Para compreender melhor o alcance do problema, comecemos por defini-lo: o Ransomware-as-a-service é um serviço que oferece kits de malware com instruções detalhadas de utilização, permitindo que os ataques ransomware sejam efetuados por qualquer pessoa que os Adquira, sem necessidade de ter demasiado conhecimento técnico. Por outras palavras, disponibiliza aos indivíduos, que não têm competências e meios técnicos necessários, as ferramentas para realizar ataques informáticos de forma barata e em poucos cliques.
Como se desenvolvem estes ataques?
Há pessoas com conhecimentos avançados de informática, redes empresariais e desenvolvimento de malware, que desenvolvem este tipo de programas maliciosos para venda no mercado negro, a Dark Web. A partir desse momento, qualquer indivíduo ou organização com más intenções pode adquiri-lo e perpetrar um ataque de ransomware contra o seu alvo.
Uma vez adquirido este programa, o passo seguinte será procurar a porta de entrada do seu alvo. Normalmente requerem a ajuda humana da própria vítima, e o phishing (via e-mail) continua a ser o meio de ataque mais utilizado; utilizando técnicas de engenharia social, enganam os utilizadores e infectam um ou mais computadores da vítima. A partir daí, o próprio malware fará o resto: o ataque espalhar-se-á pela rede, identificando e filtrando informação confidencial, encriptando ficheiros e bloqueando o acesso legítimo aos sistemas, tornando-os completamente inoperantes.
Neste momento, o atacante tentará obter um lucro financeiro utilizando a extorsão. Normalmente contactam a vítima, membros da direção, e informam-nos que, para recuperar as suas informações e o funcionamento dos seus sistemas, terão de pagar um resgate.
As empresas que são vítimas de tais ataques nunca deveriam considerar ceder à chantagem. Em primeiro lugar, porque estariam a contribuir para a promoção deste novo tipo de ameaça e poderiam ser culpados de branqueamento de capitais, e, em segundo lugar, porque ninguém pode ter a certeza de que os criminosos vão cumplir a sua parte do acordo.
Consequências para as empresas
O impacto nas empresas afectadas é difícil de calcular. Não pelo pagamento do resgate, mas pelo impacto económico associado às operações necessárias e ao tempo que leva para recuperar, soma-se o impacto negativo que o ataque pode ter na imagen da marca e nos seus clientes, assim como as multas ou sanções regulamentares incorridas…
O impacto é especialmente relevante quando o alvo são instituições ou serviços públicos, uma vez que os cidadãos também podem ser afectados. Em Espanha, por exemplo, um ataque ao SEPE (Serviço Publico de Emprego Estatal), afetou milhares de cidadãos que não puderam receber as suas pensões em plena pandemia. Instituições públicas como Câmaras Municipais, universidades e mesmo hospitais também foram já vítimas destes ataques.
A proliferação de tais serviços constitui assim uma ameaça real, tanto para o sector privado como para os serviços públicos, muitas vezes em alturas críticas para a sociedade.
1.Adotar uma estratégia de segurança Zero-Trust
Zero-Trust supõe uma mudança de mentalidade nas empresas, eliminando os conceitos de ‘zona segura’ na rede interna e ‘zona insegura’ no exterior.
Com a proliferação da Cloud e a utilização de serviços descentralizados, o perímetro tornou-se confuso e as empresas devem assumir a violação do perímetro e reforçar a segurança das identidades, por exemplo, com políticas de acesso condicional ou a utilização de MFA.
As contas privilegiadas, em particular, devem ser protegidas, concedendo um acesso mínimo tanto em termos de privilégios como de duração. A rotação frequente de tais credenciais é, também, essencial.
2.Formação contra ataques de engenharia social
Os colaboradores são a primeira barreira de proteção de uma empresa, o seu “firewall humano”. As actividades de sensibilização para a cibersegurança são fundamentais, particularmente relacionados com engenharia social (ataques dirigidos a pessoas), existido plataformas como o TeachMeHow da Stratesys onde estes conteúdos podem ser fácilmente consumidos.
3.Manter os sistemas atualizados e testá-los com serviços de RED-TEAM
Manter a plataforma tecnológica atualizada significa detetar e gerir continuamente as suas vulnerabilidades. Isso é esencial para evitar que os atacantes as possam detetar e exportar.
Por outro lado, são necessários exercícios de segurança ofensiva para testar e treinar os instrumentos de segurança das empresas, bem como as suas equipas de deteção e defesa.
4.Desenhar um plano de recuperação
O nível de preparação e de trabalho antes de um ataque de resgate determinará o tempo de recuperação dos sistemas e, portanto, o impacto sobre a organização.
É fundamental dispor de uma estratégia de recuperação de desastres e de ferramentas de recuperação de segurança que se ajustem às necessidades do negócio (RTO, RPO): fazer cópias de dados importantes em diferentes suportes e armazenar algumas delas em serviços na Cloud, para que a infra-estrutura necessária possa ser rapidamente posta em prática se os principais serviços forem afetados.
Como podemos ajudar?
A Stratesys dispõe de serviços de consultoria especializados em cibersegurança, tais como:
- Serviços de segurança ofensiva: Red-Team
- Preparação de conteúdos e campanhas de consciencialização dos colaboradores
- Desenho e acompanhamento do planos estratégicos de Cibersegurança
- Serviços IaaS e Disaster-Recovery
- Serviços de CyberSOC
- Serviços de segurança e monitorização em Microsoft Azure
Conheça todos os serviços através de ciberseguridad@stratesys-ts.com.