Ataques de ransomware aumentaram muito em vários países, inclusive no Brasil. Só aqui, concentramos cerca de 55% dos casos de ransomware da América Latina. E isso mostra que a necessidade de segurança nas empresas está cada vez maior. Nesse artigo, vou demonstrar como reagir da melhor forma contra um ataque de ransomware, como fazer o controle, neutralizar a ameaça e voltar os computadores e servidores infectados de volta à rede de forma segura. E claro, estou considerando que você tenha pelo menos um antivírus na sua empresa. Vamos utilizar como exemplo o software antivírus McAfee, que é uma solução avançada e utilizada por alguns dos maiores bancos no mundo.
Quando você acessar um servidor ou um computador e verificar que foi infectado por um ransomware, siga os passos abaixo:
1. Identificar e isolar os sistemas afetados
Isolar os sistemas afetados previne que outras máquinas na rede sejam infectadas, já que a maioria dos ransomwares têm a habilidade de se replicar na rede.
2. Fechar ou corrigir as vulnerabilidades e garantir a conformidade da rede
Aplicar as atualizações de patchs de sistema e aplicações em todas as máquinas da rede é algo critico, pois evita que o vírus possa usar algumas dessas vulnerabilidades para atacar as máquinas. E também, garante a conformidade dos produtos de segurança baseado na política de segurança, já que nem todas as variantes de ransomware atacam vulnerabilidades de sistemas operacionais ou aplicações.
3. Aplicar regras contra ransomware nos produtos de segurança
No caso do McAfee, temos regras que você pode fazer para aumentar ainda mais a proteção contra ransomware. Neste documento, temos regras contra ransomware que podem ser aplicadas no Endpoint Security, VirusScan e Host IPS (artigo se encontra em inglês). Essas regras se baseiam em comportamentos dos ransomwares mais populares, e que bloqueiam as ações dos mesmos no sistema operacional.
4. Confirmar que as melhores práticas estão aplicadas
Vamos usar novamente o McAfee, que é um excelente produto de segurança, e que tem diversas boas práticas que podem ser utilizadas. Abaixo, seguem algumas delas:
- Atualizações e lançamentos de informações para McAfee – link
- Melhores práticas para o VirusScan – link
Em qualquer produto de segurança, as melhores práticas têm que ser seguidas à risca, e confirmar isso quer dizer que você está usando o seu produto da melhor maneira possível, e que ele está fazendo aquilo que você precisa, que é proteger sua rede, sua empresa, seu computador.
5. Aplicar, testar e distribuir o Extra.DAT
O Extra.DAT é um arquivo de detecção temporária criado pela McAfee Labs para detectar e remover vírus que ainda não foram adicionados às DATs diárias. Se a McAfee providencia uma Extra.DAT, a melhor prática nesses casos é aplicar em um sistema infectado e testar para ter certeza que não terá problemas com as aplicações da rede, etc. Depois de testar, importe no seu ePO para que seja replicado para todas as máquinas e, após isso, faça um scan completo nas máquinas da rede. Sempre quando surgir um Extra.DAT, importe-o no ePO e replique.
6. Faça um scan completo em todos os sistemas
Caso não saiba como fazer o scan completo para o Endpoint Security, olhe como fazer nesse link . Para fazer pelo ePolicy Orchestrator, crie uma tarefa de varredura e atribuía na árvore de sistemas em algum grupo, e na próxima comunicação do agente vai acontecer o scan completo nas máquinas.
7. Confirme o controle da rede
Verifique os logs de acesso das últimas 24 horas, e veja se houve um controle na rede.
8. Coloque as máquinas isoladas de volta na rede depois de confirmar que elas estão limpas.
Depois de executar varreduras nas máquinas, confirmadas que estão limpas, coloque elas de volta na rede e garanta que elas sejam acompanhadas para observar se não terá um comportamento estranho.
9. Restaure os arquivos afetados de um backup
Aqui está a importância de você ter um backup dos arquivos. Caso os perca, podem ser recuperados. Utilizando alguma aplicação ou utilizando o serviço de cópias de sombra de volume do Windows, você já resolve o problema.
10. Realizar a resposta de incidentes e as medidas proativas
Bloquear arquivos no gateway na rede é a melhor e a mais fácil linha de defesa. O Ransomware, os downloaders e os JS/Nemucod todos são mascarados um com o outro. Normalmente, downloaders vêm em phishings ou spam em arquivos .DOC ou XLS, e de vez em quando em JS. JS/Nemucod também são enviados em phishings ou spam. O Ransomware vem em JS, EXE, TMP, SCR, WSF e muito mais. A maioria dos instaladores baixam um executável no diretório do usuário. É mais fácil se proteger contra ransomware se você se proteger contra os instaladores e os downloaders dele.
Para os downloaders e o nemucod, crie regras de firewall que previnam o Microsoft Word, Microsoft Excel, scripts, e o Powershell de fazer saída de dados. Porém, precisa criar listas apropriadas baseadas nos tráfegos legítimos gerados por essas aplicações.
Também é recomendado que haja bloqueio de arquivos compactados, se não for contra as políticas da empresa.
11. Considere implementar recomendações adicionais
- Implantar noções de segurança e treinamentos
- Simular campanhas de phishing para trazer noções de segurança para os usuários que caírem nos ataques de engenharia social.
- Lembrar os usuários de pensar duas vezes antes de clicar em qualquer coisa enviada pelo e-mail.
- Instruir os usuários a não abrir anexos desconhecidos ou sem solicitação, a não ser que seja especificamente requisitado pelo remetente. Também, verificar o cabeçalho do e-mail para validar o remetente.
- Retornar e-mails suspeitos para o pessoal de segurança. Ensine seus usuários a como e onde enviar os e-mails suspeitos.
- Desativar macros nas aplicações do Office. Macros só podem ser executados nas aplicações do Office se as configurações de macros estiverem ativadas para Habilitar Todas as Macros ou se o usuário manualmente executar uma macro. Por padrão, estará desativado. A configuração recomendada é Desabilitar Todas as Macros com Notificação.
- Usuários finais devem fazer cópias de segurança dos dados corporativos nas pastas compartilhadas. Caso aconteça um ataque, os dados podem ser perdidos, e esse tipo de atitude previne isso.
- Bloquear .exe, .rar, .scr, .cab, .vbs, .bat, .wsf, .js e anexos similares nos e-mails e nos gateways web.
- Previna que o Powershell execute em sistemas que não utilizam o Powershell.
- Garanta que não há politicas liberando arquivos .doc, .docx, .xls, .xlsx ou .js do anti-spam ou do antivírus.
- Use os mail e web gateway para identificar links maliciosos e/ou bloquear e-mails com links ou anexos.
- Trabalhe com o conceito de segurança em camadas
- Considere contratar uma consultoria especializada em Segurança da Informação