Como defender as organizações contra ataques de malware ou ransomware

Esta orientação ajuda as organizações do setor público e privado a lidar com os efeitos do malware (que inclui o ransomware). Ele fornece ações para ajudar as organizações a evitar uma infecção por malware e também as etapas a serem seguidas se você já estiver infectado.

Seguir esta orientação reduzirá:

• A probabilidade de se infectar

• A disseminação de malware em toda a sua organização

• O impacto da infecção

O que são malwares e ransomwares?

Malware é um software malicioso que, se for executado, pode causar danos de várias maneiras, incluindo:

• Fazer com que um dispositivo fique bloqueado ou inutilizável
• Roubar, excluir ou criptografar dados
• Assumir o controle de seus dispositivos para atacar outras organizações
• Obter credenciais que permitem o acesso aos sistemas ou serviços da sua organização que você usa
• ‘Minerar’ Criptomoeda
• Usando serviços que podem custar dinheiro (por exemplo, chamadas telefônicas com tarifa premium).

Ransomware é um tipo de malware que impede você de acessar seu computador (ou os dados armazenados nele). O próprio computador pode ficar bloqueado ou os dados nele podem ser roubados, excluídos ou criptografados. Alguns ransomwares também tentarão se espalhar para outras máquinas na rede, como o malware Wannacry que impactou o NHS em maio de 2017.

Normalmente, você é solicitado a entrar em contato com o invasor por meio de um endereço de e-mail anônimo ou seguir as instruções em uma página da Web anônima para efetuar o pagamento. O pagamento é invariavelmente exigido em uma criptomoeda como Bitcoin, para desbloquear seu computador ou acessar seus dados. No entanto, mesmo que você pague o resgate, não há garantia de que você terá acesso ao seu computador ou aos seus arquivos.

Ocasionalmente, o malware é apresentado como ransomware, mas depois que o resgate é pago, os arquivos não são descriptografados. Isso é conhecido como malware de limpeza. Por esses motivos, é essencial que você sempre tenha um backup offline recente de seus arquivos e dados mais importantes.

Você deve pagar o resgate?

A aplicação da lei não incentiva, endossa nem tolera o pagamento de pedidos de resgate. Se você pagar o resgate:

• Não há garantia de que você terá acesso aos seus dados ou computador

• Seu computador ainda estará infectado

• Você estará pagando grupos criminosos

• É mais provável que você seja segmentado no futuro

Os invasores também ameaçarão publicar dados se o pagamento não for feito. Para combater isso, as organizações devem tomar medidas para minimizar o impacto da exfiltração de dados. A orientação do NCSC sobre proteção de dados pessoais em massa e a orientação de registro e monitoramento de proteção podem ajudar nisso.

Usando uma estratégia de defesa em profundidade

Como não há como proteger completamente sua organização contra infecção por malware, você deve adotar uma abordagem de ‘defesa em profundidade’. Isso significa usar camadas de defesa com várias mitigações em cada camada. Você terá mais oportunidades para detectar malware e interrompê-lo antes que cause danos reais à sua organização.

Você deve presumir que algum malware se infiltrará em sua organização, para que possa tomar medidas para limitar o impacto que isso causaria e acelerar sua resposta.

Ações a serem tomadas

Existem algumas ações que você pode tomar para ajudar a preparar sua organização contra possíveis ataques de malware e ransomware.

1 – Faça backups regulares:

Backups atualizados são a maneira mais eficaz de se recuperar de um ataque de ransomware, você deve fazer o seguinte.

• Faça backups regulares de seus arquivos mais importantes – será diferente para cada organização – verifique se você sabe como restaurar arquivos do backup e teste regularmente se está funcionando conforme o esperado.

• Certifique-se de criar backups offline que são mantidos separados, em um local diferente (idealmente externo), de sua rede e sistemas, ou em um serviço de nuvem projetado para essa finalidade, pois o ransomware visa ativamente os backups para aumentar a probabilidade de pagamento. Nosso blog sobre ‘Backups offline em um mundo online’ fornece conselhos adicionais úteis para organizações.

• Faça várias cópias de arquivos usando diferentes soluções de backup e locais de armazenamento. Você não deve confiar em ter duas cópias em uma única unidade removível, nem deve confiar em várias cópias em um único serviço de nuvem.

• Certifique-se de que os dispositivos que contêm seu backup (como discos rígidos externos e pen drives) não estejam permanentemente conectados à sua rede. Os invasores terão como alvo dispositivos e soluções de backup conectados para dificultar a recuperação.

• Você deve garantir que seu serviço de nuvem proteja as versões anteriores do backup de serem excluídas imediatamente e permita que você as restaure. Isso evitará que seus dados ao vivo e de backup fiquem inacessíveis – os serviços em nuvem geralmente são sincronizados automaticamente imediatamente após seus arquivos serem substituídos por cópias criptografadas.

• Certifique-se de que os backups estejam conectados apenas a dispositivos limpos conhecidos antes de iniciar a recuperação.

• Verifique os backups em busca de malware antes de restaurar os arquivos. O ransomware pode ter se infiltrado em sua rede por um período de tempo e replicado para backups antes de ser descoberto.

• Corrija regularmente os produtos usados para backup, para que os invasores não possam explorar nenhuma vulnerabilidade conhecida que eles possam conter.

Houve casos em que os invasores destruíram arquivos copiados ou interromperam os processos de recuperação antes de realizar ataques de ransomware. Idealmente, as contas e soluções de backup devem ser protegidas usando estações de trabalho de acesso privilegiado (PAW) e firewalls de hardware para impor a lista de permissões de IP. A autenticação multifator (MFA) deve ser habilitada e o método MFA não deve ser instalado no mesmo dispositivo usado para a administração de backups. As soluções de Privileged Access Management (PAM) eliminam a necessidade de os administradores acessarem diretamente sistemas de backup de alto valor.

2 – Previna que o malware seja entregue e se espalhe para os dispositivos

Você pode reduzir a probabilidade de conteúdo malicioso chegar aos seus dispositivos por meio de uma combinação de:

• Filtragem para permitir apenas os tipos de arquivo que você esperaria receber

• Bloqueando sites que são conhecidos por serem maliciosos

• Inspecionando ativamente o conteúdo

• Usando assinaturas para bloquear código malicioso conhecido

O ransomware está sendo cada vez mais implantado por invasores que obtiveram acesso remoto por meio de serviços expostos, como o Remote Desktop Protocol (RDP) ou dispositivos de acesso remoto não corrigidos. Para evitar isso, as organizações devem:

• Desabilite o RDP se não for necessário (se você não tiver certeza se está executando o RDP, recomendamos que você se registre no serviço Early Warning do NCSC);

• Habilitar o MFA em todos os pontos de acesso remoto na rede e impor a lista de permissões de IP usando firewalls de hardware;

• Usar uma VPN que atenda às recomendações do NCSC, para acesso remoto aos serviços; Software as a Service ou outros serviços expostos à Internet devem usar Single Sign-On (SSO) onde as políticas de acesso podem ser definidas (para mais informações, leia nosso blogpost sobre proteção de interfaces de gerenciamento);

• Use o modelo de privilégio mínimo para fornecer acesso remoto – use contas de baixo privilégio para autenticar e forneça um processo auditado para permitir que um usuário escale seus privilégios dentro da sessão remota quando necessário;

• Corrigir vulnerabilidades conhecidas em todos os dispositivos de acesso remoto e externos imediatamente (referindo-se às nossas orientações sobre como gerenciar vulnerabilidades em sua organização, se necessário) e siga as orientações de correção do fornecedor, incluindo a instalação de novos patches assim que estiverem disponíveis.

3 – Previna que o malware seja executado em dispositivos

Uma abordagem de ‘defesa em profundidade’ pressupõe que o malware chegará aos seus dispositivos. Portanto, você deve tomar medidas para impedir a execução de malware. As medidas necessárias variam para cada tipo de dispositivo, sistema operacional e versão, mas, em geral, você deve procurar usar recursos de segurança no nível do dispositivo. As organizações devem:

• Gerenciar dispositivos de forma centralizada para permitir que apenas aplicativos confiáveis pela empresa sejam executados em dispositivos, usando tecnologias como AppLocker ou de lojas de aplicativos confiáveis (ou outros locais confiáveis);

• Considerar se os produtos antivírus ou antimalware corporativos são necessários e manter o software (e seus arquivos de definição) atualizados;

• Fornecer educação de segurança e treinamento de conscientização para seu pessoal, por exemplo, as principais dicas do NCSC para funcionários;

• Desabilitar ou restringir ambientes de script e macros, por:

• Impor o modo de idioma restrito do PowerShell por meio de uma política de integridade de código do modo de usuário (UMCI) – você pode usar o AppLocker como uma interface para UMCI para aplicar automaticamente o modo de idioma restrito;

• Protegendo seus sistemas contra macros maliciosas do Microsoft Office;

• Desabilitar a execução automática para mídia montada (impedir o uso de mídia removível se não for necessário);

Além disso, os invasores podem forçar a execução de seu código explorando vulnerabilidades no dispositivo. Evite isso mantendo os dispositivos bem configurados e atualizados. Recomendamos que você:

• Instale atualizações de segurança assim que estiverem disponíveis para corrigir bugs exploráveis em seus produtos;

• Habilite atualizações automáticas para sistemas operacionais, aplicativos e firmware se puder;

• Use as versões mais recentes de sistemas operacionais e aplicativos para aproveitar os recursos de segurança mais recentes;

• Configurar firewalls baseados em host e de rede, não permitindo conexões de entrada por padrão.

4 – Prepare para um incidente

Os ataques de malware, em particular os ataques de ransomware, podem ser devastadores para as organizações porque os sistemas de computador não estão mais disponíveis para uso e, em alguns casos, os dados podem nunca ser recuperados. Se a recuperação for possível, pode levar várias semanas, mas sua reputação corporativa e o valor da marca podem levar muito mais tempo para se recuperar. O seguinte ajudará a garantir que sua organização possa se recuperar rapidamente.

• Identifique seus ativos críticos e determine o impacto deles se forem afetados por um ataque de malware.

• Planeje um ataque, mesmo se achar improvável. Existem muitos exemplos de organizações que foram afetadas por malware colateral, mesmo que não fossem o alvo pretendido.

• Desenvolver uma estratégia de comunicação interna e externa. É importante que a informação certa chegue às partes interessadas certas em tempo hábil.

• Determine como você responderá à demanda de resgate e à ameaça de publicação dos dados de sua organização.

• Certifique-se de que os manuais de gerenciamento de incidentes e recursos de suporte, como listas de verificação e detalhes de contato, estejam disponíveis se você não tiver acesso aos seus sistemas de computador.

• Identifique suas obrigações legais em relação à comunicação de incidentes aos reguladores e entenda como abordar isso.

• Exercite seu plano de gerenciamento de incidentes. Isso ajuda a esclarecer as funções e responsabilidades da equipe e de terceiros e a priorizar a recuperação do sistema. Por exemplo, se um ataque generalizado de ransomware significasse um desligamento completo da rede, você teria que considerar:

• Quanto tempo levaria para restaurar o número mínimo necessário de dispositivos de imagens e reconfigurar para uso;

• Como você reconstruiria quaisquer ambientes virtuais e servidores físicos;

• Quais processos precisam ser seguidos para restaurar servidores e arquivos de sua solução de backup;

• Quais processos precisam ser seguidos se os sistemas no local e os servidores de backup em nuvem estiverem inutilizáveis e você precisar reconstruir a partir de backups offline;

• Como você continuaria a operar serviços críticos de negócios;

• Após um incidente, revise seu plano de gerenciamento de incidentes para incluir as lições aprendidas para garantir que o mesmo evento não possa ocorrer da mesma maneira novamente.

Etapas a serem seguidas se sua organização já estiver infectada

Se sua organização já foi infectada por malware, estas etapas podem ajudar a limitar o impacto:

1 – Desconecte imediatamente os computadores, laptops ou tablets infectados de todas as conexões de rede, sejam com fio, sem fio ou baseadas em telefone celular.

2 – Em um caso muito sério, considere se desligar o Wi-Fi, desabilitar qualquer conexão de rede principal (incluindo switches) e desconectar-se da Internet pode ser necessário.

3 – Redefina as credenciais, incluindo senhas (especialmente para contas de administrador e outras contas do sistema), mas verifique se você não está bloqueando os sistemas necessários para a recuperação.

4 – Limpe com segurança os dispositivos infectados e reinstale o sistema operacional.

5 – Antes de restaurar a partir de um backup, verifique se ele está livre de malware. Você só deve restaurar a partir de um backup se tiver certeza de que o backup e o dispositivo ao qual está conectando estão limpos.

6 – Conecte os dispositivos a uma rede limpa para baixar, instalar e atualizar o sistema operacional e todos os outros softwares.

7 – Instale, atualize e execute software antivírus.

8 – Reconecte-se à sua rede.

9 – Monitore o tráfego de rede e execute verificações antivírus para identificar se alguma infecção permanece.

Fonte: www.ncsc.gov.uk

Posts relacionados: Como age um ransomware e como evitá-lo / Pesquisadores compilam lista de vulnerabilidades mais usadas por gangues de ransomware e Recomendações do FBI e CISA para evitar ataques de ransomware neste fim de ano