Quando se fala de ransomware, muitas vezes, os tópicos que surgem mais frequentemente relacionam-se acerca da rapidez com que os dados de uma empresa conseguem ser encriptados, com os regates com valores exorbitantes e com roubo e exposição de informação roubada como forma de levar as vítimas a acederem às exigências dos criminosos.
Porém, tal como explicou Peter McKenzie, Incident Response Manager da Sophos, na edição de 2021 do evento Sophos Day, há todo um conjunto de questões menos faladas acerca da realidade que as vítimas enfrentam e que podem ajudar outras organizações a estarem mais bem preparadas para a eventualidade de sofrerem um ataque de ransomware.
Num relatório publicado ainda neste ano, a Sophos deu a conhecer que, em média, os atacantes conseguem permanecer “escondidos” nas redes das empresas durante 11 dias antes de serem detetados.
11 dias são mais do que suficientes para que os atacantes consigam levar a cabo um vasto conjunto de atividades maliciosas, sem particular se consideramos que algumas conseguem ser executadas numa questão de horas, ou até mesmo de minutos.
“A realidade é que [os ataques] são controlados por humanos, que podem estar nas redes por dias, semanas ou meses”, indica Peter McKenzie. A mobilização do ransomware é apenas o último passo do ataque e só acontece quando os atacantes estão preparados, tendo já um conhecimento das redes e das suas fraquezas. Em muitos dos casos, as vítimas só se apercebem que algo está errado quando já é tarde de mais.
Fora do WannaCry, a maioria do ransomware não se “espalha” como um vírus. O software malicioso está a ser controlado pelos atacantes, que identificaram previamente todos os pontos fracos de um sistema.
O próprio ransomware “é apenas uma parte do ataque” e dos planos dos cibercriminosos, afirma Peter McKenzie. A maioria dos casos, sobretudo os mais recentes, inclui exfiltação de dados, onde são roubados centenas de GB ou então TB de informação das organizações.
Os criminosos roubam tudo aquilo que podem usar mais tarde para expor a empresa e levá-la a aceder ao seu pedido de resgate: de dados sobre os salários a emails sobre ações disciplinares. Mesmo depois de terem impedido o ataque de avançar e já de estarem em processo de recuperação, as empresas podem continuar a sofrer às mãos dos cibercriminosos.
“O que temos visto ao longo dos últimos anos é que os atacantes estão a fazer cada vez mais pressão sobre as vítimas. O seu objetivo é levá-las a pensar que não há qualquer luz ao fundo do túnel e que não há fim para todo o caos a não ser que paguem o resgate”, aponta Peter McKenzie.
O especialista indica que, nestes casos, os atacantes podem importunar as vítimas com telefonemas, emails com ameaças de exposição de dados e até ataques DDoS. Há também a possibilidade de começarem a contactar os clientes das empresas visadas, de forma a criar desconfiança na sua rede de contactos.
É sabido que os backups regulares podem ajudar as empresas a recuperar mais facilmente de um ataque. Porém, quando os backups estão todos online, os atacantes vão encontrar forma de aceder aos mesmos e pior: apagá-los completamente.
Peter McKenzie reconta um caso de uma empresa que tinha todos os seus backups na Cloud. Os cibercriminosos que a atacaram, tendo conhecimento alargado de todos os seus pormenores, decidiram contactar o fornecedor de serviços de backup na Cloud, fazendo-se passar pela empresa, indicando que queriam terminar o contrato e apagar toda a informação.
É necessário ter mais do que uma forma de recuperar a informação. Aliás, o responsável indica que as empresas devem seguir aquilo a que chama o “método 3-2-1”: “três cópias dos dados, usando dois sistemas diferentes para backups, com um deles a estar completamente offline”.
“Limpar” completamente os equipamentos afetados por um ataque de ransomware não é suficiente. Os cibercriminosos querem manter o acesso à rede depois de um incidente para que possam monitorizar o processo de recuperação e voltar a atacar mais tarde. Além disso, todo o processo de recuperação demora muito mais do que o esperado, mesmo nos casos onde os ataques foram só parcialmente bem-sucedidos.
“Nunca conheci uma vítima que estivesse verdadeiramente preparada para um ataque de ransomware. Estes ataques são devastadores e a maioria das empresas que os enfrenta nunca teve de lidar com algo semelhante. A coisa mais próxima de uma situação destas é um incêndio que destrua completamente os escritórios”, enfatiza.
A prevenção é essencial e, embora não haja uma forma simples e rápida de impedir um ataque, Peter McKenzie deixa três recomendações básicas, mas fundamentais para que as organizações não caiam na “armadilha” dos criminosos e que devem fazer parte da estratégia de qualquer empresa.
- “Não pode lutar contra aquilo que não vê”
- Todos os equipamentos, de computadores a smartphones e dispositivos inteligentes, precisam de estar protegidos. “Os atacantes são muito bons a encontrar máquinas desprotegidas na rede” e vão fazer de tudo para se infiltrarem nelas sem que ninguém se aperceba disso.
- "Não facilite a vida aos cibercriminosos"
- É fulcral que mantenha todos os sistemas e programas usados sempre atualizados, sem esquecer firewalls, VPNs. Caso contrário, os atacantes podem aproveitar para explorar vulnerabilidades e ganhar acesso às redes. Se não há possibilidade de atualizar remova-os da sua rede escolha opções mais recentes.
- “A tecnologia não é suficiente"
- Peter McKenzie sublinha que é necessário complementar as soluções tecnológicas com colaboradores humanos que se mantenham atentos ao sinais de alerta e que consigam mobilizar uma resposta o mais rapidamente possível.
Pergunta do Dia
Em destaque
-
Multimédia
Missão Ariel da ESA quer explorar 1.000 exoplanetas e Portugal ajuda com engenharia e ciência -
App do dia
Wayther: uma nova app de previsões meteorológicas detalhadas para otimizar viagens -
Site do dia
Tetr.io é uma versão competitiva de Tetris e os adversários não dão tréguas -
How to TEK
Farto de reagir no WhatsApp com emojis? Crie os seus próprios stickers
Comentários