0
0
O Ransomware pode prejudicar uma organização. Muitas vezes, isso afeta a capacidade de uma empresa de fornecer serviços essenciais e pode rapidamente comprometer a confiança que os clientes depositaram neles — o que acaba impactando seus resultados. Organizações públicas e privadas são suscetíveis à medida que os atacantes continuam a evoluir suas táticas com maior proficiência e precisão. O impacto da pandemia global também é sentido nesta área, uma vez que a superfície de ataque se expandiu exponencialmente com organizações movendo grandes parcelas de sua força de trabalho para o status de trabalho remoto. O ciclo de notícias agora inclui frequentemente um aumento nos incidentes de ransomware, sugerindo que a tendência só continuará.
As organizações que já lidam com as ramificações da crise econômica relacionada agora também devem enfrentar o ransomware como outra ameaça muito real. O governo dos EUA também aumentou sua atenção sobre o assunto com o Departamento do Tesouro liberando orientações sobre o não pagamento de resgates a qualquer invasor em sua lista de sanções. Como tal, isso pode incorrer em penalidades civis e multas, o que adiciona mais uma dinâmica para as organizações: se deve mesmo relatar o incidente por medo da ação governamental.
Todos esses desafios crescentes aceleraram a necessidade de as organizações formalizarem suas respostas, reforçarem a formação/educação de suas forças de trabalho e reavaliarem sua postura de segurança para considerar a adoção de novos processos e tecnologias relacionadas para minimizar a exposição a riscos. Ele também serve como uma oportunidade exigente para promover uma maior colaboração pública/privada sobre a melhor maneira de conter a maré de ataques de ransomware.
Variações de criptomalware
Ransomware tornou-se um nome sinônimo de criptomalware. O invasor criptografa dados e exige um pagamento para liberar os dados para a vítima – eles guardam seus dados para resgate. Aqui, o cibercriminoso espera se beneficiar às custas da organização alvo. No entanto, nestes cenários, sempre haverá um perdedor. Ou a vítima perde (seus dados e seu dinheiro) com o invasor ganhando um pagamento, ou o agressor perde quando não é pago (note que a vítima também pode perder nesta situação quando seus dados são criptografados). E atender às demandas dos hackers nem sempre rende resultados esperados: parecemos exemplos de vítimas pagando o resgate e não recebendo seus dados de volta devido à rotina de descriptografia ser defeituosa ou ao invasor não honrar o acordo para descriptografar os dados.
Leakware, também chamado de ransomware de dupla extorsão, é uma adaptação de ransomware ameaçando vazar os dados de uma organização para o domínio público, a menos que um pagamento seja feito ao invasor. Isso cria um cenário entre agressor e vítima, pois a vítima ainda deve pagar uma taxa muitas vezes pesada ao agressor, a fim de evitar a divulgação de seus dados e todos os danos da marca e potencial atenção regulatória que possam implicar. O agressor é pago, mas a vítima não teve seus dados perdidos ou vazados. Resulta na melhor das más condições para a organização afetada – dependendo do valor monetário da demanda de resgate, da capacidade de pagá-la e/ou do valor percebido dos dados. Os atacantes recentemente têm voltado a chamar a atenção para o leakware sabendo que as organizações mitigam ter que pagar a tradicional demanda de ransomware por ter bons backups no local.
Mudança das regras – o risco de sanções
As organizações consideram muitos fatores ao decidir pagar um pedido de resgate. Isso pode incluir a disponibilidade de bons backups para restaurar os dados agora bloqueados, os danos potenciais à reputação da marca da empresa de pagar ou não pagar, a probabilidade do atacante repetir um ataque, quaisquer multas regulatórias que possam precisar ser pagas aos órgãos reguladores, a capacidade de pagar o invasor, incluindo o valor monetário da demanda de ransomware ou ter um mecanismo conhecido ou confiável para pagar o invasor. Além disso, uma organização pode ter um SOP no local para lidar com um incidente de ransomware, ou eles podem não.
É claro que tal árvore de decisão funciona em favor do atacante.
Em 1º de outubro de 2020, o Departamento do Departamento do Tesouro dos EUA de Controle de Ativos Estrangeiros (OFAC) emitiu um aviso sobre potenciais riscos de sanções para facilitar pagamentos de ransomware. Na assessoria explicativa, o Departamento do Tesouro explica que pagar o invasor pode “incentivar futuras demandas de pagamento de ransomware, mas também pode correr o risco de violar as regulamentações do OFAC”. Uma lista de famílias e autores de ransomware é fornecida sobre a qual o Departamento do Tesouro dos EUA aplicou sanções. Esta lista inclui os autores de Cryptolocker, SamSam, WannaCry e Dridex. Agora é necessário que as organizações considerem pagar os resgates considerem o risco de violações de sanções.
Mesmo com a introdução dessas sanções, as empresas passarão por um cálculo baseado em dólares ou centavos e pesarão o custo de interrupção do negócio versus o custo de outras ações mitigadoras. É quando um livro de jogadas pode ser útil para direcionar o negócio afetado para ações bem pensadas e antecipadas. O que mais pode ser feito para ajudar antes ou durante um incidente de ransomware?
Como se proteger de ransomware/leakware
Ao não adotar uma postura proativa, uma organização direcionada é forçada a um jogo de criptomalware de soma zero ou não-zero pelo atacante. Se o invasor tiver sucesso em se envolver, torna-se vital que a organização alvo mantenha a vantagem. Aqui está uma lista de verificação de alto nível de 5 pontos para ajudar nesse aspecto:
1. Crie uma cartilha de incidentes de ransomware aplicável à sua organização, pratique-a com frequência e refine-a conforme apropriado.
2. Educe seus usuários para entender como evitar sucumbir às iscas e truques dos cibercriminosos.
3. Adote procedimentos de backup sólidos e comprovados para restaurar dados no caso de um incidente de criptomalware, incluindo backups off-line.
4. Adote um programa de prevenção de perda de dados em toda a sua organização para que você obtenha visibilidade de onde seus dados estão e quem está interagindo com eles. Como parte de sua estratégia de proteção de dados, você deve considerar outras etapas, como a segmentação de dados em redes.
5. Lembre-se que a análise comportamental pode ajudar a identificar ações anômalas dentro do seu ambiente que podem ser causadas por invasores assumindo o perfil de um usuário privilegiado, interagindo com arquivos em massa ou transferindo dados em massa.
O que mais devemos fazer como um coletivo?
No início da pandemia, a maioria dos CISOs se concentrou em manter a resiliência e minimizar a interrupção dos negócios à medida que transitavam para uma força de trabalho remota. Esse movimento para trabalhar em casa agravou ainda mais a situação devido a um cenário de ameaça ampliado e à redução dos controles normalmente presentes em um ambiente tradicional de escritórios. A sobreposição da realidade atual em um cenário econômico, de saúde e saúde mental, infelizmente, criou uma oportunidade para os atacantes intensificarem suas atividades e atingirem trabalhadores remotos que estão tentando equilibrar as demandas de trabalho e vida sem se distrair e, portanto, suscetíveis a ataques.
Nesse contexto, uma coisa é clara: no setor de cibersegurança, todos nós nos beneficiaremos do aumento da discussão pública/privada e da colaboração para encontrar um caminho melhor a seguir. Agora é um momento para trabalharmos juntos para operacionalizar uma abordagem de ransomware que protege as organizações de tal forma que garanta que os atacantes não ganhem.
FONTE: FORCEPOINT