Gustavo Duani (*)
Não é de hoje que ransomware passou a ser uma das palavras mais temidas no universo da segurança digital. O sequestro de dados realizado de forma cada vez mais fácil por meio do chamado ransomware-as-a-service (RaaS) tem permitido que criminosos cibernéticos com experiências e habilidades técnicas cada vez menores explorem essa atividade que se tornou uma das mais lucrativas e de mais baixo custo de aplicação.
Por outro lado, um relatório elaborado pela plataforma de dados Chainalysis revela que o valor do pagamento médio de um resgate para os grupos de ransomware mais ameaçadores aumentou de US$ 198.939 no início de 2023 para US$ 1,5 milhão no primeiro semestre deste ano. Os especialistas acreditam que este salto demonstra que as miras destes golpistas estão cada vez mais apontadas para organizações maiores e mais ricas.
Fato é que muito tem se falado sobre formas de combater o ransomware, mas os acontecimentos mostram que ele continua ganhando o jogo, resultando tanto em custos diretos como resgates, remediação, litígio e relações públicas, quanto custos indiretos, como danos à reputação e perda de propriedade intelectual.
Como já foi dito que o maior indício de loucura é esperar resultados diferentes fazendo exatamente a mesma coisa, não há mais tempo a perder para estudar novas abordagens de combate a esta ameaça.
Isso porque já ficou provado que 100% dos ataques de ransomware bem-sucedidos ignoram os controles de segurança modernos. Somente uma empresa de segurança detectou mais de 2.500 ameaças que contornaram ambientes de seus clientes apenas entre os meses de outubro e dezembro do ano passado.
Neste cenário, as organizações precisam avançar para um sistema de detecção no qual as tentativas de execução do ransomware sejam combatidas por uma camada de defesa pré-execução, seguida por uma etapa de anti detonação.
Caso os fraudadores consigam superar estes obstáculos e obtenham o ativo, é preciso responder com um sistema de defesa comportamental e contra engano.
Finalmente, se o ataque chegar ao nível da conclusão da execução do ransomware, é preciso estar pronto para acionar ferramentas de recuperação ou isolamento autônomo dos ambientes afetados.
Ou seja: Durante ou após um evento de ransomware, a empresa precisa saber que pode retornar aos negócios sem preocupação, o que requer mais do que serviços de resposta a incidentes (IR).
Para isso, é fundamental contar com soluções que atuem diretamente no kernel (núcleo do sistema operacional). Isto protege as ferramentas de segurança de endpoint atuais de serem enganadas, desconectadas ou desinstaladas por um ransomware, além de amplificar comportamentos ruins para reforçar suas detecções.
Paralelamente é recomendado usar uma abordagem de rede de cápsulas para modelos de IA. Desta forma, a nuvem e o agente aceleraram as habilidades de aprendizado em comparação com as gerações anteriores de ferramentas baseadas em ML. Isto permite explorar as táticas, técnicas e procedimentos que os atacantes implantam durante as campanhas de ransomware, o que é crucial para enganar as ferramentas de um ator de ransomware e fazê-lo pensar que um sistema é de alto valor ou alvo inválido.
Com isso é possível expor indicadores adicionais de malícia e impedir a execução, mesmo que a primeira camada de proteção não tenha bloqueado inicialmente o processo.
Toda essa complexidade deixa claro que a mitigação efetiva das consequências financeiras, operacionais e reputacionais causadas pelo ransomware não é tarefa que se resolva apenas com a aquisição de tecnologia.
É preciso sim estar munido das melhores e mais modernas ferramentas, mas também é fundamental contar com os serviços de um CyberSOC com monitoramento pró-ativo de especialistas atentos 24 horas por dia durante os sete dias da semana.
Somente o uso das soluções certas aplicadas com o apoio consultivo de acordo com os conceitos das melhores práticas de segurança serão capazes de reverter a vantagem do ransomware e garantir a tranquilidade para o desenvolvimento saudável dos negócios.
(*) Gustavo Duani é CISO e Head de Segurança Cibernética da Sencinet para a América Latina