Diante de todos os impactos que vivemos na pandemia, e com a ameaça iminente e constante de uma 3º guerra mundial, não tem sido suficiente para reduzir a quantidade de ataques cibernéticos no Brasil e também em outros países. Empresas mundialmente conhecidas tem sido alvo de inúmeros ataques cibernéticos, como por exemplo fornecedores da Toyota, no Japão, que foram vitimas de um ataque Ransomware que paralisou a produção de suas fábricas por 1 dia no inicio deste ano, conforme reportagem da CNN Brasil. Pode parecer pouco, mas basta um dia com portas fechadas para gerar um prejuízo de milhões à montadora.
Talvez pareça que um incidente como este nunca irá afetar a sua empresa, mas a ameaça está mais perto do que pode imaginar. Conforme reportagem do Mundo Tech, o Centro Nacional de Pesquisa em Energia e Materiais, localizado em Campinas-SP, sofreu um ataque ransomware, cujo o superlaboratório Sirius faz parte. E como resultado disso, parte dos dados de seus sistemas ficaram impossibilitados de ser acessados. O centro possui 4 laboratórios que são referências mundiais, entre eles o Laboratório Nacional de Luz Síncrotron (LNLS), responsável pela operação do Sirius, o acelerador de partículas brasileiro.
Até mesmo a Nvidia foi vítima de ataque ransomware, confirmado pela companhia, o qual teria tirado os sistemas internos da empresa do ar, bem como plataformas de e-mail, enquanto o grupo Lapsus assumiu a autoria do golpe (responsáveis pelos ataques ao Ministério da Saúde, no final do ano passado, e o grupo Americanas, em Fevereiro de 2022). Sendo assim dados alarmantes mostram que o não só no exterior mas o Brasil está na berlinda no quesito segurança, pois registrou no primeiro semestre de 2022, 31,5 bilhões de tentativas de ataques cibernéticos a empresas, o número é 94% superior comparando com o primeiro semestre de 2021, quando foram 16,2 bilhões de registros.
As Consequências para a Empresa quando ocorrem o vazamentos de dados
O Ataque Ransomware visa realizar a criptografia dos dados, também chamado de sequestro de dados, que após uma invasão e a quebra do sigilo de informações trazendo vários impactos negativos para a empresa. Os dados que antes eram confidenciais se tornam públicos, o que para muitas empresas pode ser a ruína, pois podem entregar aspectos que se referem à sua estratégia, carteira de clientes, sistemas que sejam sigilosos, podendo reduzir seu valor de marcado, também prejudicando o andamento de vários processos, sem contar as sanções jurídicas que tal exposição pode acarretar.
Podemos exemplificar com o seguinte cenário, uma loja de departamentos, com cerca de 100 mil clientes em seu sistema, contendo dados pessoais e sensíveis de cada cliente, bem como os dados referentes à pagamentos e logística da entrega dos itens que a empresa vende. Por dia são vendidos cerca de 500 mil reais em produtos e eventualmente entregues à casa dos clientes em até 72 horas. De repente, sem ter dado sinal algum, os colaboradores notam uma mensagem de erro na tela de todos os computadores da empresa que diz: “Olá, seus dados foram sequestrados! Para liberação deles realize o pagamento para este endereço eletrônico X, vocês têm 24 horas ou os dados irão à público”.
Neste cenário temos três situações, o valor que estão cobrando pelos dados é extremamente alto (o que geralmente ocorre) versus o faturamento diário que a empresa está deixando de receber e o agravante de não saber quem comprou o que e aonde deve ser entregue. Estas são as consequências imediatas e nesse ponto é muito difícil que sua equipe técnica seja capaz de remover a criptografia ou conseguir recuperar os arquivos sequestrados, já que eles não conseguiram nem detectar o início do ataque ao sistema. Neste cenário, além do prejuízo imediato, ainda haverá sanções aplicadas à empresa pela ANPD (Agência Nacional de Proteção de Dados), se baseando na LGPD, multas que podem chegar na casa dos milhões, além de prejuízo no valor de mercado e credibilidade que a organização sofrerá.
Até aqui podemos compreender um pouco sobre o impacto negativo que um ataque ransomware é capaz de ter, mas como de fato consiste esse tipo de ataque? O ponto mais crítico da rede de qualquer empresa, é chamado de endpoint, pois é através deles que o ataque ransomware ocorre. Um endpoint é um dispositivo final conectado à um terminal de rede, podendo ser desde computadores e smartphones até câmeras de vigilância e dispositivos IOT. Por estar conectado à rede, ele acaba transmitindo informações e devido a isso ele está suscetível a diferentes tipos de ataques virtuais.
Um ataque ransomware é o tipo de estratégia que vai explorar ao máximo as “rachaduras” do sistema em busca de vulnerabilidades que permitam o acesso do software malicioso, que uma vez dentro do sistema terá altos privilégios de acesso, facilitando que credenciais do equipamento sejam descobertas e utilizadas para criptografar este e outros equipamentos da organização, se espalhando como se fosse uma “gripe virtual” dentro do sistema, que por fim terá como objetivo primordial sequestrar os dados da organização alvo, criptografando todos e liberando apenas mediante pagamento. Sim, resumidamente o ataque ransomware é um sequestro virtual que não ataca apenas 1 alvo, mas se move de maneira lateral dentro do sistema da empresa infectando e explorando as vulnerabilidades de todos equipamentos no ambiente.
O que normalmente é sequestrado durante o ataque?
– Registro de Clientes
– Propriedade Intelectual
– Dados financeiros
– Servidores de Dados
Mesmo para os dados armazenados em backups da empresa não há escapatória, eles podem ser alvos dos ataques caso tenham alguma brecha em sua segurança também.
Fase Final do Ataque Ransomware
Após identificar brechas no sistema, realizar a invasão e se instalar silenciosamente, o software malicioso tentará reunir o máximo de dados possíveis para criptografar e o que isso significa? A criptografia é um tipo de cadeado codificado, geralmente com uma codificação em 128 bit, o que com nossa tecnologia atual é equivalente a uma tranca de cadeado que levaria mais de bilhões de anos para que se acerte a senha.
Quando a empresa identifica a mensagem de ataque significa que o software já está em seu sistema há dias, quem sabe até mesmo meses (como foi o caso de uma invasão e roubo de dados de uma instituição Federal no Brasil). Nessa fase não há muito o que ser feito, já que o departamento de TI da empresa pouco conseguirá resolver.
Não tem jeito, quando os dados são sequestrados às empresas estão jogando com a sorte e o humor do hacker ou grupo que os invadiu. Não há formas de garantir que eles irão devolver os dados e tampouco se haverá novos ataques. Falando assim parece que ninguém está ileso, mas você já parou para pensar que algumas empresas não sofrem isso? Na realidade sofrem, mas com algumas estratégias simples e práticas é possível reduzir a quase 0% a chance de invasão via ataque ransomware.
Práticas Anti -Ransomware
– Ações Suspeitas
Esteja sempre atento à ações suspeitas, solicitações indevidas, endereços de e-mail conhecidos enviando ou solicitando informações que normalmente nunca são solicitadas.
– Sandbox para Arquivos Suspeitos
Sandbox nada mais é do que a criação de um ambiente isolado da rede, seguro, onde documentos e arquivos suspeitos poderão ser abertos afim de verificar do que se trata. Ao fazer isso em uma máquina não conectada em rede, caso seja um arquivo malicioso irá infectar apenas 1 máquina e não te trará novos riscos.
– Protocolos de Atividade
Aqui o foco é na criação de diversos conjuntos de normas que fazem a conexão de uma máquina qualquer à rede/internet, assim elas podem se comunicar entre si, fazendo downloads, enviando emails, mensagens instantâneas e etc, sem a necessidade de utilizar nenhum tipo de software.
– Softwares ou Defesas Conectadas
Utilizar uma boa ferramenta que sirva para reforçar a segurança da TI sempre vai ser melhor – mesmo havendo a necessidade de um investimento por parte da empresa, é melhor sempre prevenir do que remediar, se lembre disso!
– Fortalecer o Elo mais Fraco
Normalmente as pessoas utilizam os endpoints para se conectar à rede e realizar o trabalho normalmente e é exatamente ai que o investimento principal para reforçar a segurança da sua TI deve ser feito! Não estou falando dos endpoints e sim das pessoas que os utilizam! O modo como a maioria dos ataques ocorrem é utilizando o phishing ou engenharia social, que consiste basicamente em colocar uma isca (emails, mensagens, propagandas com links suspeitos, pedidos e solicitações incomuns) para que o colaborador clique e por “vontade própria” convide o arquivo malicioso a adentrar no sistema.
Você sabia que após entrar no sistema é muito comum que o ransomware utilize agendamentos de reunião como pishing para que outros colaboradores ao aceitar “a reunião” acabe na verdade dando permissão para o arquivo também ser instalado em sua máquina? Não sabia? Pois, agora você sabe e ainda dá tempo de investir em aprimorar a forma como seus colaboradores enxergar a internet no geral.
Sendo assim é primordial cuidar de todos os ponto vulneráveis do seu ambiente, deste equipamentos, equipes de TI e o claro, o ponto que pode ser crucial, o usuário. Porém não dá para contar sempre com o bom senso ou melhores praticas por parte dos usuário, mesmo estes recebendo todo e qualquer treinamento, pois a ação é fruto de uma escolha, e isso é uma variável sem controle, porém o ambiente que também é uma variável pode ser gerido, pode ser controlado através das ferramentas ou soluções que tem como objetivo dar ao administrador o controle simples e unificado, e isso quando há uma visão madura por parte da organização passa de um gasto e se torna um investimento valioso, prevenção ou invés de remediação.
Existem muitas soluções importantes que podem garantir a segurança da sua empresa e fazer total diferença em um momento de crise. Preferencialmente até mesmo evitando totalmente a crise, blindando sua infraestrutura contra invasores e mal intencionados.
Clique no botão abaixo e conheça nossas soluções que se aliam à TI para reforçar toda a infraestrutura das empresas públicas ou privadas:
ACSoftware revenda e distribuidora ManageEngine no Brasil. – Fone / WhatsApp (11) 4063 9639.
PodCafé da TI – Podcast, Tecnologia e Cafeína.
