Os crimes de ransomware estão aumentando a cada dia, afetando negócios de diversas indústrias, especialmente o setor de saúde, e até governos. Isso tem levado muitas organizações a perceberem que a abordagem tradicional está falhando em acompanhar a rápida evolução do cenário de ameaças, colocando em risco dados de propriedade intelectual e outros ativos essenciais para a continuidade do negócio.
Os ataques de ransomware estão se tornando cada vez mais comuns porque são extremamente efetivos e lucrativos. A ameaça é efetiva porque é relativamente fácil iludir alguém para que faça download de um malware por meio de um ataque de phishing. Além disso, quando um ransomware é aberto, dificilmente será detectado até que essa seja sua intenção.
Sua característica “explícita”, inclusive, é o que diferencia o ransomware das outras ameaças. Trata-se do único tipo de ataque em que os criminosos querem ser notados, geralmente, logo após conseguirem acesso aos dados da vítima e criptografá-los. Seu modo de ação, porém, é bem parecido com o das ameaças internas.
Quase todas as violações de dados chegam na forma de ameaças internas. A origem das violações de dados pode estar em funcionários descontentes ou em alguém tentando obter ganhos materiais. No entanto, na maioria dos casos, são resultado de uma gestão inadequada de acesso aos dados e de erros inocentes cometidos por funcionários, como abrir um malware anexado em um e-mail.
Mesmo com todas as informações amplamente divulgadas sobre os perigos dos ataques de phishing e os riscos de abrirmos anexos de usuários desconhecidos, as pessoas não estão mais cuidadosas. Segundo o relatório Data Breach Investigations, de 2016, 30% das mensagens de phishing foram abertas, mais que os 24% do ano anterior.
Outro ponto a favor do ransomware é o aumento nos seus níveis de sofisticação. O ataque não vem mais apenas por e-mail, mas também conta com a ajuda de sites infectados e tira vantagens de softwares desatualizados e vulneráveis nos computadores dos usuários.
Backup não é suficiente para proteger seu negócio
Levando em consideração que o modo de ação do ransomware é parecido com o das ameaças internas, treinamentos em cibersegurança podem ser efetivos. É o que chamamos de segurança de dentro para fora.
Além disso, muitos especialistas argumentam que bons processos de backup são suficientes para combater um possível ataque de ransomware sem grandes perdas financeiras. De fato, uma estratégia de backup pode trazer muitos benefícios, mas a maioria das organizações não conta com um backup efetivo. Além de contar com backups físicos desatualizados, o processo de recuperação dos arquivos é extremamente custoso. Os ransomwares também estão se adaptando a essa estratégia, criando modos de certificar-se de criptografar também os arquivos de backup.
Em vez de depender apenas do backup físico, é importante investir no monitoramento constante da infraestrutura de TI, buscando sinais de criptografia em massa e extensões tipicamente criadas por softwares de ransomware.
O User Behaviour Analytics (UBA) é a melhor maneira de identificar ameaças sofisticadas, entendendo o que é normal e o que não é, e identificando comportamentos anômalos nas contas privilegiadas.
Sem nenhuma configuração, o UBA é capaz de detectar sinais de atividades do ransomware – quando os arquivos estão sendo criptografados – e parar os ataques sem depender de listas de assinaturas estáticas, como é o caso das soluções tradicionais de antivírus e antimalware.
Uma vez detectado, uma série de passos automatizados podem ser acionados para prevenir que a infecção se espalhe.
* Carlos Rodrigues é gerente da Varonis na América Latina