Blog Infonova

Informação para tomada de decisão

Resultado da pesquisa por: ""

Plano de recuperação de ransomware

Por Juliana Gaidargi em 4/08/2021 em Segurança

Faça um plano de recuperação de desastres para lidar com ataques de ransomware. Afinal, esse é o primeiro passo para interromper sua propagação. Além disso, é a única forma de identificar a variante e se preparar para restaurar seus arquivos.

recuperação ransomware

Se o seu ambiente de computação estiver sujeito a um grande ataque de ransomware, você certamente irá implementar seu plano de recuperação de desastres (DR). No entanto, antes de começar a restaurar os sistemas, você deve primeiro garantir que interrompeu a infecção, identificou-a e a removeu. Afinal, partir muito rapidamente para a fase de restauração pode realmente piorar as coisas. Quer entender porque deve proceder dessa forma numa recuperação pós ransomware? Então, você precisa entender como funciona o ransomware.

Como o ransomware se espalha em seu ambiente

Existem muitos artigos que descrevem o que o ransomware faz, entretanto, é importante enfatizar que o objetivo do ransomware raramente é infectar apenas um sistema. Ou seja, variantes modernas de ransomware irão tentar imediatamente identificar e executar várias vulnerabilidades do sistema operacional para obter acesso administrativo e se espalhar para o resto de sua LAN

O ataque será coordenado por servidores de comando e controle (C&C). Então, a primeira coisa que todas as variantes de ransomware fazem é entrar em contato com esses servidores para obter instruções. Portanto, a chave para responder a um ataque de ransomware ativo é interromper a comunicação com os servidores C&C, bem como a comunicação entre os sistemas infectados e o resto da rede.

Portanto, se você não está infectado no momento, agora é a hora de desenvolver um plano de resposta e recuperação contra ransomware sob medida para sua rede. No entanto, é preciso testá-lo com a mesma frequência com que testa seu plano de DR.

Tenha ajuda para alinhar

Um grande ataque de ransomware não é o momento de fazer tudo sozinho. Existem recursos disponíveis que o ajudarão a parar e se recuperar quando parecer que o inferno está começando. Não obstante, há medidas a serem tomadas que podem ajudar as autoridades a prender os criminosos. Portanto, parte do seu plano de recuperação pós ransomware deve incluir as informações de contato desses recursos.

Se você tiver uma apólice de seguro cibernético, ela pode ser muito útil. Afinal, ela pode colocar você em contato com especialistas para ajudar a orientá-lo em sua resposta. Contudo, você deve fazer contato com eles agora, antes de ser atacado, para estabelecer o processo de resposta e documentá-lo em seu plano. Entretanto, se você não tem essa política, considere comprar uma.

Você também deve entrar em contato imediatamente com a Delegacia de Crimes Cibernéticos local. Afinal, seu nível de envolvimento em um caso específico será determinado pela extensão e natureza do ataque, no entanto, notificá-los de todos os ataques os ajuda a responder melhor ao ransomware em geral. Além disso, eles também têm acesso a ferramentas e recursos indisponíveis para muitas outras organizações que podem ajudar, especialmente se identificar outro país como a fonte.

No entanto, ao pedir ajuda, tome cuidado com as empresas que afirmam descriptografar os dados para você. Isso porque, tudo o que fazem é pagar o resgate e repassar o preço na conta. Então, reserve um tempo agora para examinar as empresas que você pode querer usar durante a resposta ao ransomware.

Pare novas infecções

Aprenda tudo o que puder sobre como o ransomware se espalha e desative os mecanismos que usa para isso. Algumas das etapas que você pode tomar podem parecer extremas e você terá que decidir o que é pior: um pouco de tempo de inatividade não planejado ou o risco de muito tempo de inatividade não planejado.

Ou seja, desligue imediatamente as comunicações entre todos os computadores no ambiente. Se você não puder fazer isso, pelo menos desligue a comunicação entre sua LAN e o mundo externo. Isso impedirá que seus computadores infectados obtenham mais instruções de seus servidores C&C.

Desligue o protocolo de área de trabalho remota (RDP), pois é a principal forma de o ransomware se espalhar dentro do seu ambiente. A maneira mais fácil de fazer isso é alterando uma chave de registro. Contudo, como é importante fazer isso o mais rápido possível, automatize-o via PowerShell.

Então, altere as senhas do administrador e encerre todas as sessões administrativas atuais. Se algum computador tiver sido comprometido, isso impedirá mais danos a ele. Usar o PowerShell também é melhor para esse fim, afinal, todas essas tarefas podem levar muito tempo se você não as automatizar. Isso significa que você deve desenvolvê-las e testá-las antes que realmente se tornem necessárias.

Uma vez que as ações acima tenham sido concluídas, o mais seguro é desligar todos os computadores até que você identifique quais estão infectados e quais estão limpos. Esta é uma etapa extrema, no entanto, irá interromper totalmente a propagação e mais danos. Além disso, lhe dará tempo para pensar direito enquanto descobre o que fazer em seguida.

Identifique o ransomware

Existem ferramentas que você pode usar para descobrir qual variante de ransomware o atingiu. Algumas, inclusive, podem fazer a identificação com uma amostra da mensagem de resgate que você recebeu, bem como arquivos que foram criptografados.

Portanto, instale uma ferramenta de varredura de malware em um computador infectado conhecido e faça a varredura. Supondo que ele identifique e coloque o ransomware em quarentena, faça a mesma coisa em todos os outros computadores em seu ambiente. Este processo manual deve ser executado pelo maior número de pessoas possível, portanto, o treinamento sobre como fazê-lo deve ser incluído como parte de seu plano de recuperação de ransomware.

Contudo, dependendo do ransomware, os computadores infectados podem não ser verificados, já que os arquivos necessários para fazer o login ou inicializar o sistema foram criptografados. Então, esses computadores terão que ser completamente apagados e restaurados.

Não seja uma vítima de ransomware

Saiba que o número crescente de ataques pode ameaçar suas implantações na nuvem. Portanto, uma abordagem de ‘localizar, responder e recuperar’ pode proteger melhor seus sistemas.

O ransomware está se tornando cada vez mais comum, e isso continuará a acontecer nos próximos anos. Portanto, é preciso saber que os invasores exploram principalmente a negligência e a falta de experiência, então, é certo que seus olhos irão se voltar para a nuvem a tempo.

Um dos motivos pelos quais não estamos vendo mais ataques em nuvens públicas é que eles são bem mantidos e atualizados, além de terem uma segurança muito melhor do que suas contrapartes locais. No entanto, como a maioria dos especialistas em segurança dirá, nada é 100% seguro e a segurança na nuvem ainda precisa evoluir antes de estar perto de ser otimizada.

Contudo, ainda assim, não podemos esperar que a segurança na nuvem se torne perfeita. Então, a missão hoje é encontrar as melhores práticas para evitar ransomware e outros ataques a sistemas baseados em nuvem. No fim das contas, tudo se resume a encontrar, responder e recuperar.

Encontrar

O monitoramento de segurança é a melhor defesa contra ransomware. Isso inclui a detecção de tentativas de ataque, bem como o monitoramento de outras maneiras pelas quais o ransomware pode entrar em seus sistemas baseados na nuvem, como e-mails de phishing.

Com isso em mente, encontrar deve ser proativo. Então, aproveite os sistemas de segurança nativos do seu provedor de nuvem não apenas para configurar defesas, mas para monitorar ativamente todos os sistemas, procurando coisas como tentativas de login malsucedidas, saturação de CPU e E / S e até mesmo comportamento suspeito de usuários autorizados. Assim que uma ameaça for detectada, responda.

Responder

A resposta deve ser automatizada. Então, se você estiver enviando mensagens de texto ou e-mails para administradores de segurança, provavelmente já é tarde demais. Os sistemas automatizados podem bloquear certos endereços IP suspeitos e eliminar automaticamente os processos que estão se comportando de forma suspeita. Contudo, outras ações podem incluir forçar mudanças de senha em contas para evitar o controle da conta na nuvem com base na atividade monitorada. Mesmo iniciando backups caso o ataque seja bem-sucedido, esteja preparado para avançar rapidamente para a recuperação.

Entretanto, existe um elemento humano para responder, incluindo a ativação de uma equipe de resposta bem treinada para seguir um conjunto de processos pré-planejados. Isso deve incluir a comunicação com outras pessoas que interagem com os sistemas baseados em nuvem, como clientes e fornecedores, quanto a seus riscos e cursos de ação.

Recuperar

O ransomware é tão perigoso porque não há como recuperar o estado anterior; é por isso que as vítimas pagam resgates.

Portanto, você precisa ter uma maneira de recuperar o estado anterior, incluindo todos os dados e processos necessários para dar suporte aos negócios. Algumas empresas podem aceitar a perda de cerca de uma hora de dados. No entanto, outros precisam de uma abordagem ativa em que não haja perda de dados e os usuários finais nem mesmo saibam que ocorreu a mudança para os dados de backup.

Novamente, os sistemas automatizados de backup e recuperação de ransomware, nativos ou de terceiros, são a melhor opção aqui. Então, eles precisam fazer parte dos processos de resposta automatizada e mantidos em domínios de segurança separados para que não sejam comprometidos ao mesmo tempo que os sistemas primários.

Contudo, isso é mais simples de explicar do que implantar. No entanto, à medida que mais empresas migram para a nuvem, os ataques de ransomware se seguirão. Configurar sistemas e processos de segurança retarda a migração e é um custo enorme e incômodo, contudo, usar as nuvens públicas significa levar seu jogo de segurança para o próximo nível. 

Alternativa

Você pode contar com o apoio de uma empresa de TI especializada em segurança para garantir uma maior nível de proteção, tal como de recuperação após ataque de ransomware.

Sobre a Infonova

A Infonova já atendeu mais de 135 clientes dos mais diversos segmentos, desde corporate, governo, PME até indústria do entretenimento e saúde. Você pode conferir a lista completa de clientes satisfeitos da Infonova aqui.

A Infonova usa uma metodologia consolidada. Portanto, essa empresa de TI conta com depoimentos da maioria de seus clientes garantindo a qualidade do atendimento.

metodologia infonova

Em relação à confiança, a Infonova comprova sua transparência e seriedade logo no início do nosso contrato. Afinal, é quando realiza uma visita inicial de manutenção intensiva em todos os computadores da sua empresa e também servidores.

Inclusive, se você pedir, a Infonova oferece um mapeamento de todo seu ambiente de TI.  Afinal, seu interesse é conhecer toda sua infraestrutura e, de cara, resolver todas as suas dores.

modelos de contrato

Resumindo, a Infonova faz um diagnóstico para identificar como está a sua TI. Então, avalia o que está bom, resolvemos o que está ruim e cria um projeto para o que é possível melhorar. Tudo isso sem custo. Ou seja, a Infonova conta com as melhores condições custo-benefício do mercado. Especialmente em relação a automação da infraestrutura em nuvem e outras inovações.

Perfil Infonova

A expertise da Infonova permite fornecer atendimento técnico local com escalas flexíveis definidas pelo cliente. Estas incluem:

  • Atendimento por demanda;
  • Disponibilização de equipes com 1 técnico local e retaguarda especializada; 
  • Equipes completas com até 200 profissionais qualificados para assumir parte ou toda a operação de TI.
Colaboradores

O trabalho executado pela equipe da Infonova é primoroso. Afinal, essa empresa de TI se preocupa com seus funcionários. Ou seja, a Infonova oferece participação nos lucros aos seus colaboradores a fim de mantê-los sempre motivados. Além disso, a contratação dos analistas é CLT Full, o que reduz o turnover e aumenta a confiança. 

Soluções

Como a empresa de TI completa que é, a Infonova tem soluções voltadas para PMEs, Governo e Corporate. Todas compreendem modelos flexíveis com início rápido e transição sem dor.

Confira a seguir:

soluções infonova

Para saber mais sobre os serviços da Infonova, entre em contato pelo (11) 2246-2875 ou clique aqui.

Se quer saber mais sobre o que nossos clientes têm a dizer sobre nossos serviços, baixe gratuitamente nossos cases exclusivos.

Já vai?

Receba conteúdos exclusivos e gratuitos direto no seu e-mail, para ler sem pressa ;)

FALE
COM UM
ESPECIALISTA

Receba Gratuitamente

Fique tranquilo, não compartilhamos suas informações.

FALE
COM UM
ESPECIALISTA

Receba Gratuitamente

Fique tranquilo, não compartilhamos suas informações.

Receba Gratuitamente

Fique tranquilo, não compartilhamos suas informações.

Receba Gratuitamente

Fique tranquilo, não compartilhamos suas informações.

Receba Gratuitamente

Fique tranquilo, não compartilhamos suas informações.

Acesse informação exclusiva para nossos clientes e esteja informado. Conheça as técnicas, ferramentas e estatísticas do mercado, de graça, e no seu email.
É só preencher o formulário para acessar.

Receba Gratuitamente

Passo 2
0%

Receba Gratuitamente

Fique tranquilo, não compartilhamos suas informações.

Receba Gratuitamente

Fique tranquilo, não compartilhamos suas informações.

Receba Gratuitamente

Fique tranquilo, não compartilhamos suas informações.

Receba Gratuitamente

Fique tranquilo, não compartilhamos suas informações.

Receba Gratuitamente

Fique tranquilo, não compartilhamos suas informações.

Receba Gratuitamente

Fique tranquilo, não compartilhamos suas informações.

Receba Gratuitamente

Fique tranquilo, não compartilhamos suas informações.

Receba Gratuitamente

Fique tranquilo, não compartilhamos suas informações.