Nos últimos anos, os cibercriminosos atacaram pequenas empresas, fábricas gigantes , cidades e até países inteiros com ransomware. Ataques desse tipo quase sempre resultam em perdas significativas, tanto financeiras quanto reputacionais, por isso há uma grande tentação de lançar todas as forças para eliminar as consequências. Mas é importante não perder de vista outra questão – como evitar a recorrência do incidente.

Por que é mais provável que você seja atacado por ransomware pela segunda vez?

Era uma vez, os próprios autores de ransomware tentaram atacar empresas enviando seus cavalos de Troia com spam. Grupos modernos trabalham há muito tempo no princípio Ransomware-as-a-Service: eles fornecem acesso à infraestrutura e ao código de malware por uma parte do resgate. E, em geral, o “negócio de criptografia” está se transformando rapidamente em uma indústria completa , onde cada participante tem sua própria especialização. Em particular, existem grupos criminosos que buscam (ou fazem) e vendem acesso primário às redes das empresas, os chamados corretores de acesso inicial.

Se agências de notícias ou fóruns de hackers informarem que sua organização foi vítima de ransomware, isso atrairá automaticamente a atenção de outros invasores, especialmente se você concordar em pagar o resgate. Porque, em primeiro lugar, isso significará que sua infraestrutura é vulnerável e, em segundo lugar, você negociará com os invasores. Para os criminosos de hoje, isso é um sinal claro de que vale a pena repetir um ataque à sua empresa. E, como mostram os resultados da pesquisa “Como os executivos de negócios percebem as ameaças de ransomware” realizada por nossos colegas, eles não estão longe da verdade: 88% dos executivos de empresas que foram afetadas pelo ransomware dizem que estão prontos para pagar se o ataque repete.

Como minimizar as chances de outro ataque de ransomware?

A questão de como evitar uma reincidência deve ser feita mesmo no processo de investigação e eliminação de consequências, e você precisa começar na fase de decidir sobre o pagamento do resgate. A curto prazo, a ideia de pagar o resgate pode parecer uma solução viável para o problema. No entanto, antes de transferir dinheiro, você precisa considerar o seguinte:

Pagar o resgate não garante a segurança de suas informações — elas já estão em mãos erradas.

Mesmo que os invasores não a publiquem imediatamente, não há garantia de que ela não seja vendida ou usada secretamente por criminosos para outros ataques.

Ao pagar criminosos, você financia seus negócios, e isso inevitavelmente leva à expansão e aumento do número de ataques.

Ao pagar, você definitivamente dá um sinal de que pode ser atacado novamente.

Portanto, recomendamos fortemente não pagar. Caso contrário, nosso conselho para quem não deseja um ataque repetido de ransomware é bastante padrão:

Investigue exatamente como você foi atacado - isso ajudará não apenas a evitar a recorrência do ataque pelo mesmo cenário, mas também permitirá que você escolha as próximas etapas corretas. Se você não tiver recursos para investigá-lo por conta própria, contrate especialistas externos.

Depois de certificar-se de que não há mais intrusos em sua infraestrutura, reserve um tempo para verificar as versões dos sistemas críticos (SO, ferramentas de acesso remoto, soluções de segurança), atualize-os se necessário e talvez substitua alguns deles por outros mais confiáveis.

Conduza uma análise completa de sua infra-estrutura para vulnerabilidades . Após um ataque bem-sucedido, os invasores provavelmente começarão a procurar métodos alternativos de entrada.

Se os invasores conseguiram acessar seus sistemas usando engenharia social, preste mais atenção ao treinamento de pessoal nos conceitos básicos de segurança cibernética.

Se ferramentas de acesso remoto e senhas vazadas foram usadas no ataque, insista em alterar todas as senhas usadas nesse sistema.

Certifique-se de que todos os dispositivos corporativos com acesso à Internet (incluindo servidores e telefones celulares) estejam protegidos com soluções confiáveis.