Uma das características mais incômodas do ransomware é sua capacidade de criptografar e bloquear o acesso dos usuários aos computadores da empresa, interrompendo processos de trabalho cruciais.
O resultado? De acordo com o relatório Data Breach Report 2024 da IBM, o custo médio de um ataque de ransomware é de 4,91 milhões de dólares – e esse valor tende a subir se as forças da lei estiverem envolvidas. Além dos custos financeiros, a recuperação após um ataque pode levar dias, meses ou até anos, dependendo de fatores como a persistência do agente de ameaças nos sistemas afetados ou o nível de preparação das equipes de segurança.
A recuperação e os gastos associados são problemáticos, com empresas às vezes pagando o resgate e confiando na "boa vontade" dos atacantes para obter a chave de descriptografia. Apostar nesses cenários pode rapidamente colocar as organizações em uma situação crítica. Mas e se existisse uma maneira de escapar das garras desse esquema de criptografia tão caro?
Um cenário crítico para empresas de todos os tamanhos
Devido à natureza em constante evolução do ransomware e à entrada ou reaparição de agentes de ameaças patrocinados por Estados-nação, o cenário das ameaças parece cada vez mais desfavorável para pequenas e médias empresas (PMEs), bem como para empresas e infraestruturas estatais. A taxa de incidência continua a crescer, e, atualmente, esses ataques representam 23% de todas as violações, de acordo com a Verizon.
A situação das pequenas e médias empresas (PMEs) é particularmente preocupante devido à limitação de recursos dedicados à cibersegurança. Na verdade, as PMEs estão frequentemente na mira dos grupos de ransomware (na região Ásia-Pacífico, a ESET descobriu que 1 em cada 4 ataques contra essas empresas envolvia ransomware).
Por isso, a melhor maneira de evitar o ransomware é, antes de tudo, preveni-lo. A ESET entende que a prevenção é o primeiro passo para o sucesso da cibersegurança, como demonstrado pelos nossos Casos de Sucesso do ESET Managed Detection and Response (ESET MDR) apresentados na ESET Technology Conference 2024 (ETeC 2024). Em um dos casos, as equipes de segurança da ESET conseguiram interromper o ransomware Mallox em seus estágios iniciais, antes que pudesse causar qualquer dano. Além disso, o ESET Ransomware Shield foi desenvolvido como parte do ESET Host-Based Intrusion Prevention System (HIPS), um módulo capaz de detectar e neutralizar ransomwares em tempo real.
Em outras palavras, empresas que não consideram a prevenção como o principal foco da sua estratégia de defesa devem evitar a “recuperação assistida” por criminosos — ou seja, pagar um resgate — e, em vez disso, concentrar seus esforços em aprimorar suas táticas de remediação.
Ameaças como o ransomware buscam ganhar vantagem pressionando a liderança a pagar um resgate alto para recuperar seus sistemas. Além disso, os criminosos podem tentar excluir backups de dados para impedir a recuperação sem assistência. No entanto, confiar a restauração do sistema à boa vontade dos criminosos seria como uma ovelha confiar que um lobo faminto não a devorará.
Recuperação típica após um ataque de ransomware: uma batalha perdida?
Existem três principais formas de responder ao ciframento causado por um ransomware:
- Restaurar os sistemas a partir de backups.
- Aguardar a publicação de uma chave de descriptografia, geralmente fornecida por pesquisadores de segurança.
- Pagar um resgate e esperar receber a chave de descriptografia.
O problema é que nenhuma dessas abordagens é infalível. Depois da prevenção, os backups são a segunda melhor opção: são um grande trunfo para restaurar sistemas a um estado estável após um ataque de malware, uma atualização problemática ou até mesmo ao trocar de dispositivo. No entanto, mesmo quando configurados corretamente, os backups não garantem a recuperação total dos dados.
A próxima opção são as chaves de descriptografia públicas. Embora seja ótimo que pesquisadores de segurança — como os da iniciativa No More Ransom (da qual a ESET faz parte) — consigam realizar engenharia reversa em ransomwares, esse processo exige muito tempo e esforço. Para uma empresa, isso pode significar anos com seus sistemas bloqueados, o que não é uma situação viável do ponto de vista econômico.
Por fim, não pagar o resgate é o principal conselho dos especialistas em segurança. No entanto, se uma empresa se encontrar desesperada o suficiente para pagá-lo, deve fazê-lo com a presença das autoridades e seguradoras, para garantir responsabilidade e manutenção de registros.
E se pudéssemos voltar no tempo após um ataque de ransomware?
Focando um pouco mais nos backups, é importante lembrar que eles podem se tornar alvos dos cibercriminosos. Se um atacante excluir ou modificar os backups de uma empresa, a organização perderá sua principal chance de recuperação, ficando mais propensa a pagar um resgate.
Recentemente, a equipe da ESET MDR detectou um agente de ameaças tentando explorar uma vulnerabilidade em um software de recuperação e backup para excluir os backups da empresa. Isso reflete uma tática comum: danificar ou criptografar backups, o que ocorre em 94% dos ataques de ransomware. Estudos indicam que empresas que não protegem adequadamente seus backups enfrentam custos de recuperação quase duas vezes maiores.
Cada ameaça exige uma abordagem específica, especialmente conforme o ransomware evolui e se torna cada vez mais focado em destruir backups.
O que é o ESET Ransomware Remediation?
Minimizar o impacto nos negócios em caso de um ataque de ransomware é essencial. Por isso, o ESET Ransomware Remediation (RR) é uma funcionalidade que combina prevenção e remediação, oferecendo uma abordagem abrangente e em múltiplas etapas para combater a criptografia maliciosa.
Tudo começa com a tecnologia ESET Ransomware Shield (RS), que é ativada ao detectar atividades suspeitas. Assim como outros sistemas de detecção de comportamento, como o HIPS, ela funciona em conjunto com as tecnologias ESET LiveSense, analisando o malware em profundidade. Se houver suspeita de ransomware, o RS o marca e inicia o processo de correção.
Depois, entra em ação o Ransomware Remediation, que começa a criar cópias de segurança de qualquer arquivo impactado pelo processo que gerou o alerta (antes que o ransomware possa realizar modificações). O Ransomware Remediation continuará criando cópias de segurança até que o Ransomware Shield (RS) decida que o processo é seguro. Nesse momento, a cópia de segurança será descartada. No entanto, se o Ransomware Shield determinar que o processo é malicioso, ele será imediatamente eliminado, e os arquivos serão restaurados a partir da cópia de segurança.
Ransomware Remediation é altamente configurável. A possibilidade de adicionar ou remover tipos de arquivos a serem incluídos no backup pode fazer uma grande diferença.
Esse processo de backup é muito mais robusto do que soluções baseadas no Windows Volume Shadow Copy, pois não depende de um serviço local vulnerável a ataques. O Ransomware Remediation conta com uma área de armazenamento protegida na unidade, onde os arquivos não podem ser modificados, danificados ou excluídos por invasores. Isso corrige e bloqueia ativamente uma das falhas mais comuns dos backups tradicionais após um ataque de ransomware.
Dias do futuro passado
O papel do administrador no processo do Ransomware Remediation é compreender suas capacidades e definir quais tipos de arquivos devem ser protegidos. O único limite para os backups é o espaço disponível no disco e um tamanho máximo de 30 MB por arquivo.
Embora o ESET RR seja extremamente eficiente, manter backups adicionais seguindo a regra 3-2-1 continua sendo uma prática recomendada: sempre tenha pelo menos três cópias dos dados (incluindo o original), armazenadas em dois tipos diferentes de mídia (disco, memória) e uma cópia externa (nuvem).
Em resumo, o ransomware pode ser sofisticado e destrutivo, mas não é imbatível. E, graças aos backups seguros, viajar no tempo para recuperar seus arquivos já não parece mais algo tão futurista.
Para mais informações sobre o ESET Ransomware Remediation, visite nossa página.