Guia CISO: como agir perante um ataque de ransomware em 11 passos

As táticas utilizadas pelos atores de ciberameaças continuam a sofrer alterações contantes e é necessário não só continuar a corrigir os "erros básicos" das estratégias defensivas, como avaliar continuamente as políticas de segurança de cada organização para garantir que são fornecidas respostas adequadas. Os CISOs são agora confrontados com uma dura realidade: é menos uma questão de se, mas quando serão atacados.

A pesquisa da FortiGuard Labs mostra ainda que quase todas as áreas em todo o mundo são potenciais alvos. Com isto em mente, os seguintes passos podem ajudar as organizações a lidar eficazmente com um ataque de ransomware ativo:

1. Não entrar em pânico:

É necessário manter a calma e começar por executar o plano de resposta a incidentes (IR), que cada empresa deverá ter disponível. Caso não exista um plano, deve proceder-se ao contacto com o fornecedor de segurança para obter ajuda.

Muitas organizações utilizam serviços de resposta a incidentes, como é o caso da Equipa de Resposta FortiGuard.

2. Isolar sistemas e parar a propagação:

Existem múltiplas técnicas para isolar a ameaça e impedir a sua propagação. Primeiro, é necessário identificar o alcance do ataque. Se o incidente já for conhecido por ser generalizado, devem ser implementadas barreiras ao nível da rede, como isolar o tráfego no switch ou no edge da firewall, ou considerar temporariamente interromper a ligação à Internet.

Caso o incidente tenha infetando apenas alguns sistemas, deve-se isolar os atacantes ao nível do dispositivo, interrompendo parte da rede. Se disponível, a tecnologia de EDR (Endpoint Detection and Response) pode bloquear o ataque ao nível dos processos, o que pode ser a melhor opção imediata com a mínima perturbação do negócio.

3. Identificar a variante de ransomware:

Muitas das táticas, técnicas e procedimentos (TTPs) de cada variante de ransomware estão documentados. Determinar com que variante se está a lidar pode fornecer indicações sobre a localização da ameaça e de que forma é que esta se está a propagar. Dependendo da variante, algumas ferramentas de desencriptação podem já estar disponíveis.

4. Identificar o acesso Inicial:

Determinar o ponto de acesso inicial ajudará a identificar e fechar a porta de entrada da segurança. Os vetores de acesso iniciais comuns são o phishing, exploits nos serviços de edge (como serviços de desktop remoto) e o uso não autorizado de credenciais. Determinar o ponto inicial de acesso é por vezes difícil, e pode ser necessário recorrer à experiência de equipas forenses digitais e peritos em IR.

5. Identificar todos os sistemas e contas infetados:

Identificar qualquer malware ativo ou resquícios persistentes em sistemas que ainda estejam a comunicar com o servidor de comando e controlo (C&C). As técnicas comuns de persistência incluem a criação de novos processos que executam a carga útil maliciosa, utilizando chaves de registo de execução ou criando novas tarefas programadas.

6. Determinar se os dados foram retirados:

Muitas vezes, os ataques de ransomware não só encriptam os ficheiros como também os copiam para o exterior. A ameaça de publicar dados online pode aumentar a hipótese de pagamento do resgate.

É importante contactar os parceiros de negócios se suspeitar que os dados foram roubados. Devem ser procurados sinais de copia de dados, como grandes transferências de dados ou comunicações estranhas de servidores para aplicações de armazenamento em cloud.

7. Localizar as cópias de segurança e determinar a integridade:

Um ataque de ransomware tentará eliminar os backups. Por isso, as organizações devem certificar-se de que a sua tecnologia de backup não foi afetada pelo incidente e que ainda se encontra operacional. Em muitos ataques, os atacantes costumam alojar-se na rede das empresas durante dias, se não semanas, antes de decidirem encriptar os ficheiros. Isto significa que muitas organizações podem ter cópias de segurança que contenham cargas maliciosas que podem afetar a integridade.

8. Higienizar os sistemas ou criar novos:

No caso de a organização estar confiante que já neutralizou o ataque é tempo de avançar. No entanto, pode ser mais fácil e seguro criar novos sistemas “limpos”. Pode até ser considerado a construção de um ambiente totalmente separado e limpo para o qual se possa migrar. Ao reconstruir ou higienizar a rede, as empresas devem certificar-se de que os controlos de segurança adequados são instalados.

9. Reportar o incidente:

É importante reportar o incidente e determinar e enquadramento legal do incidente. O departamento jurídico deve ajudar a resolver as obrigações legais em torno de dados regulamentados.

10. Pagar o resgate?:

A aplicação da lei aconselha a não pagar o resgate, no entanto, se esta hipótese estiver a ser considerada, deve ser contratada uma empresa de segurança com competências especializadas para ajudar no processo. Além disso, pagar o resgate não vai remediar as vulnerabilidades que os atacantes exploraram.

11. Realizar uma análise pós-incidente:

As empresas devem rever a resposta ao incidente para entender o que correu bem e documentar oportunidades de melhoria. Isto garante a melhoria contínua das capacidades de resposta e recuperação para o futuro.

Preparação em caso de ataque de ransomware

Quando ocorre um ataque de ransomware, tomar as medidas certas é essencial para minimizar o impacto desse mesmo ataque dentro da equipa e na própria organização. Os CISOs sabem que sobreviver a um ataque de ransomware requer um plano de resposta a incidentes.

Saiba mais sobre o Serviço de Resposta a Incidentes FortiGuard da Fortinet

Resumo de um artigo de Anthony Giandomenico e de Aamir Lakhani

Conteúdo co-produzido pela MediaNext e pela Fortinet