Você deve pagar os invasores do Ransomware? Microsoft diz que não

Ransomware afeta usuários de PC grandes e pequenos, com vários municípios recentemente atingidos severamente e prejudicados por semanas por software que criptografa seus dados e exige pagamento para fazer a infraestrutura de computação funcionar novamente. O ransomware geralmente tem como alvo também os sistemas de backup, impossibilitando a restauração para um backup em bom estado.

Diante de uma demanda de resgate e com infraestrutura crítica e a função administrativa de centenas de milhares de pessoas incapacitadas, muitas cidades foram tentadas a pagar o resgate, e algumas de fato cederam.

No entanto, a Microsoft é clara em seu conselho de nunca ceder aos terroristas:

Nunca incentivamos uma vítima de ransomware a pagar qualquer forma de pedido de resgate. Pagar um resgate geralmente é caro, perigoso e apenas reabastece a capacidade dos invasores de continuar suas operações; linha de fundo, isso equivale a um tapinha proverbial nas costas para os atacantes. O mais importante a ser observado é que pagar aos cibercriminosos para obter uma chave de descriptografia de ransomware não garante que seus dados criptografados sejam restaurados.

A Microsoft, infelizmente, não expande o que fazer, sugerindo que é melhor prevenir do que remediar, dizendo:

… toda organização deve tratar um incidente de segurança cibernética como uma questão de quando acontecerá e não se acontecerá. Ter essa mentalidade ajuda uma organização a reagir de forma rápida e eficaz a esses incidentes quando eles acontecem.

A Microsoft aconselha a seguinte estratégia:

1. Use uma solução eficaz de filtragem de e-mail

De acordo com Relatório de Inteligência de Segurança da Microsoft Volume 24 de 2018, e-mails de spam e phishing ainda são o método de entrega mais comum para infecções de ransomware. Para interromper efetivamente o ransomware em seu ponto de entrada, toda organização precisa adotar um serviço de segurança de e-mail que garanta que todo o conteúdo e cabeçalhos de e-mail que entram e saem da organização sejam verificados quanto a spam, vírus e outras ameaças avançadas de malware. Ao adotar uma solução de proteção de e-mail de nível empresarial, a maioria das ameaças de segurança cibernética contra uma organização será bloqueada na entrada e na saída.

2. Correção regular de sistemas de hardware e software e gerenciamento eficaz de vulnerabilidades

Muitas organizações ainda não estão adotando uma das antigas recomendações de segurança cibernética e defesas importantes contra ataques de segurança cibernética—aplicar atualizações e patches de segurança assim que os fornecedores de software os liberarem. Um exemplo proeminente dessa falha foram os eventos do ransomware WannaCry em 2017, um dos maiores ataques globais de segurança cibernética da história da Internet, que usou uma vulnerabilidade vazada no protocolo SMB (Server Message Block) de rede do Windows, para o qual a Microsoft lançou um patch quase dois meses antes do primeiro incidente divulgado. Patches regulares e um programa de gerenciamento de vulnerabilidades eficaz são medidas importantes para se defender contra ransomware e outras formas de malware e são passos na direção certa para garantir que todas as organizações não se tornem vítimas de ransomware.

3. Use antivírus atualizado e uma solução de detecção e resposta de endpoint (EDR)

Embora possuir uma solução antivírus por si só não garanta proteção adequada contra vírus e outras ameaças avançadas de computador, é muito importante garantir que as soluções antivírus sejam mantidas atualizadas com seus fornecedores de software. Os invasores investem pesadamente na criação de novos vírus e exploits, enquanto os fornecedores ficam tentando recuperar o atraso lançando atualizações diárias em seus mecanismos de banco de dados antivírus. Complementar à posse e atualização de uma solução antivírus é o uso de soluções EDR que coletam e armazenam grandes volumes de dados de endpoints e fornecem monitoramento e visibilidade em nível de arquivo baseados em host em tempo real aos sistemas. Os conjuntos de dados e alertas gerados por esta solução podem ajudar a interromper ameaças avançadas e geralmente são aproveitados para responder a incidentes de segurança.

4. Separe as credenciais administrativas e privilegiadas das credenciais padrão

Trabalhando como consultor de segurança cibernética, uma das primeiras recomendações que costumo fornecer aos clientes é separar as contas administrativas do sistema das contas de usuário padrão e garantir que essas contas administrativas não sejam utilizáveis ​​em vários sistemas. A separação dessas contas privilegiadas não apenas impõe o controle de acesso adequado, mas também garante que o comprometimento de uma única conta não leve ao comprometimento de toda a infraestrutura de TI. Além disso, usar soluções de autenticação multifator (MFA), Privileged Identity Management (PIM) e Privileged Access Management (PAM) são maneiras de combater efetivamente o abuso de contas privilegiadas e uma maneira estratégica de reduzir a superfície de ataque de credenciais.

5. Implemente um programa de lista de permissões de aplicativos eficaz

É muito importante, como parte de uma estratégia de prevenção de ransomware, restringir os aplicativos que podem ser executados em uma infraestrutura de TI. A lista de permissões de aplicativos garante que apenas aplicativos testados e aprovados por uma organização possam ser executados nos sistemas da infraestrutura. Embora isso possa ser tedioso e apresente vários desafios administrativos de TI, essa estratégia provou ser eficaz.

6. Faça backups regulares de sistemas e arquivos críticos

A capacidade de recuperar para um estado bom conhecido é a estratégia mais crítica de qualquer plano de incidente de segurança da informação, especialmente ransomware. Portanto, para garantir o sucesso desse processo, uma organização deve validar que todos os seus sistemas, aplicativos e arquivos críticos tenham backups regulares e que esses backups sejam testados regularmente para garantir que sejam recuperáveis. Ransomware é conhecido por criptografar ou destruir qualquer arquivo que encontrar, e muitas vezes pode torná-los irrecuperáveis; consequentemente, é de extrema importância que todos os arquivos afetados possam ser facilmente recuperados de um bom backup armazenado em um local secundário não afetado pelo ataque de ransomware.

A Microsoft também oferece ferramentas para simular um ataque de ransomware.  O Microsoft Secure Score ajuda as organizações a determinar quais controles habilitar para ajudar a proteger usuários, dados e dispositivos. Também permitirá que as organizações comparem sua pontuação com perfis semelhantes usando aprendizado de máquina integrado enquanto Simulador de Ataque permite que as equipes de segurança corporativa executem ataques simulados, incluindo simulações de ransomware e campanhas de phishing. Isso os ajudará a aprender as respostas de seus funcionários e ajustar as configurações de segurança de acordo.

É claro que a Microsoft também oferece ferramentas de backup em nuvem projetadas para detectar a manipulação em massa de dados do usuário e pará-la.

Leia mais em Blog da equipe de detecção e resposta da Microsoft aqui.