top of page
Buscar

Ransomware: a nova era da dupla extorsão

Atualizado: 21 de mai. de 2024

Em relação ao ransomware, temos visto algumas tendências preocupantes. As gangues de ransomware estão muito mais organizadas e funcionam como corporações legítimas, com logotipos, conduzindo entrevistas de emprego e, até mesmo, publicando anúncios para trabalhos de pesquisa na dark web. Como resultado, esses grupos se tornaram ainda mais perigosos do que já eram.


Os grupos estão mais sofisticados e, nos últimos meses, parecem estar concentrando seus esforços na extração de dados do sistema da vítima. Anteriormente, a maioria dos ataques era focado na criptografia dos dados, mas agora, estão optando pela extração de dados.


Além disso, os atacantes estão passando mais tempo nos sistemas de suas vítimas, tentando encontrar os dados realmente sensíveis. Isso não apenas torna as organizações mais propensas a pagar pelo resgate, mas também dá aos atacantes alavancagem para exigir resgates mais altos, tornando a extração duplamente lucrativa para os grupos de ransomware. Nestes casos, não apenas as vítimas são mais propensas a pagar pelo resgate, mas também, os atacantes podem lucrar vendendo os dados na dark web, já que, em algumas situações, os dados roubados podem ser mais valiosos do que o próprio pagamento do resgate.


Outro motivo para a mudança do método de criptografia de dados para a extração é a sua facilidade. A criptografia é um programa realmente difícil de codificar porque, para que o atacante possa chantagear seu alvo, sua criptografia precisa ser realmente sólida. A extração, por outro lado, requer que o atacante simplesmente obtenha acesso aos sistemas de sua vítima, copie seus dados e exija o resgate. Em resumo, do ponto de vista dos criminosos, requer muito menos esforço e, certamente, oferece um retorno muito melhor sobre o “investimento”.

 


O que muda para a segurança da informação nas organizações?


Bem, historicamente, uma das melhores medidas de resposta ao ransomware era fazer backups regulares. Afinal, não há necessidade de pagar um resgate para ter seus arquivos descriptografados se você pode simplesmente restaurá-los. No entanto, se seus dados foram copiados, você ainda será refém dos atacantes.



Ataque ransomware dupla extorsão


O que as organizações podem fazer se seus dados foram subtraídos?


Conduza uma investigação forense


Os criminosos já têm os dados, então um backup não irá ajudá-lo a se recuperar deste ataque. No entanto, uma resposta rápida continua sendo crítica para minimizar os impactos e prevenir futuros incidentes, particularmente, de natureza semelhante. Portanto, uma das coisas mais importantes a fazer é conduzir uma investigação forense. Isso significa descobrir:

  • O que aconteceu?

  • Qual foi a causa raiz?

  • Quais dados foram violados?

  • Quando ocorreu o ataque inicial?

  • Os atacantes colocaram um backdoor em seus sistemas para que possam acessá-los novamente?

Ao conduzir esse tipo de investigação inicial, você não está apenas cumprindo suas obrigações, mas também reunindo as informações necessárias para tomar as medidas certas e evitar que a situação se repita.

 


Dê suporte aos titulares de dados


Além de cumprir com os requisitos legais, que são obrigatórios, é importante que a organização se preocupe com os titulares que tiveram seus dados violados. A violação não pode ser desfeita, mas os danos podem ser mitigados. Por isso, seja aberto e transparente com os titulares que confiaram os dados a você. Esclareça o que aconteceu, quais dados foram comprometidos e demonstre que você este sendo proativo para mitigar os danos. As pessoas lembram e apreciam honestidade e transparência e isso ajudará a restaurar a reputação da organização.

 


Adote medidas de segurança


A prevenção é sempre o melhor remédio! Desta forma, a organização precisa adotar medidas para impedir ataques oportunistas, como:

  • implantar política de senhas: senhas fortes e complexas dificultam a adivinhação por parte de invasores e são mais difíceis de serem quebradas por meio de ataques de força bruta;

  • adotar autenticação multifator (MFA): isto adiciona uma camada extra de segurança, exigindo não apenas uma senha, mas também uma segunda forma de autenticação (como um código enviado por SMS). Mesmo se a senha for comprometida, o acesso à conta ainda é protegido pelo segundo fator;

  • instalar e manter software antivírus e antimalware atualizado: estes softwares podem detectar e remover malware, incluindo ransomware, antes que ele cause danos;

  • ativar o firewall: desta forma o tráfego não autorizado é bloqueado, protegendo a rede contra acessos não autorizados, ajudando a prevenir que o ransomware se espalhe pela rede e limitando comunicações suspeitas;

  • monitorar o fluxo de dados para detectar fluxos anormais: ferramentas de monitoramento podem identificar atividades incomuns na rede, indicando possíveis tentativas de invasão ou propagação de ransomware. Além disso, permite uma resposta rápida a incidentes de segurança;

  • manter o sistema operacional e todos os softwares atualizados: as atualizações corrigem vulnerabilidades conhecidas que podem ser exploradas por cibercriminosos. Manter tudo atualizado reduz as chances de ser vítima de ataques que exploram falhas de segurança já corrigidas.

 

Se, mesmo assim, você sofrer uma violação, obviamente será tarde demais para evitar o incidente completamente, por isso, a investigação forense é tão importante. Descubra o que aconteceu, quais vulnerabilidades você precisa corrigir, onde a educação da equipe falhou e aprenda algumas lições valiosas para que você não sofra o mesmo incidente novamente.




Andressa Segantini

Consultora de Privacidade e Proteção de Dados Pessoais da Total Privacy

bottom of page