Ransomware tem sido uma das ameaças mais difundidas contra os dados de negócios nos últimos anos. Agora, como uma indústria de bilhões de dólares, variantes de ransomware são geralmente entregues por anexos de e-mail que permitem que os invasores criptografem os dados de uma empresa e tenham a chave para desbloquear os dados por um preço exorbitante.
Depois que uma organização é vítima de um ataque de ransomware, ela tem duas opções: pagar o resgate ou restaurar um backup. Três quartos dos tomadores de decisão de TI cujas organizações não foram atingidas por ransomware disseram que não pagariam o resgate, de acordo com uma pesquisa realizada pela Trend Micro.
Quando confrontados com a realidade de um ataque, no entanto, quase dois terços (65%) das empresas previamente infectadas pesquisadas pagaram.
Organizações especializadas, como o FBI, o serviço de inteligência e segurança dos Estados Unidos, desaconselham o pagamento do resgate porque isso não garante que seus dados serão devolvidos.
Existem casos documentados de empresas pagando um resgate e nunca recebendo chaves de descriptografia ou sendo informadas de que precisam pagar mais. Em última análise, pagar um resgate encoraja os cibercriminosos.
Isso deixa a restauração do backup como uma das melhores opções para lidar com um ataque de ransomware.
Restaurações inadequadas
Por um lado, algumas empresas descobrem que seus backups são inadequados. Por exemplo, eles podem ter omitido certos sistemas ou dados de seus backups acidentalmente, ou para reduzir custos.
Da mesma forma, algumas organizações falham ao testar seus backups, descobrindo apenas após um ataque que os backups não podem ser restaurados.
Esses tipos de problemas podem ser evitados se você reservar um tempo para revisar e testar os backups antes que ocorra um desastre. Muito mais preocupante é como o ransomware está se tornando mais difundido e novas variantes de ransomware estão cada vez mais sofisticadas.
Algumas vítimas descobriram que o ransomware não apenas criptografa os dados, mas também destrói os backups.
Novas variantes de ransomware visam backups
O grau em que o ransomware pode danificar os backups varia de acordo com vários fatores, incluindo a variante do ransomware envolvida e a maneira como os dados são protegidos.
A maioria dos produtos de backup modernos para Windows usa cópias de sombra e pontos de restauração do sistema. Mas vários tipos de ransomware, como Locky e Crypto, são conhecidos por destruir cópias de sombra e restaurar dados de ponto.
Da mesma forma, organizações menores gravam geralmente dados de backup em um disco rígido separado em uma máquina física ou em um volume externo conectado como uma unidade de rede mapeada.
Mesmo que o ransomware não seja projetado para backups de destino, eles ainda estão em risco porque a localização dos backups é acessível ao sistema de arquivos da máquina.
De fato, muitas variantes são projetadas para atacar tipos de arquivo específicos, como PDFs ou documentos do Microsoft Office. Existem variantes de ransomware que executam criptografia ao nível de volume ou que atacam todos os arquivos, independentemente do tipo.
Portanto, qualquer backup diretamente acessível por meio do sistema de arquivos de um computador é vulnerável a ransomware. Idealmente, um aplicativo de backup deve ser capaz de extrair dados de um host protegido sem que o host exija um mapeamento direto para o backup.
Perigo oculto da replicação
Às vezes, pequenas empresas ou filiais de organizações maiores usam a replicação para proteger os dados. Fornecedores de hipervisor, por exemplo, oferecem recursos de replicação nativa que permitem a replicação de um host em espera.
Se algo aconteceu com a cópia primária de uma máquina virtual (VM), a réplica pode ser ativada e colocada online. Claro, existem outros tipos de replicação que às vezes são usados para proteção de dados. Muitos fornecedores de armazenamento oferecem recursos de replicação ao nível de array de armazenamento como uma ferramenta de proteção contra perda de dados.
A replicação funciona como uma contingência para falha de hardware e, por si só, não faz quase nada para proteger contra ransomware.
Um mecanismo de replicação não consegue distinguir entre criptografia de arquivo mal-intencionada e uma modificação de arquivo legítima. Portanto, quando o ransomware criptografa um arquivo, a ação maliciosa é repetida na réplica, o que significa que os dados da réplica também serão criptografados.
A importância de uma estratégia eficiente de proteção ao dados e backup
Quando se trata de proteger backups de novas variantes de ransomware, a regra fundamental é que o ransomware não pode afetar o que não pode tocar.
Como tal, a medida mais importante que você pode tomar para proteger backups contra ransomware é implementar um “espaço de ar”. Um entreferro, (termo utilizado, em circuitos magnéticos, para denominar o espaço entre o indutor e o circuito ferromagnético a que está acoplado), pode existir em uma variedade de formas.
Refere-se a colocar um obstáculo intransponível entre um possível ataque de ransomware e seu backup. O exemplo comum de um intervalo de ar de backup é um backup de disco para a nuvem.
Uma arquitetura de backup de disco para nuvem é semelhante a qualquer outro backup baseado em disco. A diferença é que o conteúdo do destino do backup baseado em disco é periodicamente gravado em uma infraestrutura de computação em nuvem.
A arquitetura de disco para nuvem foi desenvolvida originalmente para que os backups pudessem ser enviadas para fora do local para proteger os dados contra perda por incêndio ou outras catástrofes. Também é ideal para proteger dados de ransomware.
Imagine por um momento que você sofre um ataque massivo de ransomware e perde uma quantidade significativa de dados. Suponhamos também que o ransomware destruiu seus backups baseados em disco.
Em uma situação como essa, o backup na nuvem não é afetado porque mesmo o ransomware mais avançado não pode sobrescrever um backup que não esteja armazenado em uma unidade local de armazenamento.
Resultado da proteção contra ransomware
Quando se trata de proteção contra ransomware, é melhor pensar no problema como a continuidade dos negócios. Mesmo se uma organização for capaz de se recuperar de um ataque de ransomware restaurando backups, o processo de recuperação levará algum tempo para ser concluído.
Dessa forma, as organizações não devem se concentrar apenas na proteção de backups contra ransomware; eles também devem considerar como minimizar a interrupção causada por um ataque de ransomware.
A melhor maneira de minimizar a interrupção causada pelo ransomware é evitar que uma infecção ocorra. É difícil garantir que uma infecção de ransomware nunca ocorrerá, mas você pode minimizar a interrupção, certificando-se de que os usuários só tenham direitos aos dados necessários para fazer seus trabalhos e que sua empresa tenha um sistema de proteção de dados contínua em vigor – de preferência com recursos de recuperação instantânea – para ser possível reverter qualquer dano que ocorra.
Sobre a Service IT
Tecnologia é a nossa especialidade! Integradora de soluções e serviços de TI desde 1995, a Service IT possui uma equipe de profissionais altamente treinados e capazes de atender as demandas de tecnologia da sua empresa. E por isso, se responder a perguntas como a que foi feita ainda é um desafio para sua empresa, entre em contato agora mesmo!
A Service IT é especializada em outsourcing e consultoria de tecnologia. Distribuída através de escritórios em Porto Alegre, Curitiba, São Paulo, Rio de Janeiro, Buenos Aires e Santiago, a empresa possui estrutura preparada para atender toda a América Latina. Com um Centro de Operações próprio, a Service IT monitora e gerencia o ambiente de TI de seus principais clientes com foco em infraestrutura, managed services, cloud e segurança.