O relatório do Institute for Critical Infrastructure Technology (ICIT) descreve como lidar com os criminosos utilizadores de ransomware.

Basta um segundo de distracção e os “hackers” entram na sua na sua máquina ou rede. Tendo em conta as tendências actuais é provável que seja um ataque de “ransomware”, software malicioso capaz de encriptar dados.

Caso isto aconteça pode ser útil consultar o relatório do Institute for Critical Infrastructure Technology (ICIT) que, em parte, descreve como lidar com os sequestradores de dados. Mesmo que tenha um backup actualizado da informação, poderá ficar nas mãos dos criminosos, se a cópia feita da informação contiver o malware.

Um ataque com “ransomware” funciona tal como num rapto. Os criminosos vão tentar coagi-lo a pagar um resgate para entrega de uma chave de desencriptação que lhe devolverá o acesso à informação. Negociar com os criminosos tem sempre riscos.

O ICIT refere que a resposta adequada irá depender do nível de risco que está disposto a correr, do impacto potencial dos dados “raptados” na continuidade do negócio, da existência de sistemas redundantes e ainda da regulamentação do sector.

É desejável que a equipa de segurança de informação tenha definido um plano de acção em caso de ataque com “ransomware”. A equipa deve começar por notificar as autoridades competentes e, quando aplicável, os reguladores.

O plano deve também identificar os objectivos de tempo de recuperação (RTO) e qual o ponto de recuperação em caso de falha. Se existir um backup, as provas ciber-forenses do incidente devem ser preservadas e documentadas e entregues às autoridades, ou recolhidos por estas.

Se não houver sistemas de redundância ou se o sistema secundário também estiver comprometido, então a equipa de segurança de informação deve procurar uma solução junto dos fornecedores de TI ou implementar ferramentas de desencriptação.

Em muitos casos, os ficheiros podem estar parcialmente corrompidos ou não totalmente desencriptados. Ainda que a solução do fornecedor seja um simples executável, a vítima pode não ser capaz de assegurar que os seus sistemas não continuam comprometidos por “ransomware” inactivo, “backdoors” ou outro tipo de “malware”.

Outra opção é tentar recuperar os dados. Os sistemas de backup e recuperação são as únicas soluções totalmente eficazes face ao “ransomware”. Se esses sistemas existirem, a recuperação passa apenas por restaurar os dados num dos pontos salvos anteriormente.

Caso contrário poderá tentar recuperar os dados a partir de cópias sombra ou de uma ferramenta de recuperação de dados. Ainda assim, muitas variantes de “ransomware” apagam as cópias sombra e alguns detectam inclusivamente o software de recuperação de ficheiros.

Outras variantes infectam o registo e a recuperação do sistema partir de um ponto de salvamento poderá não ser possível, mesmo que não esteja afectado.

Caso prefira não recorrer à equipa de segurança de informação nem a uma solução de um fornecedor, estará limitado a pagar o resgate ou a aceitar a perda do sistema ou dos dados.

Se o sistema tem um backup incólume, então a vítima pode ignorar o pedido de resgate e restaurar o sistema. Caso não exista backup e o pedido de resgate for superior ao custo do sistema, então as vítimas terão de comprar novos sistemas, desfazer-se daqueles infectados e calcular o prejuízo.

Numa última hipótese, deverá pagar o resgate. Os peritos em segurança recomendam cautela nesta abordagem (pagamento) porque não há garantia de que, uma vez pago o resgate, o criminoso liberte os dados.

Se o pagamento ainda está a ser debatido internamente, é útil fazer uma pesquisa rápida na Internet sobre o tipo de “ransomware” de que foi alvo. Interessa aferir se o grupo de criminosos, habitualmente, liberta ou não os dados depois de receber o pagamento.

Outra preocupação é que, uma vez pago o resgate, o cibercriminoso poderá voltar e repetir a acção posteriormente. Alguns criminosos reconhecem a dicotomia da confiança.

Sabem que se os ficheiros nunca forem desbloqueados, então nenhuma vítima irá pagar o resgate. Como resultado há variantes que incluem opções de desencriptação aleatória de alguns ficheiros como gesto de boa vontade.

Se o pedido de resgate for reduzido, poderá fazer sentido adoptar uma abordagem híbrida incluindo o pagamento do resgate, a triagem do sistema e a tentativa de restauro do sistema a partir de um servidor de backup.

Outras organizações equacionam o que poderá ser pior para a empresa: se o tempo de inactividade se as consequências do resgate.

A abordagem híbrida assegura que o sistema estará operacional em algum momento, aconteça o que acontecer. Para minimizar os custos e o impacto nas organizações as soluções híbridas apenas deverão ser postas em curso por equipas de segurança de informação devidamente formadas e preparadas.

O número de variantes de ataques de “ransomware” tem apenas como limite a imaginação e motivação dos atacantes. Uma cultura corporativa focada numa cibersegurança vigilante que enaltece um ambiente de cautela é o meio mais eficaz de minimizar o ataque.

As políticas de segurança devem abranger: uma análise das vulnerabilidades da empresa, uma estratégia de gestão de crise que tenha em consideração todas as ameaças conhecidas, uma contínua correcção de dispositivos e aplicações, auditoria aos fornecedores e acordos, políticas de teste de software e melhorias tecnológicas centradas na segurança.