operador de ransomware e você viesse até mim e dissesse: ‘Em vez de me pagar US$ 1.000, você vai pagar US$ 500’, bem, agora você me deve US$ 20.000.”
Passo 4: Descriptografar a rede
Uma vez que a amostra tenha sido testada com sucesso, o valor do resgate pago, algumas lágrimas derramadas e a chave de descriptografia recebida, o resto dificilmente será fácil de navegar.
“Decodificar não é um processo trivial. Pode levar dias, semanas, mais de um mês”, diz Carmakal. “Algumas organizações optam por pagar o ator de ameaças e descriptografar em paralelo em diferentes sistemas à medida que estão recuperando sistemas através de backups.”
Aqueles que pagam “estão pagando para acelerar o processo de recuperação”, acrescenta.
Além disso, pagar o resgate não significa necessariamente que você vai realmente obter a chave de descriptografia ou que ele vai funcionar. Os atores de ameaças são conhecidos por coletar seus bitcoins e fornecer chaves ou chaves falsas de descriptografia para desbloquear apenas parte da rede se mais de um tipo de ransomware fosse usado.
E nos casos em que o ransomware mais antigo está sendo usado que os operadores abandonaram desde então, pagar significa que você está “jogando dinheiro em um balde que ninguém mais está monitorando”, diz Horne. “No final do dia, esses operadores não estão mais operando o backend, não trocando chaves, então há menos de 50% de chance de recuperar seus dados.”
Como evitar essa bagunça a todo custo
Pagar um resgate é, no geral, um jogo perdedor, com as organizações muitas vezes não tendo escolha a não ser desembolsar dinheiro para acesso a redes que talvez nunca sejam capazes de realmente recuperar.
Uma opção melhor é ser proativo, o que significa efetivamente convencer a liderança de que eles preferem investir em segurança agora do que pagar mais tarde.
Kuhl diz que teve sucesso convencendo os líderes empresariais disso no Hospital Infantil Dayton.
“Nós os convencemos de que [o ransomware] é um risco corporativo, que afeta a segurança do paciente, a vitalidade financeira e que precisamos das ferramentas e treinamento adequados para diminuir o tempo desde a prevenção até a detecção”, diz ele.
Horne, da Ordr, acrescenta que a única maneira de sair disso é garantir que um backup adequado esteja no lugar que diminuiria o dano que um ataque de ransomware poderia causar à sua organização.
“Um backup robusto, como uma estratégia de backup N+1 offline, é absolutamente crítico para as organizações”, diz ele. “As organizações que foram atingidas por ransomware com estratégias robustas de backup não se importam se forem atingidas por ransomware. Backup com redundância e backup offline especificamente, é a maneira como você derrota isso em última instância.”
FONTE: DARK READING