O que é ransomware | Como proteger sua empresa

Aprenda como o ransomware funciona, por que é uma ameaça crescente e como edge computing e estruturas de segurança zero-trust podem proteger sua empresa de ataques dispendiosos.

O que é ransomware?

Você provavelmente já ouviu falar muito sobre ransomware ultimamente, o que destaca a importância crítica de uma robusta segurança de aplicações web e proteção geral do sistema. Ransomware é um tipo de malware usado por hackers para comprometer um sistema, criptografar dados críticos para o negócio e forçar os proprietários a pagar resgate para desbloqueá-los.

Como o ransomware funciona?

Como a maioria dos malwares, o ransomware geralmente depende muito de engenharia social. Um hacker precisa de um ponto de entrada para acessar um computador, e o ponto de entrada mais comum é um ser humano operando uma máquina. Como você pode imaginar, quanto maior a empresa, maior o número de pontos de entrada que um hacker pode explorar para entrar no sistema de uma empresa.

A forma mais comum do ransomware entrar em um computador é por meio de phishing via e-mail. Esse tipo de e-mail normalmente inclui anexos ou links para sites maliciosos. Quando o usuário abre o anexo ou clica no link, o ransomware pode infectar o computador e se espalhar por toda a rede. É por isso que a engenharia social é relevante. Grupos de ransomware conseguem enganar as pessoas para que abram anexos ou cliquem em links não apenas parecendo legítimos, mas também desencadeando um senso de urgência que compele os usuários a clicarem sem primeiro fazer perguntas.

Outro ponto de entrada comum para ransomware são aplicações e redes vulneráveis, usadas por atacantes para obter acesso a um servidor ou desktop específico, explorando um sistema não atualizado com vulnerabilidades conhecidas ou por meio de um exploit zero-day. (Exploits zero-day aproveitam vulnerabilidades que ainda não são conhecidas pelos pesquisadores de ameaças. Neste estágio, agentes mal-intencionados visam essas vulnerabilidades porque patches de software ainda não existem, e soluções de segurança baseadas em assinaturas ainda não conhecem o novo padrão de ataque.)

Mas independentemente do método e das salvaguardas de segurança adequadas implementadas, basta um único comprometimento para dar aos atacantes entrada em um sistema, onde eles podem potencialmente propagar malware devastador para outras máquinas.

Por que você deve se preocupar com ransomware?

Se você tem a impressão de que está ouvindo cada vez mais sobre ransomware recentemente, você está certo. O valor total pago pelas vítimas de ransomware aumentou nos últimos anos, e isso considerando apenas ataques relatados — a maioria das empresas não relata ataques. O pior é que os impactos econômicos vão muito além dos custos dos resgates, uma vez que os pagamentos de ransomware não cobrem os custos associados ao tempo de inatividade do serviço e recuperação.

Em uma pesquisa de 2024 da Sophos, 59% dos gerentes de TI relataram terem sido atingidos por ataques de ransomware, e 73% desses ataques conseguiram criptografar dados.

Ataques de ransomware não são exatamente novos. O primeiro ataque relatado aconteceu em 1989, embora com tecnologia muito diferente, mas com técnicas de engenharia social semelhantes. Então, por que está em ascensão agora? Existem três razões principais para isso.

  1. Ransomware-as-a-service (RaaS): Ataques de ransomware costumavam exigir um hacker com conhecimento suficiente para desenvolver malware e distribuí-lo. No entanto, surgiu um novo modelo de negócios onde hackers desenvolvem software de ransomware e o vendem para qualquer criminoso que queira lançar um ataque em troca de uma taxa, frequentemente estruturada como um acordo de compartilhamento de lucros. Isso significa que qualquer pessoa agora pode lançar um ataque independentemente da habilidade. Como o IST coloca, “as barreiras de entrada nessa lucrativa empresa criminosa tornaram-se chocantemente baixas.”

  2. Criptomoeda: O aumento do ransomware está intimamente ligado ao aumento das criptomoedas, que tornam significativamente mais difícil rastrear transações. Muito frequentemente, o dinheiro de ransomware flui através de transações de múltiplas etapas envolvendo uma variedade de instituições financeiras, muitas das quais não fazem parte de mercados financeiros regulamentados. Além disso, a maioria das criptomoedas é sem fronteiras, o que não apenas torna difícil rastrear fundos, mas recuperá-los é ainda mais complicado.

  3. Ameaça Dupla: Se os primeiros ataques de ransomware ameaçavam bloquear seus dados, os ataques atuais representam uma ameaça dupla de bloquear seus dados e/ou vazar seus dados para o público. Considerando como é fácil hoje vazar dados para o público em geral, e os riscos de reputação associados a isso, a ameaça dupla torna o ransomware mais poderoso, pois adiciona um senso de urgência: ou você paga agora ou corre o risco de ver os dados de seus clientes vazados, independentemente de você conseguir ou não recuperar seus dados por meios próprios.

Como você pode prevenir o ransomware?

Antes de tudo, o ransomware requer educação do usuário. Quanto mais pessoas você tem em sua organização, mais pontos de entrada os hackers têm para atacá-lo. Nada substitui o planejamento proativo de incidentes, educação dos funcionários e higiene básica de segurança. As empresas também devem garantir que seus sistemas operacionais e outros componentes, incluindo software de proteção de endpoints, estejam atualizados. Usar uma abordagem baseada em risco moderna para cibersegurança pode ajudar a priorizar esforços nessa área. Além disso, cumprir com regulamentações específicas do seu setor, como PCI, SOC2, ISO, etc. (mesmo aquelas que não são obrigatórias) ajudará a orientar as empresas a melhorar seus programas de segurança.

Paralelamente a isso, existem técnicas fundamentais que você deve implementar para minimizar ainda mais o risco de ransomware.

Use um Web Application Firewall (WAF)

WAFs podem prevenir cross-site scripting (XSS), onde atacantes tentam carregar scripts em sites legítimos que podem ser visitados por funcionários de uma empresa-alvo. Ataques XSS típicos incluem roubo de sessão, tomada de conta (ATO), bypass de MFA, substituição ou desfiguração de nós DOM (como painéis de login trojan), ataques contra o navegador do usuário, como downloads de software malicioso, registro de teclas e outros ataques do lado do cliente.

Além disso, para derrotar ataques de phishing que tentam aproveitar seu próprio conteúdo (por exemplo, imagens estáticas) em páginas de destino falsas, os WAFs permitem que você coloque em lista branca os domínios que podem ser referenciadores para seus ativos e bloqueie todos os outros, dificultando a vida dos possíveis atacantes. Ao proteger sites e aplicações utilizados pelos funcionários, as equipes de segurança podem impedir que os atacantes comprometam contas de usuários individuais, que frequentemente são usadas por hackers como ponto de entrada em uma organização.

WAFs também podem bloquear uma série de ataques de injeção, incluindo injeção de comandos do sistema operacional, onde os atacantes tentam executar comandos do sistema operacional em servidores que hospedam aplicações web inadequadamente protegidas. Quando bem-sucedidas, as injeções de comando podem levar à tomada completa de um servidor, a partir do qual os atacantes podem se mover lateralmente pela rede para outras máquinas, ou instalar malware que criptografa dados, bloqueando sistemas de negócios críticos e até mesmo exfiltrando dados sensíveis.

É importante, no entanto, observar que, ao escolher um WAF, deve-se optar por uma solução que não dependa de assinaturas de ameaças conhecidas. Soluções baseadas em assinaturas dependem de padrões de ataque conhecidos e fornecem pouca ou nenhuma proteção contra ameaças zero-day. Em vez disso, procure soluções que usem técnicas avançadas de detecção, incluindo aquelas que aproveitam algoritmos de pontuação para reduzir o risco e mitigar ameaças zero-day.

Implemente uma estrutura zero-trust

Organizações preocupadas com ransomware devem implementar uma estrutura de segurança zero-trust. Como mencionado anteriormente, uma vez que os atacantes comprometem uma determinada máquina em uma rede, eles tentarão se mover lateralmente pela rede, assumindo o controle e criptografando máquinas adicionais. Em modelos de segurança de rede mais antigos, o acesso e, às vezes, os privilégios de administração eram assumidos por qualquer pessoa na rede. É difícil imaginar que esse modelo alguma vez tenha sido seguro, mas era a norma antes que mudanças tecnológicas dissolvessem os limites corporativos tradicionais. Hoje, funcionários, contratados e clientes acessam aplicações críticas de qualquer lugar do mundo e em uma ampla variedade de dispositivos.

Ao configurar microperímetros seguros usando edge firewalls com regras personalizadas programáveis, as empresas podem segmentar e proteger uma ampla gama de aplicações e redes voltadas tanto para o interno quanto para o externo, contra acesso não autorizado e outras ações maliciosas. Escolher soluções que registrem dados ricos em tempo real também pode melhorar as práticas de observabilidade e resposta a incidentes — ambos pilares essenciais da segurança zero-trust.

Aproveite aplicações serverless

As organizações também devem aproveitar as vantagens de segurança inerentes às aplicações serverless. Aplicações construídas com tecnologia serverless removem camadas de infraestrutura vulneráveis que as equipes de DevSecOps teriam que manter de outra forma. Com a computação serverless, as organizações não precisam mais se preocupar em manter sistemas operacionais atualizados, escanear contêineres ou corrigir servidores. Em vez disso, podem se concentrar na construção de aplicações inovadoras e de alta performance sem se preocupar com a segurança ou mesmo com o dimensionamento da infraestrutura.

Além disso, analistas líderes concordam que edge computing é a próxima fronteira lógica após a mudança para a nuvem. E quando se trata de aplicações serverless, as oportunidades e casos de uso são quase ilimitados. Muitas organizações já estão usando aplicações serverless para modernizar cargas de trabalho legadas, adicionando camadas de segurança adicionais ou implementando regras de negócios no edge. Um caso de uso comum de segurança inclui adicionar protocolos de autenticação e autorização mais robustos às aplicações existentes. Edge computing com recursos de segurança integrados pode esconder servidores de origem e infraestruturas de possíveis atacantes, ou substituir completamente os servidores de origem por uma rede edge serverless. Sem servidores centralizados para atacar e assumir o controle, edge computing torna a vida de um golpista de ransomware muito mais difícil.

Conclusão

O ransomware tem consequências enormes, incluindo interrupção de negócios, vazamentos de dados, danos à reputação, taxas de recuperação e outros custos. Sem proteções suficientes, organizações atingidas por ransomware podem ser tentadas a pagar criminosos para recuperar seus dados ou desbloquear sistemas críticos, incentivando ataques futuros. E à medida que outros fatores que afetam a frequência de ataques de ransomware, como ransomware-as-a-service e os altos valores das criptomoedas, se mantêm, a necessidade de cada organização se defender contra essa ameaça cada vez mais comum só se torna mais importante.

Ao usar um WAF nativo de edge, implementar segurança zero-trust e aproveitar as vantagens de segurança inerentes às aplicações serverless, incluindo o risco de vulnerabilidade de infraestrutura significativamente reduzido, as organizações podem diminuir significativamente sua vulnerabilidade a ataques de ransomware.

Conteúdo Relacionado

Comunidade

fique atualizado

Inscreva-se na nossa Newsletter

Receba as últimas atualizações de produtos, destaques de eventos e insights da indústria de tecnologia diretamente no seu e-mail.