Ransomware: pagar ou não pagar?

Esta forma de extorquir dinheiro para libertar os dados está a ter um crescimento explosivo. Todas as autoridades recomendam que não se pague o resgate, mas a verdade é que 70% das empresas vítimas de ransomware o fazem.

Ransomware: pagar ou não pagar?

Nenhuma forma de malware cresce à velocidade do ransomware, e a razão é simples: o modelo de negócio funciona, e no caso das empresas o prémio pode ser muito alto. A questão para o IT manager não é se a sua organização será atacada, é “quando será?” Mas nem todos os responsáveis de IT tem essa consciência, e a culpa pode estar no seu imaginário: “O malware é feito por um jovem Coder numa cave esconsa.” Faça um upgrade a esta imagem: imagine antes uma “billion industry”, cada vez mais centralizada em algumas organizações de grande eficiência empresarial, com orçamentos de R&D crescentes para multiplicar o lucro do crime. De acordo com o relatório da CheckPoint do 2º semestre de 2016 (1), o ransomware simplesmente duplicou neste período, constituindo agora 10,5% de todos os ataques. De acordo com o mesmo estudo, Portugal é considerado um país de risco médio, mas inserido na EMEA, que é das 3 regiões globais nas quais o ransomware é mais significativo.

 

Pagar ou não pagar? Eis a questão?

Se a resposta das autoridades, incluindo a policia judiciária, é perentória ao não pagamento, quem sofre com o “rapto” pode estar numa posição extremamente vulnerável. De acordo com um estudo recente da Ketchum Global Research (2) tendo para amostra 600 empresas que tiveram de lidar com ransomware, 70% destas acabaram por pagar no prazo habitual de 48 horas, sendo que 50% deste resgates ultrapassaram o valor de 10.000 $USD, chegando mesmo a atingir mais de 40.000 $USD, em 20% dos casos. "Para mim é muito claro", afirmou Michael Duff, CISO da Universidade de Stanford. "Se você não for capaz de reconstituir um sistema no prazo que precisa, e precisar mesmo dele em funcionamento, paga o resgate."

Mas a realidade pode não ser assim tão linear; há o risco (embora pequeno) de pagar e nunca receber a chave de desencriptação. Para os responsáveis do projeto europeu NO MORE RANSOMWARE, do qual Portugal faz parte, existe ainda outra razão para não pagar: - “Pagar o resgate nunca é recomendado, principalmente porque não garante que seja a solução do problema. Existe um número considerável de problemas que podem surgir depois de pagar o resgate; por exemplo, a componente de recuperação do malware pode ter um bug que faça com que os dados cifrados fiquem irremediavelmente perdidos, mesmo com a chave de decifragem correta”.

 

Esteja preparado

Existe uma elevada probabilidade do leitor se vir a deparar com esta decisão na sua empresa num futuro próximo. Por este motivo, e não fazendo nenhum tipo de juízo de valor, deixamos aqui um “emergency kit” para a eventualidade de decidir pagar o acesso ao dispositivo:

1. Tente primeiro as ferramentas do NO MORE RANSOWARE.

Não há garantias de sucesso, e considerando que o ransomware utiliza algoritmos de criptografia assimétrica, que usam duas chaves diferentes – uma chave pública para cifrar ficheiros, e uma chave privada que é necessária para decifrar os mesmos ficheiros – a probabilidade de êxito não é alta. Os principais players da indústria de segurança com a CheckPoint compartilham nesta plataforma ferramentas de decifragem por cada uma das mais de 50 famílias deste malware, que procuram chaves previamente obtidas.

2. Tenha uma conta em bitcoin criada

Se a sua decisão for pagar tem normalmente 48 horas para o fazer. Não é muito tempo para quem nunca usou bitcoin. O uso desta “moeda” cresceu em conjunto com o aumento de ataques de ransomware. Tenha uma conta previamente criada com um operador credível, mesmo que com pouco dinheiro, para que em caso de necessidade seja rápido transferir para lá o valor do resgate.

3. Controle os danos

Após o desbloqueio, altere todas as credenciais que existam no sistema; isto inclui acessos sensíveis internos e externos. Não há garantias que durante o bloqueio não tenha ocorrido acesso às suas passwords. Faça um backup completo e examine com software adequado todos os ficheiros.

 

Prevenir é melhor que reagir

Evidentemente, todo o cenário acima descrito pode ser evitado se a sua empresa tiver adotado uma solução avançada de proteção. Uma visão mais holística da proteção empresarial implica conhecer a ameaça antes que existam danos.

Os Hackers estão constantemente a modificar suas estratégias e técnicas para fugir à deteção e atingir os recursos das empresas. As ameaças zero-day e ameaças avançadas persistentes usam o elemento de surpresa para ultrapassar a segurança tradicional, o que as torna difíceis de combater. O sandboxing tradicional foi projetado para ajudar com estes tipos de ameaças, mas os cibercriminosos desenvolveram as suas técnicas, criando malware evasivo que pode evitar a deteção por muitas soluções sandbox. Como resultado, muitas organizações acabam a tomar medidas reativas para combater a infeção, em vez de a prevenir em primeiro lugar.

Para avançar, as empresas precisam de uma estratégia de prevenção multifacetada que combine proteção pró-ativa, para eliminar as ameaças antes que elas cheguem aos usuários, com deteção de vulnerabilidades de nível de CPU de última geração para expor até as ameaças mais bem camufladas. A SandBlast Zero-Day Protection da Check Point é uma solução integrada que protege a rede empresarial, juntamente com endpoints, web browsers, Cloud-based email e dispositivos móveis, para garantir que só entrega conteúdo seguro.
 

Conteúdo produzido por MediaNext com o apoio da Check Point
 

1 Checkpoint H2 2016 Global Threat Intelligence Threats
http://blog.checkpoint.com/wp-content/uploads/2017/02/H2_SummaryGlobal_Report_170210_A.cleaned.pdf
2 Ketchum Global Research and Analytics e Braun Research para a IBM
https://www-03.ibm.com/press/us/en/pressrelease/51230.wss#feeds

Tags

RECOMENDADO PELOS LEITORES

REVISTA DIGITAL

IT INSIGHT Nº 8 Julho 2017

IT INSIGHT Nº 8 Julho 2017

NEWSLETTER

Receba todas as novidades na sua caixa de correio!