Você já deve ter ouvido falar em ransomware. Este tipo de malware tem se tornado cada vez mais prejudicial para as empresas. Recentemente, uma prefeitura do estado de São Paulo teve seus serviços praticamente congelados por causa de um ransomware. Os criminosos estão exigindo mais de 3 mil dólares para liberar os sistemas, que foram criptografados com uma chave de acesso de mais de 140 caracteres, quase impossível de ser quebrada.

Mas o que é ransomware?

O ransomware é um tipo de malware cujo objetivo é “sequestrar” os dados do computador ou smartphone do usuário, bloqueando o dispositivo a partir de um local remoto. Dessa forma, o usuário só volta a ter controle sobre o aparelho após o pagamento do valor exigido pelo hacker.

A forma de infecção do ransomware, tanto para usuários comuns quanto para empresas, acontece ao clicar em um link malicioso, que pode estar presente num e-mail, mensagem instantânea, rede social ou site.

Modo de operação

Assim como outros tipos modernos de malware, o ransomware busca passar o mais despercebido possível por soluções de antimalware. Ao infectar uma máquina, ele permanece silencioso e, por meio de “movimento lateral”, passa a infectar outras máquinas dentro da infraestrutura. Ao realizar com sucesso o movimento “lateral”, o código fica em stand-by até que o criminoso toma a ação e bloqueia a máquina, ou documentos específicos, por meio da criptografia.

A partir desse momento, o criminoso exige uma quantia em dinheiro para liberar as máquinas ou documentos. Mas imagine a seguinte situação: o pagamento é feito e o criminoso realmente remove a criptografia. O que o impede de refazer a operação e capturar máquinas e arquivos novamente? Na prática, nada.

Alguns especialistas aconselham o não pagamento do resgate, justamente por não existir nenhuma garantia de que o hacker irá liberar os dados ou refazer a ação.

Como evitar o Ransomware

Assim como outras ameaças e dificuldades da segurança, o ransomware precisa ser mitigado, ou seja, é preciso estabelecer todo um processo para que o risco seja minimizado. Podemos dividir esse processo de mitigar o risco do Ransomware em 3 etapas:

  • Prevenção: É preciso contar com uma boa solução de IPS (intrusion prevention system) para evitar que os malwares cheguem a entrar na infraestrutura.
  • Detecção: Se o malware passar na etapa de prevenção, ele não pode permanecer indetectado na infraestrutura. Ao ser detectado, ele pode ser enviado para um sandbox, que cria a vacina específica para a ameaça e distribui para as soluções de endpoint.
  • Remediação: É preciso contar com um plano de emergência. Se em último caso o criminoso conseguir executar a ação e bloquear as máquinas, é muito importante ter backups recentes. Esse é o chamado Plano de Continuidade do Negócio. Esse planejamento também deve envolver a área de comunicação da empresa, já que é preciso demonstrar o que será feito para imprensa e clientes.