quarta-feira, out 21, 2020

Ransomware – Pagar ou não pagar ficou mais complicado e as parcerias público/privadas podem ser a resposta

<span>Photo by <a href="https://unsplash.com/@chrispanas?utm_source=unsplash&amp;utm_medium=referral&amp;utm_content=creditCopyText">chris panas</a> on <a href="https://unsplash.com/?utm_source=unsplash&amp;utm_medium=referral&amp;utm_content=creditCopyText">Unsplash</a></span>

O ransomware pode paralizar uma organização. Com frequência, tem impacto na capacidade da empresa de fornecer serviços essenciais e pode rapidamente colocar em risco a confiança que os clientes depositaram nela—em última instância, impactando os resultados. Organizações públicas e privadas estão vulneráveis, à medida que os atacantes continuam a evoluir suas táticas com aumento da proficiência e da precisão. O impacto mundial da pandemia também é sentido nesta área, porque a superfície de ataque se ampliou exponencialmente, com as organizações transferindo grande parte de sua força de trabalho para o status de trabalho remoto. Agora, o ciclo de notícias com frequência inclui um aumento nos incidentes de ransomware, sugerindo que a tendência só continuará.

As organizações que já estão lidando com as consequências da desaceleração econômica relacionada agora também precisam enfrentar o ransomware como outra ameaça muito real. O Governo dos EUA também ampliou sua atenção à questão e o Departamento do Tesouro divulgou orientação sobre não pagar resgates para qualquer atacante em sua lista de sanções. Fazer isso poderia incorrer em penalidades civis e multas, o que agrega outra dinâmica para as organizações:  decidir se devem comunicar o incidente, por receio de ação governamental.

Todos esses crescentes desafios aceleraram a necessidade de que as organizações formalizem suas respostas, reforcem seus treinamentos/formações das forças de trabalho, e reavaliem a abordagem de segurança para considerar a adoção de novos processos e tecnologias relacionadas para minimizar a exposição a riscos. Também é uma oportunidade rigorosa para estimular mais colaboração público/privada sobre a melhor forma de bloquear o aumento dos ataques de ransomware. 

Variações de criptomalware

O ransomware tornou-se sinônimo de criptomalware. O atacante criptografa dados e solicita um pagamento para liberar os dados para a vítima – pede resgate em troca dos dados. Aqui, o criminoso digital quer se beneficiar às custas da organização que é alvo. Contudo, nestes cenários, sempre haverá um perdedor. A vítima perde (os dados e o dinheiro) e o atacante ganha uma remuneração, ou o atacante perde quando não é pago (observe que a vítima também pode perder nessa situação, quando os dados são criptografados). E atender às demandas dos hackers nem sempre gera os resultados esperados: nós já vimos casos de vítimas que pagaram o resgate e não obtiveram seus dados de volta porque a rotina de descriptografia falhou ou o atacante não honrou o pagamento para descriptografar os dados.

O leakware, também chamado de ransomware com extorsão dupla, é uma adaptação do ransomware com ameaça de vazar os dados de uma organização para o domínio público a não ser que um pagamento seja feito ao atacante.  Isso cria um cenário entre atacante e vítima, porque a vítima ainda deve pagar uma taxa com frequência alta para o atacante, a fim de impedir a divulgação de seus dados e todos os danos à marca e a atenção regulatória potencial que poderiam resultar. O atacante é pago, mas a vítima não tem seus dados perdidos ou vazados.  É o melhor cenário de solução para uma situação ruim para a organização afetada – dependendo do valor monetário da solicitação de resgate, da capacidade de pagamento e/ou do valor percebido dos dados. Recentemente, os atacantes voltaram sua atenção para o leakware, sabendo que as organizações mitigam o risco de precisar pagar pela solicitação de ransomware tradicional tendo bons backups implementados.

Mudança das regras – o risco de sanções

As organizações consideram muitos fatores ao decidir pagar uma solicitação de resgate.  Isso pode incluir a disponibilidade de bons backups para restaurar os dados que agora estão bloqueados, os danos potenciais à reputação da marca decorrentes de pagar ou não pagar, a probabilidade de que o atacante repita o ataque, quaisquer multas regulatórias que possa ser necessário pagar aos órgãos reguladores, a capacidade para pagar o atacante, incluindo o valor monetário da solicitação de resgate, ou ter um mecanismo conhecido ou confiável para pagar o atacante. Além disso, a organização pode ter um procedimento operacional padrão para abordar um incidente de ransomware, ou pode não ter.

Fica claro que essa árvore de decisão funciona a favor do atacante.

Em 1º de outubro de 2020, o Office of Foreign Assets Control (OFAC) do Departamento do Tesouro dos EUA divulgou um Aviso sobre Riscos de Sanções Potenciais por Facilitar Pagamentos de Ransomware. Na recomendação, o Departamento do Tesouro explica que pagar ao atacante pode “estimular solicitações de pagamento de ransomware futuras, mas também tem risco de infringir as normas do OFAC.” É fornecida uma lista de famílias e autores de ransomware aos quais o Departamento do Tesouro dos EUA aplicou sanções. A lista inclui os autores de Cryptolocker, SamSam, WannaCry e Dridex.  Agora, é necessário que as organizações que estão considerando o pagamento de resgate avaliem o risco de violar sanções.

Mesmo com a introdução dessas sanções, as empresas farão um cálculo monetário e ponderarão o custo de disrupções para os negócios em comparação com o custo de outras ações mitigatórias. É quando um roteiro pode ser útil para conduzir a empresa afetada para ações bem pensadas e planejadas. O que mais pode ser feito para ajudar antes ou durante um incidente de ransomware?

Como se proteger contra ransomware/leakware

Ao não adotar uma abordagem proativa, a organização-alvo é forçada pelo atacante a um jogo de criptomalware com soma zero ou soma diferente de zero. Se o atacante tiver êxito na chamada para o jogo, é vital que a organização-alvo mantenha a vantagem. Esta é uma lista de verificação de alto nível com 5 pontos para ajudar nesse aspecto:

  1. Crie um roteiro para incidentes de ransomware aplicável à sua organização, pratique com frequência e refine conforme apropriado.
  2. Informe os seus usuários para que entendam como evitar cair nas iscas e nos truques dos criminosos digitais.
  3. Adote procedimentos de backup comprovados e sólidos para restaurar os dados em caso de incidente de criptomalware, incluindo backups offline.
  4. Adote um programa de prevenção contra perda de dados em toda a organização, para obter visibilidade sobre onde os seus dados estão e quem está interagindo com eles. Como parte de sua estratégia de proteção de dados, você deve considerar medidas adicionais, como segmentação de dados entre redes.
  5. Lembre-se de que análise de comportamento podem ajudar a identificar ações anômalas em seu ambiente, que podem ser causadas por atacantes que assumem o perfil de um usuário privilegiado, interagem com arquivos em massa ou transferem dados em massa.

O que mais devemos fazer como um coletivo?

No início da pandemia, a maioria dos CISOs concentraram-se em manter a resiliência e minimizar interrupções dos negócios enquanto faziam a transição para uma força de trabalho majoritariamente remota. Essa migração para trabalhar em casa exacerbou ainda mais a situação, devido à expansão do cenário de ameaças e à redução nos controles que normalmente estão presentes em um ambiente de escritório tradicional. A sobreposição da realidade atual em um cenário desfavorável da economia, saúde e saúde mental infelizmente criou uma oportunidade para que os atacantes ampliem suas atividades e tenham como alvo trabalhadores remotos que estão tentando equilibrar trabalho e demandas da vida sem outras distrações e, portanto, estão suscetíveis a ataques.

Nesse cenário, uma coisa está clara: no setor de cibersegurança, todos vamos nos beneficiar com o aumento das discussões público/privadas e da colaboração para encontrar um caminho à frente melhor. Agora, é hora de trabalharmos juntos para operacionalizar uma abordagem de ransomware que proteja as organizações para garantir que os atacantes não vençam.

About the Author

Homayun Yaqub

Homayun Yaqub is Forcepoint’s Senior Security Strategist with more than 20 years of security experience in the US military, government and private sector. Prior to Forcepoint, Yaqub led JPMorgan Chase & Company’s Global Safeguard Program a firm-wide initiative to analyze interactions between...