0
0
O Ransomware se tornou uma das principais ameaças à segurança cibernética hoje. Em 2019, atingiu novos patamares quando o número de incidentes relatados dobrou em do ano anterior, afetando os setores público e privado, escreve Wendi Whitmore, VP da IBM X-Force Threat Intelligence. Esses ataques são especialmente devastadores porque têm a capacidade de deter serviços críticos em setores como serviços de saúde e emergência, operando de maneiras diferentes de outros ataques cibernéticos, como DDoS ou roubo de dados. Os cibercriminosos também estão constantemente avançando seus métodos de ransomware para maior retorno sobre o investimento.
Infelizmente, evidências sugerem que muitas empresas não estão se preparando para essa ameaça emergente, e ter um plano específico de resposta a incidentes de ransomware é uma raridade: um estudo recente da IBM Security revelou até mesmo entre as organizações mais avançadas que têm cartilhas de segurança para diferentes tipos de ataques, menos da metade tem planos para ransomware.
As organizações podem estar ignorando como esses ataques diferem de outras ameaças cibernéticas — especificamente como as forçam a tomar decisões de emergência. As vítimas de ransomware enfrentam escolhas oportunas, como decidir encerrar completamente os serviços para evitar danos adicionais, ou pagar um resgate imediatamente, a fim de manter serviços essenciais funcionando como operações médicas em hospitais conectados ou sistemas governamentais.
É importante que as organizações entendam o complexo e em evolução do cenário de ransomware, e como ele difere de outros tipos de ataques, para estar melhor preparado para parar e responder a ele. Genéricos, todos os planos de resposta cibernética não vão cortá-lo – o ransomware é uma besta completamente diferente e precisa ser tratado como tal.
Os atacantes do Ransomware estão ficando mais ousados
O Ransomware ganhou muito impulso na última década e se tornou um ponto central de discussão para os respondentes de incidentes de segurança cibernética nos últimos anos. No entanto, só porque eles não são mais novos não significa que eles estão desacelerando. Por que os cibercriminosos ainda usam essa técnica depois de todo esse tempo? Porque funciona. Ataques de ransomware custaram às organizações cerca de US$ 11,5 bilhões em 2019, um aumento de US$ 3,5 bilhões em número em 2019.
Nos últimos anos, os cibercriminosos ficaram mais espertos sobre como alavancam essa técnica disruptiva para criar o maior retorno sobre o investimento. Nos primeiros dias de ataques de ransomware, muitos dos ataques foram realizados aleatoriamente por amadores usando pacotes de malware que compraram de codificadores maliciosos.
Ultimamente, vi uma mudança na forma como esses ataques são realizados através do nosso trabalho com clientes do IBM X-Force Incident and Intelligence Response Services (IRIS). Os atacantes, muitas vezes operando como grupos de hackers organizados, agora estão gastando até vários meses depois de acessar a rede de uma organização para obter uma melhor colocação da terra — e entender melhor quais sistemas são os mais valiosos. Este reconhecimento estendido compensa permitindo que eles exijam resgates maiores de suas vítimas. Apenas alguns anos atrás, vimos criminosos pedindo apenas US $ 1.200, mas este ano vimos exigências de ransomware variando de US $ 10.000 a US $ 25 milhões.
Preparando-se para enfrentar os atacantes
Ransomware é uma forma única de ataque cibernético que permite que os cibercriminosos se adaptem às mudanças nas paisagens. Portanto, é importante que as organizações tenham um plano de resposta que leve em conta tanto os fatores específicos que tornam o ransomware diferente de outros ataques quanto de sua situação atual.
É fácil subestimar os ataques de ransomware porque eles parecem ter um plano de resposta muito claro: 1) Infectar; 2) Pagar o resgate; 3) Volte a funcionar e vá para o seu negócio. Especialmente quando o preço do resgate é baixo ou uma apólice de seguro cibernético cobrirá o custo do resgate, pode ser tentador apenas pagar os atacantes e esquecer todo o caso. No entanto, em meus quase 20 anos trabalhando em resposta a incidentes, descobri que não é mais barato pagar o resgate do que resolver os principais problemas de segurança. As equipes de cibersegurança ainda precisam investigar as origens dos ataques e examinar os sistemas corporativos para garantir que os cibercriminosos não tenham deixado meios de infectar os sistemas novamente depois que o resgate for pago. Caso contrário, a organização pode acabar pagando o dobro ou o triplo do resgate por uma série de ataques.
De qualquer forma, as equipes de TI têm que descriptografar manualmente cada dispositivo infectado para restaurar os dados, o que normalmente não é um processo perfeito. Dependendo do tamanho e volume dos dados afetados, pode levar dias a meses de trabalho para restaurar os sistemas à operacionalidade total. Portanto, é importante que as organizações considerem antecipadamente exatamente quanto risco estão dispostas a incorrer e tempo que estão dispostas a gastar antes de decidir se devem pagar um resgate.
A maioria das organizações ainda não fez esse nível de planejamento detalhado. Mesmo entre as organizações que construíram um plano formal de resposta a incidentes de cibersegurança, apenas cerca de um terço também tem cartilhas para tipos específicos de ataques, de acordo com o Cyber Resilient Organization Report 2020. O estudo também constatou que 52% das organizações que possuem planos de resposta nunca revisaram ou não têm tempo definido para revisar ou testar esses planos, o que significa que esses planos não estão se adaptando ao atual cenário operacional e de risco da organização.
Infelizmente, os ataques de ransomware tornaram-se ainda mais urgentes na era pandêmica. Os hospitais são cada vez mais uma meta com mais de 750 prestadores de cuidados de saúde impactados pelo ransomware apenas em 2019, mesmo antes da pandemia ampliar sua importância. Mas outras organizações também têm motivos para se preocupar. À medida que mais funcionários começaram a trabalhar em casa para impor medidas de distanciamento social, eles saíram de trás dos firewalls de rede corporativa que geralmente protegem seus computadores, dando aos cibercriminosos uma superfície de ataque mais ampla para infectar sistemas
Como seguir em frente
Os planos de resposta ajudam a coordenar as ações de cada membro da equipe para que eles possam gastar menos tempo descobrindo o que fazer no caso de um ataque de ransomware e mais tempo respondendo. O tempo é essencial ao responder a ameaças cibernéticas porque quanto mais tempo leva para encerrar um ataque, mais tempo a empresa passa em um estado de interrupção — e mais caro ele se torna.
Portanto, a maneira mais importante de se preparar para ataques de ransomware é desenvolver um conjunto específico de procedimentos em um plano de resposta a incidentes de segurança cibernética que aborda a situação única de um ataque de ransomware. Então, o plano precisa ser minuciosamente revisto e testado regularmente para garantir que o plano ainda funcione e que tenha se adaptado às necessidades atuais do negócio. De acordo com o Cyber Resilient Organization Report 2020,as empresas que gastaram tempo para desenvolver e aplicar um plano de resposta a incidentes tiveram menos incidentes que resultaram em uma interrupção significativa da organização nos últimos dois anos em comparação com aquelas que não o fizeram.
Esse plano deve incluir a preparação antes de um ataque, como garantir que a organização mantenha backups off-line para restaurar as operações de forma rápida e barata em caso de ataque. Ele também precisa incluir diretrizes de como encontrar e fechar a brecha de segurança que permitiu a infecção em primeiro lugar. Também pode ajudar a buscar orientação de consultores profissionais de resposta a incidentes para garantir que o plano seja abrangente na contabilização das necessidades da indústria e da mais recente inteligência de ameaças. Eles também podem ajudá-lo a testar o plano para garantir que todos os membros da equipe saibam os passos necessários para investigar e remediar qualquer ataque específico.
Com a evolução contínua do ransomware e seu recente pico diante do nosso novo normal, uma coisa é clara: ele não vai a lugar nenhum. Dito isto, as organizações devem estar tomando este tempo, especialmente à medida que navegam em forças de trabalho remotas, para reavaliar os riscos e se preparar melhor para este ataque específico, caso contrário os resultados poderiam ser caros.
FONTE: CBR ONLINE