Você leu nossos milhares de artigos sobre como proteger sua rede de todas as ameaças da terra cibernética. Mas às vezes, apesar de todas as precauções, uma invasão acontece. Agora é a hora de esfriar a cabeça e tomar ações rápidas e assertivas. Sua resposta ajudará a determinar se o incidente se torna uma dor de cabeça mortal para a empresa ou apenas uma pedra inconveniente em seu sapato.
Conforme você avança no processo de recuperação, não se esqueça de documentar todas as suas ações para garantir as melhores práticas de transparência aos olhos dos funcionários e do mundo em geral. E tente preservar qualquer evidência que você puder do ransomware para que posteriormente se possa localizar quaisquer outras ferramentas maliciosas direcionadas para invadir o seu sistema. Isso significa salvar logs e outros vestígios de malware que podem ser úteis durante uma investigação.
Parte um: localizar e isolar
Seu primeiro passo é determinar a extensão da invasão. O malware se espalhou por toda a rede? Para mais de um departamento?
Comece procurando computadores e segmentos de rede infectados na infraestrutura corporativa e isole-os imediatamente do restante da rede para limitar a contaminação.
Se a empresa não tiver muitos computadores, comece com antivírus, EDR e logs de firewall. Como alternativa, para empresas pequenas, alterne fisicamente de máquina em máquina e verifique-as.
Se estamos falando de muitos computadores, você provavelmente deverá analisar os eventos e registros no sistema SIEM. Isso não eliminará todo o trabalho braçal posterior, mas é um bom começo para esboçar seu quadro geral.
Depois de isolar as máquinas infectadas da rede, crie imagens de disco e, se possível, deixe essas máquinas sem uso até que a investigação termine. (Se a empresa não pode permitir o tempo de inatividade do computador, faça imagens de qualquer maneira – e salve o despejo de memória para a investigação.)
Parte dois: Analisar e agir
Tendo verificado o perímetro, agora você tem uma lista de máquinas com discos cheios de arquivos criptografados, além de imagens desses discos. Eles estão todos desconectados da rede e não representam mais uma ameaça. Você poderia iniciar o processo de recuperação imediatamente, mas primeiro, verifique a segurança do resto da rede.
Agora é a hora de analisar o ransomware, descobrir como ele entrou e quais grupos normalmente o usam – ou seja, iniciar o processo de caça às ameaças. O ransomware não simplesmente aparece; um dropper, RAT, Trojan loader ou algum outro programa desse tipo o instalou. Você precisa cortar o mal pela raiz.
Para isso, conduza uma investigação interna. Pesquise nos logs para determinar qual computador foi atingido primeiro e por que esse computador não conseguiu interromper o ataque.
Com base nos resultados da investigação, elimine a rede de malware furtivo avançado e, se possível, reinicie as operações comerciais. Em seguida, descubra o que o teria impedido: O que estava faltando em termos de software de segurança? Não deixe brechas.
Em seguida, alerte os funcionários sobre o que aconteceu, informe-os sobre como detectar e evitar essas armadilhas e, assim que possível, promova treinamentos a eles.
Por fim, de agora em diante, instale atualizações e patches em tempo hábil. O gerenciamento de atualizações e correções é uma prioridade crítica para administradores de TI. Malware frequentemente se esgueira através de vulnerabilidades para as quais as patches já estão disponíveis.
Parte três: limpar e restaurar
A essa altura, você já conseguiu gerenciar a ameaça à rede, bem como fechar o buraco por onde ela passou. Agora, volte sua atenção para os computadores que estão fora de serviço. Se eles não forem mais necessários para a investigação, formate as unidades e restaure os dados do backup mais recente e seguro que tiver.
Se, no entanto, você não tiver uma cópia de backup, terá que tentar descriptografar o que estiver nas unidades. Comece no site No Ransom da Kaspersky, onde já pode existir um descriptografador para o ransomware que invadiu sua empresa – e se não existir, entre em contato com o seu provedor de cibersegurança e peça suporte. De qualquer maneira, não exclua os arquivos criptografados. Novas ferramentas para quebrar este tipo de criptografia aparecem de vez em quando, e pode haver um amanhã; não seria a primeira vez.
Independentemente do que foi atacado, não pague. Você estaria patrocinando atividades criminosas e, de qualquer forma, as chances de ter seus dados descriptografados são pequenas. Além de bloquear seus dados, o hacker de ransomware pode tê-los roubado para fins de chantagem. Por fim, pagar cibercriminosos gananciosos os incentiva a pedir mais. Em alguns casos, poucos meses após o pagamento, os invasores voltam para exigir mais dinheiro e ameaçaram publicar tudo, a menos que o recebam.
Em geral, considere qualquer dado roubado conhecimento público e esteja preparado para lidar com o vazamento. Mais cedo ou mais tarde, você terá que falar sobre o ocorrido: com funcionários, acionistas, órgãos governamentais e, possivelmente, jornalistas. A abertura e a honestidade são importantes e serão apreciadas.
Parte quatro: tome medidas preventivas
Um grande incidente cibernético sempre significa um problema de enormes proporções, e a prevenção é o melhor remédio. Prepare-se com antecedência para o que pode dar errado:
- Instale uma proteção confiável em todos os endpoints da rede (incluindo dispositivos móveis);
- Segmente a rede e forneça firewalls bem configurados; melhor ainda, use um firewall de última geração (NGFW) ou um produto semelhante que recebe automaticamente atualizações sobre novas ameaças;
- Vá além do antivírus e use ferramentas poderosas de caça às ameaças;
- Faça a implementação de um sistema SIEM (para grandes empresas) para alertas imediatos;
- Treine os funcionários em conscientização sobre cibersegurança com sessões regulares e interativas.