O aumento dos ataques do tipo ransomware tem causado grandes preocupações às empresas. Trata-se de um tipo de malware (vírus virtual) que bloqueia o acesso ao site de uma organização, normalmente vinculado a um valor estabelecido em criptomoeda como “resgate”.  Ou seja, é o sequestro do mundo digital. 

Casos recentes, como o da Renner, que deixou o site da empresa fora de funcionamento por três dias, colocaram esse tipo de ataque ainda mais sob os holofotes e no topo das prioridades dos profissionais de TI em termos de segurança digital. Mesmo que a empresa tenha negado o vazamento de dados e que tenha sido feito algum tipo de pagamento, o fato de terceiros terem conseguido furar os bloqueios de proteção do seu site e deixá-lo fora de atividade gera uma forte sensação de insegurança dos usuários em relação a potenciais problemas semelhantes no futuro.

Mas não são apenas as grandes que estão na mira dos crackers, mas também as pequenas e médias empresas, uma vez que suas capacidades de proteção de dados são ainda deficientes. Recentemente, a consultoria PwC criou um relatório abordando as principais questões relacionadas ao crescimento desses ataques e o que as empresas podem fazer para impedi-los.

Mas, antes disso, eles investigaram os fatores que têm impulsionado esse tipo de ataque. Um dos destaques é a utilização de programas de afiliados, que reduzem a barreira de entrada para os novatos, aqueles que querem começar a atuar nesse tipo de empreitada criminosa atraídos muitas vezes pelos valores milionários de grandes ataques divulgados na mídia. 

Dessa forma, existem esquemas em que os desenvolvedores dos ransomware alugam o seu malware em troca de uma porcentagem nos lucros obtidos. É uma fórmula que tende a beneficiar ambos os lados: o criador, por deixá-lo menos exposto ao risco de levar adiante o ataque, e ao novato na área, que não tem todo o know-how necessário para fazer um ataque desse tipo sozinho. 

Isso permite uma disseminação dos ransomware em grande escala, já que um ransomware pode ser usado por diversos agentes em ataques diferentes, sem uma unidade hierárquica centralizada.

Outra prática que tem aumentado a eficiência dos ataques é a criação de sites de vazamentos, nos quais os dados das vítimas são divulgados caso o pagamento não seja feito. Isso cria uma pressão adicional para o pagamento, dada a repercussão do vazamento de milhares de dados pessoais e confidenciais das empresas.

Para conter esses ataques, o relatório da PwC recomenda as seguintes medidas:

1. Impedir que estações de trabalho sejam comprometidas por ataques de phishing. 

• Confirmar se as ferramentas de filtragem de e-mail estão configuradas adequadamente para bloquear e-mails de phishing.
• Implantar e configurar ferramentas de filtragem da web para evitar que os usuários baixem arquivos maliciosos.
• Restringir macros do Microsoft Office  
• Restringir a execução de scripts em estações de trabalho  

2. Corrigir vulnerabilidades na interface com a Internet e reduzir a superfície de ataque

• Realizar verificação e monitoramento de vulnerabilidades para garantir que elas sejam corrigidas rapidamente.
• Desativar ou restringir o acesso a serviços expostos à Internet para reduzir a superfície de ataque
• Aplicar autenticação multifator para reduzir o impacto de credenciais comprometidas.

3. Proteger contas privilegiadas para evitar que sejam comprometidas

• Restringir o uso de contas de administrador de domínio.
• Identificar e corrigir percursos de ataque para contas privilegiadas no Active Directory.
• Restringir contas em grupos de administradores locais para reduzir a superfície de ataque de identidades para os endpoints
• Monitorar o Active Directory para detectar o uso inseguro, o bcomprometimento e o abuso de contas privilegiadas.

4. Corrigir vulnerabilidades comuns usadas por invasores para escalar privilégios 

• Impor senhas fortes nas contas de serviço para evitar que sejam quebradas
• Remover as credenciais armazenadas em compartilhamentos de rede para evitar que invasores façam uso delas para violar contas.
• Usar testes de segurança e o Microsoft Secure Score para identificar problemas de TI e fragilidades do Active Directory.

5. Restringir a capacidade de um invasor de comprometer outros sistemas 

• Corrigir vulnerabilidades exploráveis em sistemas internos para remover rotas triviais que comprometam outros sistemas.
• Prevenir e detectar técnicas comuns para implantação em massa de ransomware.
• Segmentar unidades de negócios e redes de alto risco para limitar o raio de ação dos ataques 

6. Detectar e conter incidentes rapidamente antes que eles se ampliem

• Implantar um agente de segurança de endpoint capaz de detectar e impedir a atividade do invasor.
• Incorporar um serviço de detecção e resposta gerenciadas (MDR) para automatizar a resposta a ameaças comuns e garantir a detecção e correção de “malware comum”. 
• Certificar-se de que ferramentas comuns de invasão sejam detectadas e os alertas sejam corrigidos com eficácia.

Fonte: Whow!