Ransomware: 10 passos para proteger sua empresa

Atualizado em 20/08/2021

Olá, tudo bem?

Preciso falar com você sobre Ransomware.

Atendemos diariamente ocorrências deste tipo de ataque em nossa central de atendimento. Na maioria dos casos, o cliente está em desespero necessitando da restauração urgente dos dados, sem se preocupar com a origem do ataque e de uma futura proteção. Além disso, cada dia aparecem notícias de empresas sendo extorquidas por criminosos virtuais.

Sei que já existe muita informação publicada sobre isso, mas observo que são informações oportunistas, baseadas em vendas de produtos, aproveitando-se do desespero do cliente.

Quanto a isto, tenho uma visão conservadora: SEGURANÇA NÃO PODE SER SIMPLESMENTE BASEADA EM PRODUTO. SEGURANÇA É PROCESSO. UM PROCESSO CONTÍNUO DE PREVENÇÃO, DETECÇÃO, RESPOSTA E MONITORAMENTO. 

Portanto, escrevi este artigo da maneira mais objetiva possível. Confira!

O que é o Ransomware?

O Ransomware, ou sequestro virtual de um equipamento ou de dados. É uma técnica cada vez mais utilizada pelos cibercriminosos para extrair dinheiro de suas vítimas. Em geral, o golpe restringe o acesso ao sistema infectado e cobra o valor de “resgate” para que o acesso possa ser restabelecido.

Assim que a infecção pelo Ransomware acontece, o proprietário do equipamento afetado recebe um contato por e-mail, no qual o criminoso virtual pede o pagamento de resgate, em valores que variam conforme a informação sequestrada e, geralmente, pagos na moeda virtual bitcoin, já que isso prejudica qualquer tentativa de rastreamento e localização dos responsáveis pelo golpe.

Empresas infectadas com Ransomware estão sujeitas a diversos problemas que vão desde a perda total de dados –  quando ela não possui um backup de informações ou o mesmo não está atualizado – ou até mesmo interrupção dos serviços desempenhados pela empresa, as vezes as informações são tão importantes que a perda delas podem prejudicar até o atendimento aos clientes.

Sem encontrar alternativa para ter de volta dados importantes, o usuário se vê obrigado a realizar o pagamento, o que pode demorar, especialmente se não houver familiaridade com o bitcoin. Assim que o criminoso recebe o valor exigido, ele libera o seu acesso ou não, já que estamos lidando com criminosos.

Mas como todo resgate, é preciso considerar a possibilidade de novo bloqueio ocorrer. Ou seja, nessa situação, você e suas informações ficariam à mercê da vontade de um criminoso virtual.

Como se prevenir?

1. Estabeleça uma Política de Segurança em sua empresa

De acordo com a definição da norma ISO 27001, que estabelece as diretrizes gerais para a gestão da informação de uma empresa, Segurança da Informação nada mais é que o ato de proteger os dados da empresa (especialmente aqueles confidenciais) contra diversos tipos de ameaças e riscos — espionagens, sabotagens, incidentes com vírus ou códigos maliciosos e até acidentes, como incêndio e inundação.

A Segurança da Informação é, então, obtida pela implantação de um conjunto de controles que incluem procedimentos para gestão de acesso lógico e físico, de identidades, ativos, da classificação de informação, de vulnerabilidades, incidentes, backups, continuidade de negócios,  privacidade de dados pessoais, etc.

Portanto a Política de Segurança  define as regras para a coleta, tratamento, processamento, acesso, armazenamento, transmissão e compartilhamento da informação dentro da empresa.

Lembrando que uma Política de Segurança não é um documento imutável ou inquestionável. Muito pelo contrário, requer atualização constante e participação não só da diretoria da empresa, mas também dos funcionários e da equipe de TI.

É importante que a diretoria da empresa estabeleça juntamente com a equipe técnica este documento e formalize fazendo que todos os departamentos sigam as diretrizes e procedimentos, inclusive os parceiros e prestadores de serviços.

2. Treinamento preventivo dos colaboradores

Uma em cada cinco infecções de Ransomware é provocada pelo descuido ou desconhecimento dos colaboradores, assinala a Openlimits. O treinamento é por isso o primeiro passo a dar, para que todos estejam atentos a possíveis ameaças que possam de algum modo atravessar os sistemas de proteção. Os colaboradores devem ser “instruídos a não abrir anexos de e-mail cuja origem é desconhecida ou suspeita”. A não utilizar os computadores da empresa para acessar conteúdo de entretenimento, etc.  A maioria dos golpes virtuais tem origem nestes ambientes e na ingenuidade do usuário.

Confira algumas formas que um funcionário despreparado pode ser a causa de um ataque causado por hackers na empresa:

  • Mensagens de e-mail, às vezes com simulações de ofertas e em outras com anexos que estão infectados.
  • Senhas fracas, são fáceis de serem quebradas.
  • Notícias sensacionalistas, na maioria das vezes são falsas, ao clicar nelas você pode ser encaminhado para sites nocivos.
  • Links duvidosos, não clique em nada que você perceba que tenha algum endereço estranho diferente dos habituais.
  • Anúncios na web, fique atento as vezes o link é muito parecido com o de uma empresa conhecida, mas não é o real. Verifique antes.

3. Reforce a segurança dos endpoints

Um dos principais destino dos ataques são estações inseguras. Portanto, todos os computadores da empresa precisam estar protegidos com as últimas tecnologias de segurança.
Os antivírus tradicionais já não são suficientes para proteger os sistemas de informação das empresas. São imprescindíveis, mas as empresas devem recorrer também a
“versões corporativas”. Os produtos gratuitos ou domésticos são ineficientes contra Ransomware.

Uma solução corporativa de antivírus pode identificar proativamente arquivos em risco, phishing em mensagens de e-mail, ameaças de dia zero (0day) , tentativas de exploiting, falhas em aplicações ou até ajudar a paralisar atividades de criptografia de Ransomwares. Tudo isso sem prejudicar o desempenho dos computadores, oferecendo também um monitoramento completo.

Escolha produtos premiados e que estiverem melhores posicionados nos últimos testes de laboratórios independentes.

É importante também verificar se essas ferramentas de segurança estão ativadas. Não basta ter comprado a licença, mas não utilizá-la de maneira eficiente. É comum encontrar computadores que por algum motivo tiveram suas proteções desativadas e o que era pra ser temporário ficou em definitivo por um descuido do administrador da rede.

Além do antivírus considere a opção de aplicar diretivas de Hardening nos sistemas operacionais dos computadores. Isso dificultará as ações do invasor. Caso ele obtenha acesso a uma máquina ou servidor, ele terá dificuldades para se movimentar e infectar as demais máquinas pois as suas ações no sistema operacional estarão limitadas. Uma dica é você usar ao máximo as Diretivas de Grupo dentro do seu Active Directory para limitar o acesso.

4. Utilize um firewall de próxima geração para proteger o perímetro de rede

Um firewall tradicional também é ineficiente. Considere a implantação de um firewall de próxima geração. Esta ferramenta combina camadas de proteção contra ataques a rede e de malware. Além disso, possibilita uma gestão eficiente da política de acesso a Internet (por usuário, grupo, Site, URL, Domínio, Endereçamento IP, Mac, ou aplicação, etc.), com relatórios de navegação, controle de banda e gestão da rede wifi, possibilitando mitigar e bloquear as tentativas de ataques.

5. Realize as atualizações dos sistemas operacionais e demais aplicativos

Nenhum sistema é totalmente seguro. Portanto, os fabricantes lançam diariamente atualizações para seus sistemas.

As atualizações dos sistemas operacionais e demais aplicativos não devem ser ignoradas. Estabeleça um processo de Gestão de Vulnerabilidades, que visa aplicar correções diárias em seus computadores.

Clicar no “Lembrar mais tarde” deixa os seus equipamentos vulneráveis. Você deve aplicar uma política rígida de atualização de todos os sistemas. Existem ferramentas que automatizam a distribuição das atualizações, facilitando assim o trabalho do administrador da rede.

Vale a pena lembrar que as atualizações devem ser testadas previamente antes de serem colocadas nos equipamentos da sua empresa.

6. Controle os acessos aos dados

A limitação do acesso a pastas compartilhadas pode prevenir a propagação do Ransomware.

Para facilitar a colaboração, a maioria das empresas utiliza pastas compartilhadas para centralizar o trabalho.

Ao limitar acesso, se um departamento for infectado, “o Ransomware irá causar menos danos” à partição do sistema operacional ou as demais pastas compartilhadas da empresas,  devido à falta de permissões administrativas.
É importante ajustar as permissões das pastas, limitando o acesso por usuário ou grupo, com auditoria e rastreabilidade.

7 – Segregue a sua rede

A segurança de rede é uma outra camada que não pode ser ignorada. É possível segregar a rede entre departamentos ou segregar por serviços. Ex: Dados, Câmeras, Voz, Gerenciamento, etc.

A segregação pode ser feita por perímetros físicos ou virtuais (vlans). Uma rede segregada dificultará também a movimentação do invasor. Caso ele obtenha acesso a uma rede, ele não infectará as demais pois não terá acesso. Para obter acesso terá que invadir o switch ou firewall e desativar as vlans.

8. Use VPN para conexões remotas

Em tempos em que a nossa conexão não é tão confiável como era antes, a criptografia de ponta-a-ponta é uma das melhores formas de proteger as conexões entre computadores e dispositivos móveis.

É comum encontrarmos empresas que utilizam conexões RDP pela Internet sem o mínimo de proteção. 70% dos casos de Ransomware que atendemos todos os dias na NETDEEP são oriundos de quebra de senha por RDP. Os atacantes não tem pressa, utilizam ferramentas de força bruta para a descoberta das senhas dos usuários legítimos.

O ideal é estabelecer um túnel seguro para este tipo de comunicação. Em ambiente de Home Office este item é extremamente importante e não deve ser deixado de lado.

VPN é uma sigla, em inglês, para “Rede Virtual Privada” e que, como o nome diz, funciona criando uma rede de comunicações entre computadores e outros dispositivos que têm acesso restrito a quem tem as credenciais necessárias.

Neste tipo de conexão, todo o tráfego é criptografado o que dificulta intrusões. Configure VPN, com o uso de senha forte e certificado digital.

9. Reforce a autenticação

Para navegar com segurança na internet e evitar que sua conta seja invadida, é importante escolher uma boa senha. A maioria dos usuários utiliza a mesma senha para vários serviços. Assim, se um serviço é comprometido e a senha é vazada, todos os demais serviços podem ser comprometidos.

É importante aplicar na empresa uma política de senhas fortes, com prazo curto para alteração da mesma. Considere também opção de utilizar uma solução de duplo fator de autenticação. 

10. Faça um backup diário (se possível em nuvem)

O Backup é a última camada de proteção. Deve ser usado em último caso para a recuperação das informações.

Para evitar que os seus backups sejam também invadidos, opte em ter adicionar uma cópia remota (em nuvem). Assim não haverá contato do hacker com as suas informações. Realize backup de todos os seus arquivos, incluindo imagens de suas máquinas virtuais.

Precisa de ajuda?

A NETDEEP possui tecnologias e serviços de segurança da informação. Estamos há mais de uma década ajudando centenas de empresas a obter mais segurança aos seus dados. Juntamente com nossa rede de parceiros estamos aptos a atender empresas de todo o país.

Se você precisa de ajuda para implementar estes itens entre em contato conosco. Será um prazer lhe auxiliar. Até a próxima!

Escrito por André L.R.Ferreira

Diretor da NETDEEP. Atua há 20 anos no desenvolvimento de produtos e tecnologias de Segurança de Dados para instituições privadas e públicas.

Deixe o seu comentário

netdeep