RANSOMWARE: Como responder a um incidente?

Os ataques de Ransomware colocaram a equipe de TI e os profissionais de Segurança da Informação diante de um grande desafio. Empresas de todos os tamanhos e dos mais variados cenários tem sido atacadas e embora a melhor estratégia seja tomar medidas para evitar que ataques de Ransomware aconteçam, a realidade é que, não há como totalmente garantir que seus dados estejam seguros. Não existe uma fórmula mágica! A aumento da segurança vem através de uma série de processos que precisam ser aplicados dentro da empresa que envolvem no mínimo a Prevenção, Detecção e Resposta à incidentes.

É por isso que é crucial ter um Plano de Resposta à Ransomware junto ao Plano de Resposta à Incidentes.

Este plano ajuda os departamentos de TI internos e provedores de serviços gerenciados a reagir de forma rápida e eficaz quando ocorre um Ransomware.

Além disso é necessário proteger a reputação da sua empresa. Mesmo que o impacto financeiro direto do tempo de inatividade seja mínimo, a marca da empresa provavelmente será prejudicada se os serviços forem interrompidos por um ataque de Ransomware. Com um plano de resposta implementado, você estará em uma posição melhor para recuperar os dados antes que as operações sejam interrompidas de forma crítica.

Neste artigo colocamos de maneira bem resumida as etapas obrigatórias que devem fazer parte de um Plano de Resposta à Ransomware. Confira!

ETAPA 1 – IDENTIFIQUE E DESCONECTE TUDO

Acabei de ser infectado!!! Qual a primeira coisa a fazer?

É necessário fazer a contenção, isolando o incidente para que ele não se propague por toda a empresa.

  • Identifique os sistemas afetados.
  • Depois de identificar os sistemas afetados, sua próxima etapa deve ser desativá-los para evitar que o ataque se espalhe ainda mais.
  • Você pode desativá-los desligando-os ou simplesmente desconectando-os da rede. Desconecte o (s) computador (es) infectado (s) da rede e desligue qualquer funcionalidade de rede (Ethernet, Wi-Fi, Bluetooth, etc.).
  • Qualquer que seja a abordagem que você adote, no entanto, certifique-se de agir de maneira controlada, ao invés de entrar em pânico.
  • Especifique em seu plano quais sistemas serão desativados primeiro, como eles serão desativados e quais etapas devem ser executadas durante a desativação para garantir que os dados permaneçam intactos quando os sistemas ficam offline.

ETAPA 2 – DETERMINE O ESCOPO DA INFECÇÃO

Verifique os seguintes sinais de criptografia:

  • Drives mapeados ou compartilhados
  • Pastas mapeadas ou compartilhadas de outros computadores
  • Dispositivos de armazenamento de rede de qualquer tipo
  • Discos rígidos externos
  • Dispositivos de armazenamento USB de qualquer tipo (pen drives, smarthone, tablets).
  • Demais dispositivos IP (câmeras, impressoras, etc.).
  • Armazenamento baseado em nuvem: DropBox, Google Drive, OneDrive etc.

ETAPA 3 – DETERMINE SE OS DADOS OU CREDENCIAIS FORAM ROUBADOS

  • Verifique os logs e registros. Se você tiver um software de DLP, examine-o para todo e qualquer sinal de vazamento de dados. Principalmente dados pessoais. Se dados pessoais foram roubados,  devido a LGPD (Lei Geral de Proteção de Dados), o  Encarregado de Proteção de Dados Pessoais deve ser envolvido para decidir qual será a resposta. 
  • Procure por grande arquivos compactados suspeitos (por exemplo, zip, rar, tgz, tar, arc, etc.) contendo dados confidenciais que poderiam ter sido usados ​​como arquivos de teste.
  • Procure malware, ferramentas e scripts que podem ter sido usados ​​para procurar e copiar dados.
  • Observe as mensagens de aviso. Um dos sinais mais precisos de roubo de dados de Ransomware é um aviso do grupo criminoso envolvido, anunciando que seus dados e / ou credenciais foram roubados.

ETAPA 4 – DESCUBRA QUAL A FAMÍLIA DE RANSOMWARE

Por exemplo: RansomEXX, Egregor, Dharma, SamSam, etc.

Dependendo da família, ele pode atacar até outros tipos de sistemas operacionais e aplicativos (Sistemas Linux, Bancos de Dados, Servidores Web).

Você pode descobrir esta informação submetendo um arquivo infectado para análise no site VirusTotal, No More Ransom ou ID Ransomware.

ETAPA 5 – DETERMINE A RESPOSTA

Agora que você conhece o escopo do dano, bem como o tipo de Ransomware com o qual está lidando e pode tomar uma decisão mais certa sobre qual será sua próxima ação.

Existem muitos tipos de resposta, aqui está um resumo das possíveis respostas:

Resposta 1 – DIVULGAR O ATAQUE

Às vezes, os regulamentos de conformidade podem exigir que você divulgue o ataque. Por exemplo, os ataques de Ransomware que afetam os dados que a LGPD/GDPR define como confidenciais exigem a divulgação obrigatória dos ataques, independentemente do volume de dados afetados. Por outro lado, os dados que não são considerados pessoais ou confidenciais geralmente não exigem a divulgação de uma violação.

Se a divulgação for necessária, siga as etapas especificadas pela estrutura regulatória relevante para divulgar o ataque. Normalmente, a divulgação envolve notificar as autoridades governamentais e / ou os consumidores cujos dados pessoais foram violados.

Resposta 2 – RESTAURAR SEUS ARQUIVOS DE BACKUP.

  • Localize seus backups. Certifique-se de que todos os arquivos de que você precisa estão lá.
  • Verifique a integridade dos backups (ou seja, a mídia não está lendo ou os arquivos corrompidos).
  • Verifique se há Cópias Sombra (Shadow Copy), se possível (pode não ser uma opção em Ransomwares mais recentes).
  • Verifique se há versões anteriores de arquivos que podem ser armazenados em nuvem, por exemplo, DropBox, Google Drive, OneDrive.
  • Remova o Ransomware do sistema infectado.
  • Restaure seus arquivos de backups.
  • Determine o vetor de infecção e controle.

RESPOSTA 3  – TENTAR DESCRIPTOGRAFAR

  • Depois de determinada a família, determine a versão do Ransomware, se possível.
  • Localize uma ferramenta de descriptografia. Pode não haver um para as famílias mais recentes. Se for bem-sucedido, continue as etapas.
  • Anexe qualquer mídia de armazenamento que contenha arquivos criptografados (discos rígidos, pen drives, etc.)
  • Descriptografe os arquivos.
  • Determine o vetor de infecção e o controle.

RESPOSTA 4 – NÃO FAZER NADA (PERDER OS ARQUIVOS)

  • Remova o ransomware. Se for uma ameaça 0day, reinstale os sistemas afetados.
  • Faça backup de seus arquivos criptografados para possível descriptografia futura (opcional).

RESPOSTA 5 – NEGOCIAR E/OU PAGAR O RESGATE

Não recomendamos que se pague o resgate, pois não existem garantias e ao pagar você estará incentivando o crime!
Sabemos que para alguns casos esta pode ser a última opção. Se os dados ou credenciais forem roubados você deve determinar se o resgate deve ser pago para evitar que dados ou credenciais sejam liberados publicamente.

ETAPA 6 – PROTEGENDO-SE NO FUTURO

Desenvolva e implante Políticas e Controles de Segurança da Informação. Veja aqui nosso outro artigo que lhe ajudará muito.

A NETDEEP possui tecnologias e serviços de Segurança da Informação. Estamos há mais de uma década ajudando centenas de empresas a obter mais segurança aos seus dados. Juntamente com nossa rede de parceiros estamos aptos a atender empresas de todo o país.

Se você precisa de ajuda para implementar estes itens entre em contato conosco. Será um prazer lhe auxiliar. Até a próxima!

Este artigo foi lido 102 vezes!

Deixe o seu comentário

netdeep