Nada é pior que sofrer um ataque de ransomware, mas o que dizer se acontecer uma segunda vez? Relatório da Cybereason mostra que isso é relativamente comum, quatro de cinco empresas que pagam pedidos de resgate sofrem um segundo ataque. Outro estudo, esse da IBM, mostra que 70% das vítimas costumam ceder aos hackers e pagam o resgate, desses, cerca de 50% sofrem com um segundo ataque. 

Isso deixa clara a obrigação da equipe de segurança em descobrir o que causou o ataque e correr para eliminar a brecha. Afinal, o risco é alto de que um novo ataque utilize o mesmo ponto fraco para sequestrar os dados da empresa novamente. 

Ou seja, esses segundos ataques só serão evitados se lições forem extraídas e aprendidas com o primeiro. 

Como evitar um novo ataque de ransomware

Nos últimos anos, os ataques de ransomware se tornaram ainda mais complexos, impactando empresas de todos os portes, órgãos governamentais e infraestruturas críticas. Ou seja, qualquer pessoa e empresa podem ter seus dados roubados. 

Com o crescimento do ransomware-as-a-service (RaaS), os riscos são ainda maiores, pois o “provedor de serviços na nuvem" oferece acesso total à sua infraestrutura e ao código de malware, democratizando o ataque de ransomware ao cobrar uma mensalidade para seu uso e uma porcentagem do valor do resgate. 

No momento em que uma empresa é atacada, a própria divulgação dessa informação vai atrair novos ataques, principalmente se esses grupos descobrirem que existe disposição para o pagamento do resgate. 

Então, o que fazer? 

Descubra o vetor de ataque

Basicamente, isso implica em descobrir como o invasor teve acesso aos sistemas e dados da empresa. Um dos principais vetores são as vulnerabilidades não corrigidas em dispositivos. Não corrigir uma falha já explorada escancara as portas para que outros ataques ocorram. 

Outro vetor muito utilizado para um ataque de ransomware é o uso de credenciais roubadas ou com senhas que podem ser facilmente quebradas. Isso exige da empresa uma política de gestão de identidades e acesso mais robusta, com a implementação de ferramentas de IAM. 

Descubra o tempo total de permanência

O tempo que o hacker permanece dentro dos sistemas da empresa mostra o quão frágil podem ser os sistemas de segurança implementados e representa um desafio extra para reduzir riscos de uma segunda invasão. Para evitar, é crítico que a empresa conte com recursos avançados de detecção e resposta a incidentes e uma política de resposta eficiente e testada para se recuperar rapidamente de um ataque de ransomware. 

É possível interromper o ataque?

Detectar rapidamente uma possível invasão é a chave para minimizar perdas e riscos. A melhor maneira de detectar anomalias da rede é implementar uma solução de Análise Comportamental de Entidade e Usuário (UEBA), que analisa o comportamento de usuários e dispositivos para detectar anomalias que podem indicar um ataque de ransomware e tornar sua interrupção mais rápida. 

Processos de resposta a incidentes são eficazes?

As melhores práticas de resposta a incidentes envolvem a definição de uma política de segurança e a preparação da equipe para que essa política seja seguida. Além disso, o roteiro conta com algumas etapas: Identificação, Contenção, Erradicação, Recuperação e as lições aprendidas com o ataque de ransomware anterior. Falhas em qualquer uma dessas etapas expõem a empresa a riscos que poderiam ser evitados. 

O agente de ameaça foi realmente eliminado?

A estratégia de resposta a incidentes precisa ser capaz de garantir que a ameaça foi eliminada. Portanto, é fundamental monitorar continuamente os sistemas para evitar uma nova invasão. Para isso, deve-se verificar versões e atualizações de sistemas críticos e realizar uma análise profunda de toda a infraestrutura em busca de vulnerabilidades que podem ser exploradas. 

No caso de uso de engenharia social para realizar o ataque, o treinamento de pessoal precisa ser fortalecido. Se senhas foram vazadas, alterar todas as senhas regularmente reduz o risco. Por fim, garanta que todos os dispositivos que acessam a rede estejam protegidos. 

Como a Kaspersky pode ajudar a reduzir riscos

A Kaspersky conta com diversos recursos para tornar os processos de segurança de dados mais simples e ágeis. Por meio de uma plataforma de segurança integrada, sua empresa pode contar com soluções de proteção de endpoints, antivírus, firewall, recursos avançados de detecção e resposta a incidentes e automação de processos de segurança. 

Com os desafios de segurança crescendo a cada dia, as soluções Kaspersky ajudam os profissionais de segurança a proteger seus ambientes contra um possível ataque de ransomware por meio de ferramentas e tecnologias que atendam aos níveis de segurança e TI exigidos por cada empresa. 

Entre em contato com um dos nossos consultores e solicite uma demonstração da plataforma de segurança Kaspersky.