Você se informou sobre as ameaças, sua empresa investiu em medidas que acreditavam ser suficientes para conter e evitar o ransomware, mas ainda assim, algum ponto ficou descoberto e seus dados foram criptografados, e agora?
A Kaspersky preparou um passo a passo de quais ações tomar nestes casos.
1 – Localizar e isolar
O primeiro passo é identificar o quão profundo o malware se espalhou, qual foi a extensão do dano. Comece procurando por computadores e segmentos de rede infectados na infraestrutura corporativa e isole-os imediatamente do restante da rede para barrar a contaminação.
Se a empresa não tiver muitos computadores, comece com logs de antivírus, EDR e firewall . Como alternativa, para implementações muito limitadas, caminhe fisicamente de máquina em máquina e verifique-as.
Se estamos falando de muitos computadores, você desejará analisar os eventos e logs no sistema SIEM .
Depois de isolar as máquinas infectadas da rede, crie imagens de disco delas e, se possível, deixe essas máquinas em paz até que a investigação termine. (Se a empresa não pode permitir o tempo de inatividade do computador, faça imagens de qualquer maneira - e salve o despejo de memória para a investigação.)
2 – Analisar e agir
Tendo verificado o perímetro, agora você tem uma lista de máquinas com discos cheios de arquivos criptografados, além de imagens desses discos. Eles estão todos desconectados da rede e não representam mais uma ameaça. Você pode iniciar o processo de recuperação imediatamente, mas primeiro verifique a segurança do restante da rede.
Agora é a hora de analisar o ransomware, descobrir como ele se instalou. Para isso, conduza uma investigação interna. Pesquise nos logs para determinar qual computador foi atingido primeiro e por que esse computador não conseguiu interromper o ataque.
Com base nos resultados da investigação, elimine a rede de malware furtivo avançado e, se possível, reinicie as operações de negócios. Em seguida, descubra o que o teria impedido: O que estava faltando em termos de software de segurança? Tampe essas lacunas.
Em seguida, alerte os funcionários sobre o que aconteceu, informe-os sobre como detectar e evitar essas armadilhas e informe-os que o treinamento virá.
3 – Limpar e restaurar
Tendo administrado a ameaça à rede, bem como a falha por onde ela passou, agora é hora de voltar sua atenção para os computadores que estão fora de serviço. Se eles não forem mais necessários para a investigação, formate as unidades e restaure os dados do backup limpo mais recente.
Se, no entanto, você não tiver uma cópia de backup, terá que tentar descriptografar o que quer que esteja nas unidades. Comece no site "No Ransom" da Kaspersky , onde pode já existir um descriptografador para o ransomware que você encontrou, é importante que não delete os dados criptografados caso não consiga decifrá-los na primeira tentativa. Novas alternativas surgem dia a dia e uma delas pode ser a solução para o seu problema.
Independentemente dos detalhes, não pague. Você estaria patrocinando atividades criminosas e, de qualquer forma, as chances de ter seus dados descriptografados não são grandes. Além de bloquear seus dados, os atacantes de ransomware podem tê- los roubado para fins de chantagem . Por fim, pagar cibercriminosos gananciosos os incentiva a pedir mais. Em alguns casos , poucos meses depois de serem pagos, os invasores voltaram para exigir mais dinheiro e ameaçaram publicar tudo, a menos que o recebessem.
4 – Prevenir
Um grande incidente cibernético sempre significa um grande problema, e a prevenção é o melhor remédio. Prepare-se com antecedência para o que pode dar errado:
Instale proteção confiável em todos os terminais de rede (incluindo smartphones);
Segmente a rede e forneça firewalls bem configurados; melhor ainda, use um firewall de próxima geração (NGFW) ou um produto semelhante que receba automaticamente dados sobre novas ameaças;
Vá além do antivírus e encontre ferramentas poderosas de caça a ameaças ;
Implantar um sistema SIEM (para grandes empresas) para alertas imediatos;
Treine funcionários em conscientização sobre segurança cibernética com sessões interativas regulares.