Ransomware é um grande negócio hoje e está ficando cada vez maior. É tão lucrativo que o crime organizado e os criminosos cibernéticos se envolveram em grande escala. É fácil para qualquer criminoso, organização terrorista ou patrocinador estatal comprar as últimas variações de ransomware na dark web.
Os especialistas afirmam que a melhor defesa contra um ataque de ransomware é um bom backup, réplica ou snapshot (chamados coletivamente de backup). Os programadores criminosos que executam ransomware também sabem disso e têm investido seus lucros em pesquisa e desenvolvimento para derrotar as defesas de backup do ransomware.
Como resultado, a última geração de ataques de ransomware incluiu dados de backup como um alvo.
Para entender melhor essa ameaça, é necessária uma breve explicação sobre os vários estágios do ransomware.
Estágios de ransomware
Ransomware é um tipo de malware que criptografa todos os dados do sistema no qual reside e exige um resgate pela chave de descriptografia, em seguida, o acesso aos dados é liberado de volta para o(s) proprietário(s) do sistema. Então os perpetradores de ransomware ameaçam destruir a chave se não forem pagos em um determinado período de tempo e geralmente exigem pagamentos em etapas com base em limites de tempo definidos.
Se os disseminadores do ransomware não receberem o resgate, o ransomware destrói a chave e, assim o acesso todos os dados. O ransomware possui cinco estágios: infecção, detonação, gestação, dormência e destruição (ou liberação).
Infecção
A infecção ocorre quando um arquivo, imagem ou site contaminado é conectado ao sistema. Um software antivírus atualizado pode impedir assinaturas de infecção conhecidas ou listas negras, mas não necessariamente todas.
Soluções antivírus baseadas em listas brancas também podem ser enganados por assinaturas que imitam aplicativos conhecidos.
Nos firewalls, nenhum bloqueio de porta é à prova de vazamentos, portanto, infecções de ransomware irão ocorrer e as estatísticas provam isso. aproximadamente 71% de todas as empresas mais visadas do mundo foram infectadas com ransomware.
Detonação
Detonação é quando o ransomware criptografa os dados no sistema infectado. As primeiras gerações de ransomware detonaram assim que infectaram o sistema, desconhecido para os usuários do sistema, o malware criptografou os dados de forma imediata e transparente em segundo plano.
Leva tempo para criptografar todos os dados, mas uma vez concluído, o ransomware exclui a chave no sistema agora detonado e, em seguida, retém os dados para o resgate. Se o resgate não for pago integralmente em um determinado período de tempo, ele excluirá os arquivos aleatoriamente para aumentar a ansiedade do proprietário dos dados.
Isso cria um senso de urgência para pagar o resgate, se o ransomware nunca for pago, o agente malicioso destrói o seu lado da chave, tornando os dados inacessíveis para sempre.
Gestação
A última geração de ransomware de hoje não detona e criptografa imediatamente. Possui um período de gestação projetado para maximizar as receitas e superar a defesa do backup. O ataque de Fase Um do ransomware durante o período de gestação é se espalhar o mais longe possível de um sistema para outro usando as permissões dos sistemas que está infectado.
Quando não consegue mais se espalhar, ele vai para a Fase Dois de seu ataque, excluindo ou criptografando os backups que consegue localizar. Os arquivos de backup têm uma assinatura conhecida e o software de backup de todos os tipos tem APIs publicadas que podem ser usadas para excluir backups mais antigos que não são mais necessários.
O ransomware usa essa API para fazer exatamente isso – após a detonação, o usuário descobre que seus backups (snapshots e réplicas também) foram excluídos. Esses dados são muito difíceis de recuperar quando não há backups.
Dormência
Depois de se espalhar o máximo possível, as variações mais recentes de ransomware permanecerão inativas e não excluirão ou criptografarão os arquivos de backup. O ransomware permanece adormecido por um, dois, quatro, seis, meses antes de finalmente detonar. Isso é análogo em humanos que têm um vírus que pode permanecer inativo por meses ou anos antes de aparecer.
O problema com o ransomware inativo é que será feito backup dele junto com os dados legítimos durante todo o tempo em que estiver inativo. Qualquer recuperação de backups infectados será detonada novamente. Isso é chamado de loop de ataque.
Destruição ou Liberação
O estágio final é quando o ransomware destrói os arquivos. Pois, conforme discutido anteriormente, se uma chave de criptografia válida não for inserida dentro do tempo especificado, os arquivos de reféns podem ser excluídos aleatoriamente e o preço do ransomware para a chave de criptografia aumentará.
A versão da chave do ator malicioso é destruída se nenhum ransomware for pago. A destruição da chave de criptografia destrói efetivamente os dados, mas pagar o resgate é uma escolha ruim. Pode parecer conveniente, mas identifica a organização como uma meta que compensa e será atingida novamente. Também não há garantia de que a chave de criptografia será liberada, houve vários casos documentados em que a chave de criptografia foi destruída, embora o ransomware tenha sido pago.
Como os fornecedores de backup estão respondendo
Os fornecedores de backup e proteção de dados responderam aos ataques de ransomware cada vez mais sofisticados e desastrosos de três maneiras:
- Não faça nada (também conhecido como negação);
- Detecte e reaja a detonações de ransomware;
- Evite que backups sejam excluídos ou criptografados.
Fazer nada
Não fazer nada é ignorar a realidade em mudança na era do ransomware. É análogo a tratar uma infecção resistente a antibióticos com os mesmos antibióticos aos quais a infecção é resistente. A defesa do backup fica comprometida enquanto o fornecedor do backup se recusa a reconhecê-la, esta é uma resposta ineficaz.
Reagindo vs. Prevenindo Detonações de Ransomware
Essa abordagem aproveita o mecanismo de rastreamento de bloco incremental ou alterado do software de backup. Após o primeiro backup, a quantidade de dados dos quais é feito backup incremental costuma ser muito pequena. Quando o ransomware detona e criptografa os dados, o software de backup vê os dados criptografados como novos e é forçado a fazer backup de todos os dados.
Nesse caso, o backup demorará consideravelmente mais. Essa ação fornece ao software de backup um mecanismo de alerta, o software permite que o usuário ou o software determinado, com base em políticas de disparo para detectar uma provável detonação de ransomware, notificar o administrador e sugerir respostas de recuperação. Alguns podem iniciar o processo de recuperação imediatamente.
O problema com essa abordagem cada vez mais popular de recuperação de ransomware é que ela reage a uma detonação, não a impede. Ele assume que a infecção do ransomware não entrou nos backups e está permitindo recuperações do backup mais recente, resolvendo a detonação do ransomware.
Esta é uma suposição perigosa, mesmo assumindo que o software de backup tem uma resposta eficaz para evitar que o ransomware criptografe ou exclua os dados de backup conforme discutido anteriormente, reagir a detonações não faz nada para evitar o nefasto loop de ataque. Detectar e reagir a detonações de ransomware é uma resposta ineficaz.
Impedir que os backups sejam criptografados ou excluídos
A prevenção bem-sucedida de um loop de ataque de ransomware requer um recurso de segurança que precisa detectar infecções de ransomware no fluxo de backup. A tecnologia essencialmente isola os arquivos infectados, evita que sejam armazenados em backup e notifica os administradores de backup e segurança, que podem então identificar os arquivos infectados e removê-los de sua origem antes de detonarem, parando o ransomware em seus rastros.
Uma solução de backup com esse recurso também evita arquivos infectados que podem ter sido copiados em gerações anteriores de dados de backup para garantir uma recuperação limpa. A solução precisaria detectar e isolar o arquivo infectado e notificar os administradores de backup e segurança sobre quaisquer problemas, dando-lhes a opção de recuperação ou não.
Como parte de uma estratégia preventiva em oposição a uma abordagem reativa, procure soluções que dificultam a localização de tipos específicos de dados de backup com a nomenclatura de repositório variável. Isso tornará muito mais difícil para os grupos mais inteligentes identificarem dados de backup com registros importantes de clientes, informações de identificação pessoal, dados financeiros muito importantes ou dados operacionais valiosos.
Os especialistas também recomendam ir além e exigir a autenticação de dois fatores (2FA) que evita a exclusão de dados com um único clique do mouse ou chamada de API.
Conclusão
Embora os backups devam ser um componente crítico do plano de proteção de dados de todas as empresas, simplesmente ter uma infraestrutura de backup instalada não é suficiente.
A tecnologia de backup evoluiu e agora é possível garantir que os dados de backup estarão mais seguros, usando uma solução de backup / recuperação habilitada para segurança cibernética, dando às organizações maior chance de derrotar as tentativas de extorsão de criminosos e ransomware maliciosos.
