O que é Ransomware
Você deve ter ouvido muito sobre ransomware ultimamente. Ransomware é um tipo de malware usado por hackers para comprometer um sistema, criptografar frequentemente dados críticos de negócios e forçar os proprietários a pagarem para desbloqueá-los e obtê-los de volta.
Como funciona o Ransomware?
Como a maioria dos malwares, o ransomware geralmente depende muito da engenharia social. Um hacker precisa de um ponto de entrada para acessar um computador, e o ponto de entrada mais comum é uma pessoa utilizando um dispositivo que esteja conectado com a sua rede. Como você pode imaginar, quanto maior a empresa, maior o número de pontos de entrada que um hacker pode explorar para entrar no sistema.
A forma mais comum para o ransomware entrar em um computador é por meio de phishing de e-mail. Esse tipo de e-mail geralmente inclui anexos ou links para sites maliciosos. Depois que o usuário abre o anexo ou clica no link, o ransomware pode infectar o computador e se espalhar por toda a rede. É por isso que a engenharia social é relevante. Os grupos de ransomware são capazes de induzir as pessoas a abrir anexos ou clicar em links, não apenas parecendo legítimos, mas também desencadeando um senso de urgência que instiga os usuários a clicarem sem questionar.
Outro ponto de entrada comum de ransomware são os aplicativos e redes vulneráveis, usados por invasores para obter acesso a um servidor ou desktop específico, explorando um sistema sem patch com vulnerabilidades conhecidas, ou por meio de um exploit de dia zero. (Exploits de dia zero tiram proveito de vulnerabilidades que ainda não são conhecidas por quem pesquisa ameaças. Nesse estágio, quem está atacando visa essas vulnerabilidades porque os patches de software ainda não existem e as soluções de segurança baseadas em assinaturas ainda não estão preparadas para o novo padrão de ataque).
Mas, independente do método ou proteção em vigor, basta um clique para permitir que os invasores entrem em um sistema, onde podem propagar malwares devastadores em outras máquinas.
Por que você deveria se preocupar com Ransomware?
Se parece que você tem ouvido mais e mais sobre ransomware recentemente, isso não é mera coincidência. O valor total pago pelas vítimas de ransomware quadruplicou no ano passado, e isso apenas em relação a ataques que foram relatados - a maioria das empresas não reportam os ataques. O que é pior, os impactos econômicos vão muito além dos custos de resgates, uma vez que os pagamentos de ransomware não cobrem os custos associados ao tempo de inatividade e recuperação do serviço.
Em uma pesquisa de 2020 feita pela Sophos, 51% dos gerentes de TI relataram ter sido atingidos por ataques de ransomware, e 73% desses ataques conseguiram criptografar dados.
Os ataques de ransomware na verdade não são novidade. O primeiro ataque reportado aconteceu em 1989, embora com tecnologia muito diferente, mas com técnicas de engenharia social semelhantes. Então, por que está aumentando agora? Existem três razões principais para isso.
- Ransomware-as-a-service (RaaS): Os ataques de ransomware costumavam exigir um hacker com conhecimento suficiente para desenvolver malware e distribuí-lo. No entanto, um novo modelo de negócios tem emergido, no qual os hackers desenvolvem softwares de ransomware e o vendem a qualquer criminoso que queira lançar um ataque em troca de uma taxa, geralmente um acordo de participação nos lucros. Isso significa que agora qualquer um pode lançar um ataque, independente de sua habilidade. Como afirma o IST, “as barreiras para entrar neste empreendimento criminoso lucrativo tornaram-se terrivelmente baixas”.
- Criptomoeda: A ascensão do ransomware está intimamente ligada à ascensão das criptomoedas, o que torna significativamente mais difícil rastrear as transações. Muitas vezes, o dinheiro do ransomware flui por meio de transações em várias etapas, envolvendo uma variedade de instituições financeiras, muitas das quais não fazem parte de mercados financeiros regulamentados. Além disso, a maioria das criptomoedas não tem fronteiras, o que não só tornam os fundos difíceis de rastrear, mas também a sua recuperação ainda pior.
- Ameaça Dupla: Se antes os ataques de ransomware ameaçavam bloquear seus dados, hoje em dia eles representam uma ameaça dupla de bloquear e/ou vazar seus dados para o público. Dada a facilidade de vazamento para o público em geral e os riscos de reputação associados a isso, a ameaça dupla torna o ransomware mais poderoso, pois adiciona um senso de urgência: você paga agora ou corre o risco de ter os dados do seu cliente nas mãos erradas, independente de você conseguir ou não recuperar essas informações por meios próprios.
Como você pode prevenir o Ransomware?
Em primeiro lugar, o ransomware requer educação do usuário. Quanto mais funcionários você tiver em sua empresa, mais pontos de entrada os hackers terão para atacá-lo. Nada substitui o planejamento proativo de incidentes, a educação dos colaboradores e a higiene básica de segurança. As empresas também devem se certificar de manter seus sistemas operacionais e outros componentes, incluindo software de proteção de endpoint, atualizados. O uso de uma abordagem moderna baseada em riscos para a segurança cibernética pode ajudar a priorizar os esforços nessa área. Além disso, a conformidade com os regulamentos específicos do seu setor, como PCI, SOC2, ISO, entre outros (mesmo aqueles que não são obrigatórios), ajudará a orientar as empresas a melhorar seus programas de segurança.
Paralelamente, existem técnicas fundamentais que você pode implementar para minimizar ainda mais o risco de ransomware.
Use um Web Application Firewall (WAF)
WAFs podem impedir cross-site scripting (XSS), em que os invasores tentam carregar scripts em sites legítimos que podem ser visitados por funcionários de uma empresa-alvo. Ataques XSS típicos incluem roubo de sessão, account takeover (ATO), desvio de MFA, substituição ou desfiguração de nó DOM (como painéis de login de trojan), ataques contra o navegador do usuário, como downloads de software malicioso, registro de chaves e outros ataques direcionados ao cliente.
Além disso, para derrotar ataques de phishing que tentam alavancar seu conteúdo (por exemplo, imagens estáticas) em páginas de destino impostoras, WAFs permitem que você coloque os domínios na lista de permissões, podem ser referenciados para seus ativos e bloquear todos os outros, tornando a vida mais difícil para os possíveis invasores. Ao proteger sites e aplicativos usados por funcionários, as equipes de segurança podem impedir que invasores comprometam contas de usuários individuais, que costumam ser usadas por hackers como ponto de entrada em uma organização.
WAFs também podem bloquear uma série de ataques de injeção, incluindo injeção de comando do sistema operacional, em que os invasores tentam executar comandos em servidores que hospedam aplicações da web protegidos de forma inadequada. Quando bem-sucedidas, as injeções de comando podem levar ao controle total de um servidor, de onde os invasores podem se mover lateralmente pela rede para outras máquinas ou instalar malware que criptografa dados, travando sistemas comerciais críticos e até mesmo exfiltrando dados confidenciais.
É importante observar, porém, que ao escolher um WAF deve-se optar por uma solução que não dependa de assinaturas de ameaças conhecidas. As soluções baseadas em assinaturas contam com padrões de ataque conhecidos e fornecem pouca ou nenhuma proteção contra ameaças de dia zero. Em vez disso, procure soluções que usem técnicas de detecção avançadas, incluindo aquelas que utilizam algoritmos de pontuação para reduzir o risco e mitigar ameaças de dia zero.
Implemente um framework Zero-Trust
Organizações que se preocupam com ransomware devem implementar uma estrutura de segurança zero trust. Conforme mencionado anteriormente, uma vez que os invasores comprometem uma determinada máquina em uma rede, eles tentarão se mover lateralmente, assumindo e criptografando máquinas adicionais. Em modelos de segurança de rede mais antigos, o acesso e, às vezes, os privilégios de administração eram assumidos por qualquer pessoa na rede. É difícil imaginar este modelo um dia sendo seguro, mas era a norma antes que as mudanças tecnológicas dissolvessem as fronteiras corporativas tradicionais. Hoje em dia, funcionários, contratados e clientes acessam aplicações essenciais de qualquer lugar do mundo e em uma ampla variedade de dispositivos.
Ao configurar microperímetros seguros usando edge firewalls com regras programáveis e personalizadas, as empresas podem segmentar e proteger uma ampla variedade de aplicações internas ou externas, redes contra acesso não autorizado e outras ações maliciosas. A escolha de soluções que registram dados valiosos em tempo real também pode melhorar as práticas de observabilidade e a resposta a incidentes - dois pilares essenciais da segurança zero trust.
Tire proveito das aplicações serverless
As organizações também devem aproveitar as vantagens de segurança das aplicações serverless. Aplicações desenvolvidas com funções serverless removem camadas de infraestrutura vulneráveis que as equipes de DevSecOps teriam de manter. Com serverless computing, as empresas não precisam mais se preocupar em manter os sistemas operacionais atualizados, digitalizar contêineres ou aplicar patches aos servidores. Em vez disso, elas podem se concentrar na criação de aplicações inovadoras e de alto desempenho sem se preocupar com a segurança, ou mesmo com o dimensionamento da infraestrutura.
Além disso, especialistas concordam que edge computing é a próxima fronteira lógica após a mudança para cloud. E quando se trata de funções serverless, as oportunidades e os casos de uso são quase ilimitados. Muitas organizações já estão usando funções para modernizar aplicações legadas, adicionando camadas de segurança adicionais ou implementando regras de negócios em edge. Um caso de uso de segurança comum que vemos hoje inclui a adição de protocolos de autenticação e autorização mais robustos às aplicações existentes. Em outros casos, vemos clientes usando plataformas de edge computing com recursos de segurança integrados para ocultar servidores de origem de possíveis invasores ou substituindo completamente seus servidores de origem em uma rede de edge serverless. Sem servidores centralizados para atacar e assumir o controle, edge computing torna a vida de um golpista de ransomware muito mais difícil.
Conclusão
Ransomware tem consequências enormes, incluindo interrupção de negócios, vazamento de dados, danos à reputação, taxas de recuperação e outros custos. Sem proteção suficiente, as organizações atingidas por ransomware podem ser tentadas a pagar criminosos para recuperar seus dados ou desbloquear sistemas críticos, incentivando ataques futuros. Além disso, com outros fatores que afetam a frequência de ataques, como ransomware-as-a-service e os altos valores das criptomoedas que se mantêm, a necessidade de cada empresa se defender contra essa ameaça cada vez mais comum se torna mais importante.
Com a plataforma serverless de edge computing da Azion, empresas podem diminuir a vulnerabilidade a ataques de ransomware usando um WAF edge-native, implementando segurança zero-trust e aproveitando as vantagens de segurança de aplicações serverless, incluindo risco de vulnerabilidade de infraestrutura bastante reduzido.
Para saber mais sobre as soluções da Azion para proteção contra ransomware, fale hoje mesmo com um de nossos especialistas!