Proteção contra ransomware no Azure

  • Artigo

Ransomware e extorsão são uma empresa de alto lucro e de baixo custo, que tem um impacto debilitante nas organizações visadas, segurança nacional/regional, segurança económica e saúde pública e segurança. O que começou como um ransomware simples e de PC único cresceu para incluir uma variedade de técnicas de extorsão dirigidas a todos os tipos de redes empresariais e plataformas na cloud.

Para garantir que os clientes em execução no Azure estão protegidos contra ataques de ransomware, a Microsoft investiu fortemente na segurança das nossas plataformas na cloud e fornece controlos de segurança necessários para proteger as cargas de trabalho na cloud do Azure

Ao tirar partido das proteções de ransomware nativas do Azure e ao implementar as melhores práticas recomendadas neste artigo, está a tomar medidas que garantem que a sua organização está otimizadamente posicionada para prevenir, proteger e detetar potenciais ataques de ransomware nos seus recursos do Azure.

Este artigo descreve as principais capacidades e defesas nativas do Azure para ataques de ransomware e orientações sobre como tirar partido proativamente destas funcionalidades para proteger os seus recursos na cloud do Azure.

Uma ameaça crescente

Os ataques de ransomware tornaram-se um dos maiores desafios de segurança que as empresas enfrentam atualmente. Quando são bem-sucedidos, os ataques de ransomware podem desativar uma infraestrutura de TI de núcleo empresarial e causar destruição que pode ter um impacto debilitante na segurança física e económica de uma empresa. Os ataques de ransomware são direcionados para empresas de todos os tipos. Isto requer que todas as empresas tomem medidas preventivas para garantir a proteção.

As tendências recentes sobre o número de ataques são bastante alarmantes. Embora 2020 não tenha sido um bom ano para ataques de ransomware a empresas, 2021 começou numa trajectória má. Em 7 de maio, o ataque ao oleoduto colonial (Colonial) encerrou serviços como o transporte de gasodutos de gasóleo, gasolina e combustível a jacto foram interrompidos temporariamente. A Colonial fechou a rede crítica de combustível que abasteia os estados populosos do leste.

Historicamente, os ciberataques eram vistos como um conjunto sofisticado de ações destinadas a indústrias específicas, o que deixou as restantes indústrias a acreditarem que estavam fora do âmbito do cibercrime, e sem contexto sobre quais as ameaças de cibersegurança para as quais se deviam preparar. O ransomware representa uma grande mudança neste cenário de ameaças e tornou os ciberataques um perigo muito real e omnipresente para todos. Ficheiros encriptados e perdidos e notas de resgate ameaçadoras tornaram-se agora o maior medo para a maioria das equipas executivas.

O modelo económico do ransomware capitaliza a percepção errada de que um ataque de ransomware é apenas um incidente de malware. Enquanto, na realidade, o ransomware é uma violação que envolve adversários humanos que atacam uma rede.

Para muitas organizações, o custo de reconstruir do zero após um incidente de ransomware supera em muito o resgate original exigido. Com uma compreensão limitada do panorama das ameaças e como o ransomware funciona, pagar o resgate parece ser a melhor decisão comercial para voltar às operações. No entanto, os danos reais são muitas vezes causados quando o cibercriminoso exfiltra ficheiros para libertação ou venda, deixando backdoors na rede para futuras atividades criminosas — e estes riscos persistem se o resgate é ou não pago.

O que é ransomware

O ransomware é um tipo de software maligno que infeta um computador e restringe o acesso de um utilizador ao sistema infetado ou a ficheiros específicos para os extorquir por dinheiro. Depois de o sistema de destino ter sido comprometido, normalmente bloqueia a maioria das interações e apresenta um alerta no ecrã, normalmente indicando que o sistema foi bloqueado ou que todos os respetivos ficheiros foram encriptados. Em seguida, exige que seja pago um resgate substancial antes de o sistema ser libertado ou os ficheiros desencriptados.

Normalmente, o ransomware explora as fraquezas ou vulnerabilidades nos sistemas ou infraestruturas de TI da sua organização para ter êxito. Os ataques são tão óbvios que não é preciso muita investigação para confirmar que a sua empresa foi atacada ou que um incidente deve ser declarado. A exceção seria um e-mail de spam que exige resgate em troca de materiais supostamente comprometedores. Neste caso, estes tipos de incidentes devem ser tratados como spam, a menos que o e-mail contenha informações altamente específicas.

Qualquer empresa ou organização que opere um sistema de TI com dados no mesmo pode ser atacada. Embora os indivíduos possam ser alvo de um ataque de ransomware, a maioria dos ataques são direcionados para as empresas. Embora o ataque de ransomware colonial de maio de 2021 tenha chamado a atenção do público, os dados de envolvimento de ransomware da nossa equipa de Detecção e Resposta (DART) mostram que o setor energético representa um dos setores mais visados, juntamente com os setores financeiro, de saúde e entretenimento. E apesar das promessas continuadas de não atacar hospitais ou empresas de cuidados de saúde durante uma pandemia, os cuidados de saúde continuam a ser o alvo número um do ransomware operado por humanos.

Gráfico circular que ilustra indústrias que são alvo de ransomware

Como os seus recursos são visados

Ao atacar a infraestrutura de cloud, os adversários atacam frequentemente vários recursos para tentar obter acesso aos dados dos clientes ou aos segredos da empresa. O modelo de "cadeia de eliminação" da cloud explica como os atacantes tentam obter acesso a qualquer um dos seus recursos em execução na cloud pública através de um processo de quatro passos: exposição, acesso, movimento lateral e ações.

  1. A exposição é onde os atacantes procuram oportunidades para obter acesso à sua infraestrutura. Por exemplo, os atacantes sabem que as aplicações destinadas ao cliente têm de estar abertas para que os utilizadores legítimos acedam às mesmas. Essas aplicações são expostas à Internet e, portanto, suscetíveis a ataques.
  2. Os atacantes tentarão explorar uma exposição para obter acesso à sua infraestrutura de cloud pública. Isto pode ser feito através de credenciais de utilizador comprometidas, instâncias comprometidas ou recursos configurados incorretamente.
  3. Durante a fase de movimento lateral, os atacantes descobrem a que recursos têm acesso e qual é o âmbito desse acesso. Os ataques bem-sucedidos a instâncias dão aos atacantes acesso a bases de dados e outras informações confidenciais. Em seguida, o atacante procura credenciais adicionais. A nossa Microsoft Defender para dados da Cloud mostra que, sem uma ferramenta de segurança para o notificar rapidamente do ataque, as organizações demoram, em média, 101 dias a descobrir uma falha de segurança. Entretanto, em apenas 24-48 horas após uma falha de segurança, o atacante terá normalmente controlo total da rede.
  4. As ações tomadas por um atacante após o movimento lateral dependem em grande parte dos recursos aos quais conseguiu aceder durante a fase de movimento lateral. Os atacantes podem efetuar ações que causam a transferência de dados, a perda de dados ou a iniciação de outros ataques. Para as empresas, o impacto financeiro médio da perda de dados está agora a atingir os 1,23 milhões de dólares.

Fluxograma que mostra como a infraestrutura de cloud é atacada: Exposição, Acesso, Movimento lateral e Ações

Por que motivo os ataques são bem-sucedidos

Existem várias razões pelas quais os ataques de ransomware são bem-sucedidos. As empresas vulneráveis são frequentemente vítimas de ataques de ransomware. Seguem-se alguns dos fatores críticos de sucesso do ataque:

  • A superfície de ataque aumentou à medida que cada vez mais empresas oferecem mais serviços através de pontos de venda digitais
  • Existe uma facilidade considerável de obter software maligno off-the-shelf, Ransomware as a Service (RaaS)
  • A opção de usar criptomoeda para pagamentos de chantagem abriu novas vias para a exploração
  • Expansão de computadores e a sua utilização em diferentes locais de trabalho (distritos escolares locais, departamentos de polícia, viaturas policiais, etc.) cada um deles é um potencial ponto de acesso para malware, resultando em potencial superfície de ataque
  • Prevalência de software e sistemas de infraestrutura antigos, desatualizados e antiquados
  • Maus regimes de gestão de patches
  • Sistemas operativos desatualizados ou muito antigos próximos ou que foram além das datas de fim do suporte
  • Falta de recursos para modernizar a pegada de TI
  • Lacuna de conhecimento
  • Falta de pessoal qualificado e pessoal chave sobreapendência
  • Arquitetura de segurança fraca

Os atacantes utilizam técnicas diferentes, como o ataque de força bruta rdp (Remote Desktop Protocol) para explorar vulnerabilidades.

Diagrama de pista de diagrama que ilustra as diferentes técnicas utilizadas pelos atacantes

Deve pagar?

Existem opiniões variadas sobre qual é a melhor opção quando confrontada com esta procura irritante. O Departamento Federal de Investigação (FBI) aconselha as vítimas a não pagarem resgate, mas a estarem vigilantes e a tomarem medidas proativas para proteger os seus dados antes de um ataque. Alegam que o pagamento não garante que os sistemas bloqueados e os dados encriptados sejam novamente libertados. O FBI diz que outra razão para não pagar é que os pagamentos a criminosos virtuais os incentivam a continuar a atacar organizações.

No entanto, algumas vítimas optam por pagar o pedido de resgate, mesmo que o acesso ao sistema e aos dados não seja garantido depois de pagarem o resgate. Ao pagar, essas organizações assumem o risco calculado de pagar na esperança de recuperar o seu sistema e dados e retomar rapidamente as operações normais. Parte do cálculo é a redução dos custos colaterais, como perda de produtividade, diminuição da receita ao longo do tempo, exposição de dados confidenciais e potenciais danos reputacionais.

A melhor forma de evitar pagar o resgate é não ser vítima da implementação de medidas preventivas e da saturação de ferramentas para proteger a sua organização de todos os passos que o atacante demora total ou incrementalmente a entrar no seu sistema. Além disso, ter a capacidade de recuperar ativos afetados garantirá o restauro das operações empresariais em tempo útil. O Azure Cloud tem um conjunto robusto de ferramentas para o orientar até ao fim.

Qual é o custo típico de uma empresa?

O impacto de um ataque de ransomware em qualquer organização é difícil de quantificar com precisão. No entanto, dependendo do âmbito e do tipo, o impacto é multidimensional e é amplamente expresso em:

  • Perda de acesso a dados
  • Interrupção da operação de negócio
  • Perdas financeiras
  • Roubo de propriedade intelectual
  • Confiança comprometida do cliente e uma reputação manchada

O Oleoduto Colonial pagou cerca de 4,4 milhões de dólares em resgate para que os seus dados sejam divulgados. Isto não inclui o custo do tempo de inatividade, perda de produtividade, perda de vendas e o custo de restauro de serviços. Mais amplamente, um impacto significativo é o "efeito knock-on" de impacto num elevado número de empresas e organizações de todos os tipos, incluindo cidades e cidades nas suas áreas locais. O impacto financeiro também é impressionante. De acordo com a Microsoft, o custo global associado à recuperação de ransomware deverá ultrapassar os 20 mil milhões de dólares em 2021.

Gráfico de barras que mostra o impacto no negócio

Passos seguintes

Veja o documento técnico: Azure defenses for ransomware attack whitepaper (Documento técnico sobre ataques de ransomware).

Outros artigos desta série: