Os hackers estão usando cada vez mais o ransomware como uma ferramenta eficaz para interromper negócios e financiar atividades maliciosas.
Uma análise recente por especialistas de segurança revelou que os ataques de ransomware dobraram em 2020, e especialistas preveem que um ataque de ransomware ocorrerá a cada 11 segundos em 2021.
As empresas devem se preparar para a possibilidade de um ataque de ransomware afetar seus dados, serviços e continuidade dos negócios. Quais etapas estão envolvidas na recuperação de um ataque de ransomware?
- Isole e desligue sistemas críticos
- Execute seu plano de continuidade de negócios
- Informe sobre o ataque aos envolvidos do negócio
- Restaure o backup
- Corrija, atualize e monitore
Isole e desligue sistemas críticos
A primeira etapa importante é isolar e desligar sistemas críticos para os negócios. É possível que o ransomware não tenha afetado todos os dados e sistemas acessíveis. Desligar e isolar sistemas infectados ajuda a conter a propagação do ransomaware para os sistemas que não foram afetados.
Desde a primeira evidência de ransomware na rede, a contenção deve ser uma prioridade. A contenção e o isolamento podem incluir isolar os sistemas da perspectiva da rede ou desligá-los completamente.
Execute seu plano de continuidade de negócios
O plano de continuidade de negócios e seu componente de recuperação de desastres são essenciais para manter algum nível de operações de negócios.
O plano de continuidade de negócios é um manual passo a passo que ajuda a todos os departamentos entenderem como a empresa opera em tempos de desastre ou outros cenários que alteram os negócios. O componente de recuperação de desastres detalha como dados e sistemas críticos podem ser restaurados e colocados online novamente.
Informe sobre o ataque aos envolvidos do negócio
Muitas empresas podem hesitar em fazer isso, mas relatar o ataque aos clientes, partes interessadas e autoridades policiais em alguns casos é essencial.
Contudo, em caso de violação de dados LGPD, a lei brasileira determina uma notificação muito mais rápida.
Restaure o backup
A melhor medida de proteção que você tem para seus dados são os backups. No entanto, restaurar grandes quantidades de dados pode ser demorado, forçando a empresa a ficar offline por um longo período de tempo.
Essa situação destaca a necessidade de descobrir e conter infecções de ransomware o mais rápido possível para reduzir a quantidade de dados que precisam ser recuperados.
Corrija, atualize e monitore
Na fase final de recuperação de um ataque de ransomware, as empresas remediam a infecção por ransomware, utilize patches de correção que podem ter levado ao comprometimento inicial do ransomware e monitore o ambiente de perto em busca de novas atividades maliciosas.
Não é incomum que a atividade maliciosa continue, mesmo que o resgate seja pago ou se os sistemas infectados sejam restaurados. Se existir a mesma vulnerabilidade que levou ao ataque inicial, o ambiente pode ser comprometido novamente.
Corrija os pontos de entrada comuns para ransomware
À medida que as empresas buscam fortalecer o ambiente contra ransomware e outras ameaças maliciosas, é crucial examinar os pontos de entrada comuns para esses tipos de ataques.
É muito comum que os ataques cibernéticos usam ataques de phishing para coletar credenciais roubadas que podem ser usadas para lançar um ataque de ransomware ou acessar sistemas diretamente.
REFERÊNCIAS:
https://thehackernews.com/2021/06/5-critical-steps-to-recovering-from.html
https://www.group-ib.com/resources/threat-research/ransomware-2021.html