Recuperação de ransomware: 5 passos para recuperar seus dados

A importância de ter um plano de recuperação após um ataque de ransomware

Um ataque de ransomware é uma invasão criminosa em um sistema de computador que visa criptografar dados e exigir um “resgate” ou pagamento da vítima. Os criminosos usam ransomware, um tipo de malware, para bloquear os dados e fornecer os termos de acesso. Não pagar o resgate geralmente faz com que os criminosos vazem os dados ou bloqueiem permanentemente o acesso aos arquivos; no entanto, o pagamento não garante a liberação deles.

O que é um plano de recuperação após um ataque de ransomware?

Um plano de recuperação após um ataque de ransomware é um playbook para lidar com um ataque de ransomware, que inclui uma equipe de resposta a incidentes, um plano de comunicação e instruções passo a passo para recuperar seus dados e lidar com a ameaça. O tempo é crucial durante um ataque e uma resposta rápida é essencial para recuperar seus arquivos e evitar perdas devastadoras, tanto monetárias quanto de propriedade.

Quais são as consequências de não ter um plano de recuperação após um ataque de ransomware? 

Quando se trata de ransomware, deixar de planejar é planejar o fracasso. Quanto mais você demorar para responder a um ataque, maior será a probabilidade de perder seus dados, negócios e credibilidade. Uma pesquisa da IBM de 2022 descobriu que:

• O custo médio de um ataque de ransomware foi US$ 4,54 milhões.
• O tempo médio para identificar e conter um atacar foi 326 dias.
• 50% das pequenas empresas afetadas por um ataque de ransomware deixaram de ser lucrativas em um mês.

5 passos para recuperar dados de ransomware

A melhor forma de se recuperar de um ataque de ransomware é preveni-lo antes que aconteça. No entanto, caso você tenha sido vítima de um ataque, você precisa tomar medidas imediatas para se recuperar. Sua abordagem e eficácia dependerão do tipo de ransomware, variante e contexto único do ataque. Então, quais são os passos para recuperar seus dados após um ataque de ransomware?

1. Implemente seu plano de resposta a incidentes (IR)

Uma resposta eficaz depende de um plano. Sem um plano, você ficará sem rumo e sua recuperação custará tempo. Seu plano deve delinear tanto passos de recuperação imediata quanto ações preventivas de longo prazo para evitar novos ataques. No mínimo, ele deve incluir:

• Ações iniciais como coleta de dados de logs do sistema comprometido para entender o ataque.
• Um plano de comunicação capaz de identificar as partes interessadas internas, como TI, segurança e jurídico, e as partes interessadas externas, como autoridades policiais, clientes e empresas de resposta a incidentes (IR).
• Requisitos legais — 47 estados dos EUA têm alguma forma de obrigação de notificação em casos de comprometimento de dados.
• Descreva os passos que devem ser seguidos para manter ou reiniciar as atividades comerciais afetadas.
• Forneça etapas para iniciar uma investigação, descreva os requisitos de monitoramento e discuta as formas de remediar o ataque.
• Descreva um processo de revisão estratégica para conduzir planejamento e melhorias de longo prazo para sua segurança.

A CrowdStrike confia na própria capacidade de responder a um ataque de ransomware. Uma abordagem tradicional de resposta a incidentes (IR) opera em um cronograma de semanas e meses. Operamos em horas e dias.

2. Determine o estilo de ataque e isole os sistemas

Após identificar um incidente, é preciso colocar seu plano de resposta a incidentes (IR) em ação:

• Pausar: as vítimas geralmente desconectam rapidamente o sistema infectado sem entender a natureza do ataque. Um invasor pode já ter preparado um backdoor e provavelmente alterará seu comportamento quando for alertado sobre sua resposta. Busque entender a situação antes de agir.
• Avaliar: colete dados de logs para entender ações criminosas e analisar o método de invasão. Identifique as máquinas infectadas, o tipo de ransomware e como os criminosos obtiveram acesso.
• Isolar: depois de determinar o tipo de ataque, isole e desconecte todos os sistemas vulneráveis e afetados para evitar que o ransomware se espalhe.

3. Backup, backup e backup!

Sem um backup de dados, as empresas geralmente ficam completamente perdidas quando um ataque de ransomware ocorre. Em geral, isso leva ao pagamento do resgate (o que não garante a recuperação dos arquivos). Os backups normalmente são a maneira mais rápida e confiável de se recuperar. Métodos e estratégias eficazes incluem:

• Isolar seus backups para garantir que eles permaneçam seguros contra ataques.
• Usar backups incrementais para garantir que não haja perda de dados durante um ataque.
• Usar armazenamento que não possa ser modificado. Isso garante que você sempre terá uma versão recuperável dos dados afetados.
• Implementar diversos tipos de backups para aumentar sua resiliência.
• Realizar revisões regulares para garantir que dados críticos e processos de negócios sejam armazenados em um local adequado. Se você precisar deles para tocar seus negócios, faça um backup.
• Configurar uma infraestrutura de backup para colocar seu negócio em funcionamento em minutos. Apesar de cara, uma versão espelhada do seu centro de produção principal garante que sua empresa será capaz de se manter operacional mesmo após um ataque devastador.

Independentemente do método escolhido, é essencial que você teste seus backups. Isso deve ser uma parte natural do seu plano de resposta a incidentes (IR) e preparação de segurança. Se você nunca verificou a eficácia deles, não será possível saber se eles armazenaram seus dados corretamente.

4. Use um software de recuperação de dados ou ferramentas de descriptografia

Conforme mencionado, a recuperação de dados tem melhores resultados quando realizada por meio de backup. No entanto, existem outras maneiras de restaurar seus dados criptografados:

• Ferramentas do sistema operacional: alguns sistemas operacionais, como o Windows 10, possuem ferramentas de recuperação integradas. Às vezes, o utilitário de Restauração do Sistema Windows pode restaurar as configurações para um ponto de recuperação previamente estabelecido. No entanto, ransomwares atuais podem muitas vezes desativar e corromper essas aplicações.
• Software de recuperação de dados: existem diversas ferramentas de terceiros capazes de extrair dados corrompidos de dispositivos de armazenamento e restaurar os arquivos afetados. A eficácia do software depende do tipo de ransomware que atacou o seu sistema. Se for um ransomware novo, é improvável que o software seja eficaz.
• Ferramentas de descriptografia: dependendo da variante do ransomware, os pesquisadores de segurança podem já ter quebrado o algoritmo de criptografia. Ferramentas de descriptografia empregam algoritmos para quebrar a criptografia e desbloquear seus dados.

5. Implemente mais segurança

Embora a recuperação seja possível, é fundamental se preparar e se prevenir. Fortalecer sua segurança é a melhor maneira de evitar os efeitos devastadores de um ataque de ransomware. Algumas principais ações que recomendamos são:

• Habilite a autenticação de dois fatores (também conhecida como autenticação multifatorial ou MFA)): o acesso remoto à sua rede deve sempre exigir autenticação multifatorial. Métodos de autenticação fora de banda, como SMS e soft tokens, são comuns, amplamente aceitos por usuários e relativamente fáceis de implementar com a prevalência de smartphones.
• Altere as senhas padrão: um dos ataques mais simples envolve o uso de uma senha padrão fornecida por um fabricante. Os dispositivos de IoT (Internet of Things, Internet das Coisas) são comumente destacados por essa vulnerabilidade, mas o escopo do ataque é muito mais amplo. Senhas padrão, especialmente para dispositivos de hardware (por exemplo, roteadores Wi-Fi), podem permitir acesso direto a dados críticos. É preciso lembrar que é crucial exigir senhas fortes para todos os usuários, incluindo contas padrão ou integradas.
• Implemente o registro centralizado: a agregação e a retenção robustas de logs podem embasar uma investigação de comprometimento de dados, auxiliando os responsáveis pela resposta a correlacionar determinados eventos e a desenvolver uma linha do tempo do incidente. Armazene dados de log em um sistema protegido e centralizado, com sincronização de tempo e fácil de pesquisar. Aloque recursos para realizar análises regulares de logs e testes de estresse do seu processo de logs por meio de exercícios de invasão.
• Fique de olho no Microsoft Active Directory (AD): os invasores usam configurações do AD para identificar caminhos de ataque e capturar credenciais privilegiadas para que possam se integrar profundamente às redes-alvo. Você pode evitar a maioria dos ataques protegendo os principais componentes do AD. A avaliação de segurança do AD da CrowdStrike fornece recomendações para ajudar você a proteger sua infraestrutura.
• Implemente o treinamento em cibersegurança: trabalhar com funções, responsabilidades e etapas de um plano de resposta a incidentes (IR) completo prepara a sua equipe para agir e identifica rapidamente os pontos fracos do seu plano. Considere aulas sobre investigação de ameaças e inteligência para garantir uma abordagem proativa para detectar tentativas e atividades de invasão.

Soluções de proteção contra ransomware da CrowdStrike

Enfrentar um ataque de ransomware é uma perspectiva assustadora e não há respostas fáceis. Os riscos podem se graves. Quando você está enfrentando o pior cenário, você quer um parceiro implacável que trabalhe com horas e minutos, não com semanas e meses. A CrowdStrike ajuda organizações de todos os tamanhos a prevenir e se recuperar de ataques de ransomware.