Skip to main content

Etapas após ataque de Ransomware

By 25 de janeiro de 2022março 2nd, 2023Gestão de Identidade, Segurança da Informação

Artigo Etapas após ataque de Ransomware

A cada dia novas tecnologias surgem e com elas, novas formas de ataques hackers. Somente no primeiro semestre de 2021, o Brasil sofreu 16,2 bilhões tentativas de ataques virtuais, ficando atrás apenas do México na América Latina.

E o tipo de ataque que vem crescendo é o ransomware, um velho conhecido dos especialistas em segurança digital.

E se a minha empresa for a próxima vítima e sofrer um ataque, o que devo fazer? Abaixo preparamos uma imagem para ilustrar as principais etapas frente a um ataque de ransomware e, sem seguida, falamos um pouco sobre essas etapas. Confira!

 

1º COMUNICAÇÃO

  • Defina um protocolo de comunicação e atualização com um contato designado para cada área de negócio. Informe-os do ocorrido para que possam preparar as equipes;
  • Informe as áreas de relações-públicas, marketing ou comunicação, além da equipe jurídica, para que possam definir um plano de comunicação e ações jurídicas;
  • Analise o possível impacto que o incidente de segurança pode causar, considerando não apenas as áreas que estão comprometidas, como dados sendo criptografados e aplicações inativas, mas também áreas adicionais de comprometimento em potencial ou que tiveram sua operação afetada.

2º SISTEMAS

  • Isole os sistemas e pare a propagação da ameaça, impedindo que ela se espalhe. Se o incidente já for generalizado, você pode optar por implantar bloqueios no nível da rede, ou desligar temporariamente a conexão com a Internet;
  • Após o término de um ataque, é provável que seus invasores ainda tenham uma posição segura em sua rede. É essencial que você identifique qualquer malware ativo ou sobras persistentes que ainda estão se comunicando com o servidor de comando.

3º ACESSOS

  • Identifique e determine o ponto inicial, ou paciente zero. Essa etapa ajudará a identificar a brecha em sua segurança. Os vetores de acesso inicial comuns são phishing, por exemplo, ou o uso não autorizado de credenciais;
  • Verifique se houve comprometimento de outras contas, com ou sem acesso privilegiado, como do Active Directory (AD). Se for o caso, desative-as. Certifique-se, também, de que novas contas não foram criadas. Esta é uma tática comum usada por invasores para enviar a carga útil do ransomware para todos os sistemas.

4º REPORTE

  • Feitas as etapas acima, o momento agora é de reportar. Fale com a equipe jurídica e a seguradora. Você também deve determinar se o relato às autoridades legais é necessário e obrigatório;
  • A equipe jurídica e RP te auxiliarão no caso de uma nota a imprensa.

As etapas acima são apenas uma linha de base. Existem muitas outras etapas e atividades para planejar e documentar, como identificar sua equipe de resposta crítica, saber quem faz o quê, designar um porta-voz, implementar backups eficazes e frequentes fora da rede, executar simulações de ameaças, análises de vulnerabilidades e muito mais.

Se você não sofreu um ataque hacker, ótimo! Mas, mesmo assim é essencial criar um plano de RI e um plano de continuidade dos negócios (BCP).

E lembre-se de que existem profissionais disponíveis para ajudar a sua empresa, não apenas no momento do ataque, mas com sistemas de análise e prevenção.

Continue acompanhando nosso blog e fique por dentro dos assuntos atuais sobre Gestão de Identidades e Acessos, LGPD, Governança, Compliance e muito mais.