Por Jeferson Propheta

No ano passado, a área de inteligência da CrowdStrike previu que a ameaça do ransomware apenas pioraria. E as notícias, desde então, confirmaram isso. Analisando os episódios de ataques de ransomware desde o início de maio de 2021, temos cinco episódios significativos, como a interrupção de um grande oleoduto dos EUA que transporta quase metade de todo o combustível consumido na costa leste do país (por meio do ransomware DarkSide); o roubo de 3 terabytes de dados sensíveis de parte das operações asiáticas de uma subsidiária global de seguros (mediante o uso do ransomware Avaddon); o desligamento dos sistemas de TI do Health Service Executive da Irlanda num ataque DarkSide, que interrompeu o atendimento aos pacientes em todo o país; uma série de ataques contra organizações norte-americanas de saúde e agências de primeiros socorros (segundo o FBI, graças ao ransomware Conti); e o ataque contra a maior empresa de frigoríficos do mundo, que teve as suas operações interrompidas na América do Norte e na Austrália (acredita-se que o ataque teve início na Rússia, com o uso do ransomware REvil).

Apesar disso, nem todos os ataques de ransomware são notícia. Em uma pesquisa que patrocinamos em 2020, apuramos que 56% dos entrevistados admitiram que sua organização havia sofrido um ataque de ransomware nos 12 meses anteriores. Segundo o estudo, entretanto, podem não ser relatados por vários motivos, inclusive pelo desejo de confidencialidade ou pelo medo de efeitos negativos nos negócios.

Os ataques de ransomware podem ocorrer (e, de fato, ocorrem) em todos os setores, e são cada vez mais perniciosos. O impacto financeiro potencial pode ser impressionante. Para se ter uma ideia, a cidade de Atlanta estimou que um único incidente de ransomware (ocorrido em março de 2018) custou aos contribuintes até US$ 17 milhões em resposta e recuperação. Isso sem contar o custo ocasionado em decorrência de serviços perdidos.

Tendo em vista o histórico recente de ataques por ransomware, gostaria de listar uma série de controles e práticas de segurança eficazes, que visam reduzir drasticamente o risco de um surto de ransomware ao seu ambiente operacional.

Fundamentalmente, as organizações não podem proteger o que não podem ver. Pontos cegos, na forma de ativos, aplicativos e usuários invasores, tornam-se vetores de ataque de alto risco. Por isso, minimizar a superfície de ataque é essencial para ganhar visibilidade em cada endpoint e carga de trabalho em execução, além de manter todas as superfícies de ataque vulneráveis atualizadas e protegidas.

O principal benefício da higiene de TI é dar à empresa total transparência de rede. Essa perspectiva fornece uma visão panorâmica, bem como o poder de detalhar e limpar proativamente o ambiente. Depois de atingir esse nível de transparência, há a compreensão de “quem, o quê e onde” essa higiene de TI oferece benefícios tremendos para as organizações. As equipes responsáveis se tornam capazes de identificar lacunas em sua arquitetura de segurança, visualizar o que está sendo executado em seu ambiente, saber quem está executando, garantir a conformidade do usuário e adicionar defesa em profundidade. Com total visibilidade e compreensão do ambiente, torna-se possível identificar deficiências de segurança relacionadas à higiene e resolvê-las imediatamente.

Além das práticas recomendadas acima, também é importante conhecer as etapas específicas de higiene de TI que visam a proteção contra ransomware em particular, tais como não permitir hosts na internet com a porta RDP 3389 exposta; desativar as comunicações host-a-host o mais estritamente possível; considerar que todas as atividades administrativas podem ocorrer por meio de um jump host (sendo necessário habilitar a política de identidade para forçar o uso administrativo apenas por meio desse mecanismo); e aplicar autenticação de dois fatores (2FA) ou a autenticação multifator (MFA).

É comum que as demandas de produtividade de uma empresa exijam que as configurações da política de prevenção sejam alteradas. Também é comum que os invasores encontrem os cantos escuros da rede e conduzam seus ataques nesses tipos de sistemas ou a partir deles. Por isso, sempre recomendamos o uso de configurações de política de prevenção adequadas. É importante destacar que, em muitas organizações, a equipe de segurança trabalha para equilibrar as necessidades e as tolerâncias de produtividade da empresa mediante a implementação de controles de segurança, a fim de evitar a interrupção de ativos e a perda de milhares de dólares de receita a cada segundo.

Também é importante acompanhar as atualizações do sensor. Um erro de cálculo comum que observamos está na atualização manual desses equipamentos. E para isso, é necessário que a empresa use um programa de patch de alto nível, que tenha a capacidade de alternar rapidamente as versões dos sensores para vários grupos host.

No entanto, nenhum conselho ou dica é eficaz se a organização não souber reconhecer quando é necessário pedir ajuda. Quando o gestor acredita que a sua empresa pode ser afetada por um ransomware, chamar especialistas para ajudar a investigar, compreender e melhorar essa situação pode fazer a diferença entre um pequeno incidente e uma violação grave. Em alguns casos, as organizações ficam cientes da atividade do ator da ameaça em seu ambiente, mas podem não ter a visibilidade para resolver o problema ou a inteligência certa para entender a natureza da ameaça. Aprender sobre as ameaças mais recentes e buscar ajuda, ativando uma equipe de resposta a incidentes ou retentor, pode permitir a detecção e a correção antes que o agente da ameaça seja capaz de implantar ransomware ou exfiltrar dados do ambiente.

Vale lembrar que é sempre melhor procurar ajuda especializada antes de realmente precisar fazer isso. Uma avaliação técnica pode ajudar as instituições a identificar e compreender proativamente os fatores sobre a rede que podem tornar futuros incidentes de ransomware mais ou menos prováveis.

*Jeferson Propheta é country manager da Crowdstrike – empresa de cibersegurança que traz soluções para proteção de endpoints, através de tecnologias como Inteligência Artificial e computação em nuvem.