Imagine que numa fatídica manhã você se depara com um fluxo intenso de chamadas de seus funcionários pedindo uma solução para restaurar arquivos e dados porque, por algum motivo, eles não têm mais acesso aos sistemas de computador, rede, servidor e demais arquivos. Sua empresa foi atacada. As conferências são interrompidas, os computadores são desconectados da rede, tela após tela fica preta e de repente sua equipe de TI se depara com uma mensagem pedindo uma quantia significativa de bitcoins em um período de cerca de 72 horas. A extensão desta catástrofe rapidamente se torna clara: sua empresa foi vítima de um ataque de ransomware.
Naturalmente, no dia a dia de qualquer empresa há dias difíceis e outros mais fáceis para o negócio. Mas o pesadelo moderno para os gerentes de negócios é ter informações, documentos e arquivos organizacionais retidos por cibercriminosos.
Felizmente, nem todos os ataques são tão destrutivos que não possam dar tempo para as empresas reagirem. Se a empresa estiver devidamente preparada, seguindo esses 7 passos, os danos podem ser reduzidos.
1 – Avaliação inicial: seu primeiro passo deve ser informar aos principais departamentos e verificar como o ransomware se infiltrou no sistema para saber como lidar com ele. Algumas perguntas que podem nortear esse entendimento são: este é um ransomware conhecido? Que tipo de ransomware é? Quão crítico o incidente parece? Um único sistema foi afetado ou o malware se espalhou por todo sistema? Qual foi o impacto nos componentes afetados?
Essas perguntas e suas possíveis respostas ajudam a direcionar os próximos passos das equipes responsáveis. Dependendo da resposta, diferentes cenários de emergência devem entrar em vigor.
2 – Isolamento: deve existir a preocupação em prevenir a propagação da infecção. Os computadores infectados ou o segmento de rede correspondente devem ser imediatamente e completamente desconectados da rede para que a disseminação do malware possa ser evitada.
3 – Análise abrangente: as informações sobre o ataque ou o malware ajudam a definir os próximos passos os fabricantes de software antivírus oferecem informações e bancos de dados extensos sobre a maioria deles. Se nenhuma informação estiver disponível ou se houver alguma incerteza, deve-se definitivamente procurar ajuda de profissionais mais experientes. Essa análise deve se concentrar nas seguintes questões: pode-se presumir que outros sistemas serão afetados? Como as máquinas infectadas podem ser completamente limpas? Já existem ferramentas no mercado para isso? Como outros ataques podem ser evitados? Qual é o propósito do ataque e quais danos podem ser esperados?
Outro aspecto que precisa ser levado em consideração: uma ameaça reconhecida também pode ser usada como meio de transporte para uma ameaça nova que ainda não foi rastreada e muito mais perigosa.
A análise abrangente ajuda a localizar computadores potencialmente infectados. Se a solução antivírus agora puder detectar o ransomware, essa verificação será trivial. Caso contrário, a equipe precisa de uma solução de detecção e resposta de endpoint (EDR) que possa verificar indicadores de comprometimento de todos os clientes e servidores.
4 – Evidência segura: se uma análise mais aprofundada do ataque for considerada, os sistemas infectados devem permanecer isolados ou os dados correspondentes devem ser protegidos. Para a segurança das evidências, é importante que os sistemas afetados permaneçam inalterados para que as ações dos invasores sejam tão compreensíveis quanto possível em todo o seu escopo.
5 – Recuperação: tente habilitar as operações normais da empresa. Dependendo da importância dos sistemas, eles agora devem ser restaurados rapidamente. Recomendamos uma redefinição completa e importação de backups. A limpeza direcionada de pastas, arquivos e chaves de registro individuais é arriscada, pois nem todos os dados infectados podem ser excluídos.
6 – Elimine as brechas: é importante neste momento entender o que causou a infecção. Quaisquer gateways, assinaturas, status de patches ou configurações que não estejam atualizados ou estejam incorretos devem ser corrigidos imediatamente para que não ocorram mais infecções. Dependendo da causa e da urgência, essas medidas devem ser realizadas paralelamente ao isolamento ou assim que as informações relevantes estiverem disponíveis.
7 – Consulte especialistas experientes para lidar com o ransomware: a limpeza após um ataque pode não ser tão fácil e você pode perder alguns de seus arquivos e dados para sempre. Portanto, a prevenção é sempre a melhor estratégia para manter as portas de seus sistemas fechadas para os invasores. Mas se o sistema já estiver infectado, você deve consultar especialistas experientes e evitar pagar qualquer resgate aos fraudadores.
Se ainda não sabe por onde começar, entre em contato conosco, conheça as soluções que usamos para proteger outras organizações como a sua e deixe-nos fornecer uma solução exclusiva que vai garantir a segurança completa de sua empresa.
Referências:
https://www.scielo.br/j/jistm/a/Vx8Ypv6mDjxdYkKKrfYVgqz/?lang=pt
https://www.techtudo.com.br/stories/2022/10/11/ransomware-conheca-o-virus-responsavel-por-ataque-hacker-na-record.ghtml
https://www.kaspersky.com.br/resource-center/threats/how-to-prevent-ransomware
