Get a Break from the Chaos of RSA and Meet with Forcepoint at the St. Regis.

Close
X-Labs
Outubro 21, 2020

Ransomware – Pagar ou não pagar ficou mais complicado e as parcerias público/privadas podem ser a resposta

<span>Photo by <a href="https://unsplash.com/@chrispanas?utm_source=unsplash&amp;utm_medium=referral&amp;utm_content=creditCopyText">chris panas</a> on <a href="https://unsplash.com/?utm_source=unsplash&amp;utm_medium=referral&amp;utm_content=creditCopyText">Unsplash</a></span>

O ransomware pode paralizar uma organização. Com frequência, tem impacto na capacidade da empresa de fornecer serviços essenciais e pode rapidamente colocar em risco a confiança que os clientes depositaram nela—em última instância, impactando os resultados. Organizações públicas e privadas estão vulneráveis, à medida que os atacantes continuam a evoluir suas táticas com aumento da proficiência e da precisão. O impacto mundial da pandemia também é sentido nesta área, porque a superfície de ataque se ampliou exponencialmente, com as organizações transferindo grande parte de sua força de trabalho para o status de trabalho remoto. Agora, o ciclo de notícias com frequência inclui um aumento nos incidentes de ransomware, sugerindo que a tendência só continuará.

As organizações que já estão lidando com as consequências da desaceleração econômica relacionada agora também precisam enfrentar o ransomware como outra ameaça muito real. O Governo dos EUA também ampliou sua atenção à questão e o Departamento do Tesouro divulgou orientação sobre não pagar resgates para qualquer atacante em sua lista de sanções. Fazer isso poderia incorrer em penalidades civis e multas, o que agrega outra dinâmica para as organizações:  decidir se devem comunicar o incidente, por receio de ação governamental.

Todos esses crescentes desafios aceleraram a necessidade de que as organizações formalizem suas respostas, reforcem seus treinamentos/formações das forças de trabalho, e reavaliem a abordagem de segurança para considerar a adoção de novos processos e tecnologias relacionadas para minimizar a exposição a riscos. Também é uma oportunidade rigorosa para estimular mais colaboração público/privada sobre a melhor forma de bloquear o aumento dos ataques de ransomware. 

Variações de criptomalware

O ransomware tornou-se sinônimo de criptomalware. O atacante criptografa dados e solicita um pagamento para liberar os dados para a vítima – pede resgate em troca dos dados. Aqui, o criminoso digital quer se beneficiar às custas da organização que é alvo. Contudo, nestes cenários, sempre haverá um perdedor. A vítima perde (os dados e o dinheiro) e o atacante ganha uma remuneração, ou o atacante perde quando não é pago (observe que a vítima também pode perder nessa situação, quando os dados são criptografados). E atender às demandas dos hackers nem sempre gera os resultados esperados: nós já vimos casos de vítimas que pagaram o resgate e não obtiveram seus dados de volta porque a rotina de descriptografia falhou ou o atacante não honrou o pagamento para descriptografar os dados.

O leakware, também chamado de ransomware com extorsão dupla, é uma adaptação do ransomware com ameaça de vazar os dados de uma organização para o domínio público a não ser que um pagamento seja feito ao atacante.  Isso cria um cenário entre atacante e vítima, porque a vítima ainda deve pagar uma taxa com frequência alta para o atacante, a fim de impedir a divulgação de seus dados e todos os danos à marca e a atenção regulatória potencial que poderiam resultar. O atacante é pago, mas a vítima não tem seus dados perdidos ou vazados.  É o melhor cenário de solução para uma situação ruim para a organização afetada – dependendo do valor monetário da solicitação de resgate, da capacidade de pagamento e/ou do valor percebido dos dados. Recentemente, os atacantes voltaram sua atenção para o leakware, sabendo que as organizações mitigam o risco de precisar pagar pela solicitação de ransomware tradicional tendo bons backups implementados.

Mudança das regras – o risco de sanções

As organizações consideram muitos fatores ao decidir pagar uma solicitação de resgate.  Isso pode incluir a disponibilidade de bons backups para restaurar os dados que agora estão bloqueados, os danos potenciais à reputação da marca decorrentes de pagar ou não pagar, a probabilidade de que o atacante repita o ataque, quaisquer multas regulatórias que possa ser necessário pagar aos órgãos reguladores, a capacidade para pagar o atacante, incluindo o valor monetário da solicitação de resgate, ou ter um mecanismo conhecido ou confiável para pagar o atacante. Além disso, a organização pode ter um procedimento operacional padrão para abordar um incidente de ransomware, ou pode não ter.

Fica claro que essa árvore de decisão funciona a favor do atacante.

Em 1º de outubro de 2020, o Office of Foreign Assets Control (OFAC) do Departamento do Tesouro dos EUA divulgou um Aviso sobre Riscos de Sanções Potenciais por Facilitar Pagamentos de Ransomware. Na recomendação, o Departamento do Tesouro explica que pagar ao atacante pode “estimular solicitações de pagamento de ransomware futuras, mas também tem risco de infringir as normas do OFAC.” É fornecida uma lista de famílias e autores de ransomware aos quais o Departamento do Tesouro dos EUA aplicou sanções. A lista inclui os autores de Cryptolocker, SamSam, WannaCry e Dridex.  Agora, é necessário que as organizações que estão considerando o pagamento de resgate avaliem o risco de violar sanções.

Mesmo com a introdução dessas sanções, as empresas farão um cálculo monetário e ponderarão o custo de disrupções para os negócios em comparação com o custo de outras ações mitigatórias. É quando um roteiro pode ser útil para conduzir a empresa afetada para ações bem pensadas e planejadas. O que mais pode ser feito para ajudar antes ou durante um incidente de ransomware?

Como se proteger contra ransomware/leakware

Ao não adotar uma abordagem proativa, a organização-alvo é forçada pelo atacante a um jogo de criptomalware com soma zero ou soma diferente de zero. Se o atacante tiver êxito na chamada para o jogo, é vital que a organização-alvo mantenha a vantagem. Esta é uma lista de verificação de alto nível com 5 pontos para ajudar nesse aspecto:

  1. Crie um roteiro para incidentes de ransomware aplicável à sua organização, pratique com frequência e refine conforme apropriado.
  2. Informe os seus usuários para que entendam como evitar cair nas iscas e nos truques dos criminosos digitais.
  3. Adote procedimentos de backup comprovados e sólidos para restaurar os dados em caso de incidente de criptomalware, incluindo backups offline.
  4. Adote um programa de prevenção contra perda de dados em toda a organização, para obter visibilidade sobre onde os seus dados estão e quem está interagindo com eles. Como parte de sua estratégia de proteção de dados, você deve considerar medidas adicionais, como segmentação de dados entre redes.
  5. Lembre-se de que análise de comportamento podem ajudar a identificar ações anômalas em seu ambiente, que podem ser causadas por atacantes que assumem o perfil de um usuário privilegiado, interagem com arquivos em massa ou transferem dados em massa.

O que mais devemos fazer como um coletivo?

No início da pandemia, a maioria dos CISOs concentraram-se em manter a resiliência e minimizar interrupções dos negócios enquanto faziam a transição para uma força de trabalho majoritariamente remota. Essa migração para trabalhar em casa exacerbou ainda mais a situação, devido à expansão do cenário de ameaças e à redução nos controles que normalmente estão presentes em um ambiente de escritório tradicional. A sobreposição da realidade atual em um cenário desfavorável da economia, saúde e saúde mental infelizmente criou uma oportunidade para que os atacantes ampliem suas atividades e tenham como alvo trabalhadores remotos que estão tentando equilibrar trabalho e demandas da vida sem outras distrações e, portanto, estão suscetíveis a ataques.

Nesse cenário, uma coisa está clara: no setor de cibersegurança, todos vamos nos beneficiar com o aumento das discussões público/privadas e da colaboração para encontrar um caminho à frente melhor. Agora, é hora de trabalharmos juntos para operacionalizar uma abordagem de ransomware que proteja as organizações para garantir que os atacantes não vençam.

Sobre a Forcepoint

A Forcepoint é líder em cibersegurança para proteção de usuários e dados, com a missão de proteger as organizações ao impulsionar o crescimento e a transformação digital. Nossas soluções adaptam-se em tempo real à forma como as pessoas interagem com dados, fornecendo acesso seguro e habilitando os funcionários a criar valor.