Partilhar via


Plano de backup e restauração para proteger contra ransomware

Os ataques de ransomware encriptam ou apagam deliberadamente dados e sistemas para forçar a sua organização a pagar dinheiro aos atacantes. Esses ataques têm como alvo seus dados, seus backups e também a documentação essencial necessária para que você se recupere sem pagar aos invasores (como forma de aumentar as chances de sua organização pagar).

Este artigo aborda o que fazer antes de um ataque para proteger seus sistemas de negócios críticos e durante um ataque para garantir uma rápida recuperação das operações de negócios.

O que é ransomware?

O ransomware é um tipo de ataque de extorsão que encripta ficheiros e pastas, impedindo o acesso a dados e sistemas importantes. Os atacantes usam ransomware para extorquir dinheiro às vítimas, exigindo dinheiro, geralmente na forma de criptomoedas, em troca de uma chave de desencriptação ou em troca de não libertar dados sensíveis para a dark web ou para a internet pública.

Enquanto os primeiros ransomwares usavam principalmente malware que se espalhava com phishing ou entre dispositivos, o ransomware operado por humanos surgiu onde uma gangue de atacantes ativos, impulsionados por operadores de ataque humano, visam todos os sistemas de uma organização (em vez de um único dispositivo ou conjunto de dispositivos). Um ataque pode:

  • Encriptar os seus dados
  • Exfiltre os seus dados
  • Corrompa seus backups

O ransomware aproveita o conhecimento dos atacantes sobre configurações incorretas e vulnerabilidades comuns do sistema e da segurança para se infiltrar na organização, navegar na rede corporativa e adaptar-se ao ambiente e às suas fraquezas à medida que avançam.

O ransomware pode ser preparado para exfiltrar os seus dados primeiro, ao longo de várias semanas ou meses, antes de o ransomware ser realmente executado numa data específica.

O ransomware também pode encriptar lentamente os seus dados, mantendo a sua chave no sistema. Com a sua chave ainda disponível, os seus dados são utilizáveis para si e o ransomware passa despercebido. Seus backups, no entanto, são dos dados criptografados. Uma vez que todos os seus dados são criptografados e backups recentes também são de dados criptografados, sua chave é removida para que você não possa mais ler seus dados.

O dano real geralmente é feito quando o ataque exfiltra arquivos enquanto deixa backdoors na rede para futuras atividades maliciosas — e esses riscos persistem independentemente de o resgate ser pago ou não. Esses ataques podem ser catastróficos para as operações de negócios e difíceis de limpar, exigindo a remoção completa do adversário para proteger contra ataques futuros. Ao contrário das primeiras formas de ransomware que exigiam apenas a correção de malware, o ransomware operado por humanos pode continuar a ameaçar as suas operações de negócios após o encontro inicial.

Impacto de um ataque

O impacto de um ataque de ransomware em qualquer organização é difícil de quantificar com precisão. Dependendo do escopo do ataque, o impacto pode incluir:

  • Perda de acesso aos dados
  • Interrupção da operação de negócios
  • Prejuízo financeiro
  • Roubo de propriedade intelectual
  • Confiança do cliente comprometida ou reputação manchada
  • Despesas de contencioso

Como você pode se proteger?

A melhor maneira de evitar ser vítima de ransomware é implementar medidas preventivas e ter ferramentas que protejam a sua organização de cada passo que os atacantes dão para se infiltrar nos seus sistemas.

Você pode reduzir sua exposição local movendo sua organização para um serviço de nuvem. A Microsoft investiu em recursos de segurança nativos que tornam o Microsoft Azure resiliente contra ataques de ransomware e ajudam as organizações a derrotar as técnicas de ataque de ransomware. Para obter uma visão abrangente de ransomware e extorsão e como proteger sua organização, use as informações na apresentação em PowerPoint do Plano do Projeto de Mitigação de Ransomware Operado por Humanos.

Você deve assumir que em algum momento será vítima de um ataque de ransomware. Um dos passos mais importantes que pode tomar para proteger os seus dados e evitar pagar um resgate é ter um plano de backup e restauração confiável para as suas informações críticas para os negócios. Como os invasores de ransomware investiram pesado na neutralização de aplicativos de backup e recursos do sistema operacional, como cópia de sombra de volume, é fundamental ter backups inacessíveis a um invasor mal-intencionado.

Azure Backup

O Backup do Azure fornece segurança ao seu ambiente de backup, tanto quando seus dados estão em trânsito quanto em repouso. Com o Backup do Azure, você pode fazer backup:

  • Ficheiros, pastas e estado do sistema no local
  • VMs Windows/Linux inteiras
  • Managed Disks do Azure
  • Compartilhamentos de arquivos do Azure para uma conta de armazenamento
  • Bancos de dados do SQL Server em execução em VMs do Azure

Os dados de backup são armazenados no armazenamento do Azure e o convidado ou invasor não tem acesso direto ao armazenamento de backup ou seu conteúdo. Com o backup de máquina virtual, a criação e o armazenamento do instantâneo de backup são feitos pela malha do Azure, onde o convidado ou invasor não tem nenhum envolvimento além de desativar a carga de trabalho para backups consistentes do aplicativo. Com SQL e SAP HANA, a extensão de backup obtém acesso temporário para gravar em blobs específicos. Dessa forma, mesmo em um ambiente comprometido, os backups existentes não podem ser adulterados ou excluídos pelo invasor.

O Backup do Azure fornece recursos internos de monitoramento e alerta para exibir e configurar ações para eventos relacionados ao Backup do Azure. Os relatórios de backup servem como um destino único para rastrear o uso, auditar backups e restaurações e identificar as principais tendências em diferentes níveis de granularidade. Usar as ferramentas de monitoramento e relatório do Backup do Azure pode alertá-lo sobre qualquer atividade não autorizada, suspeita ou maliciosa assim que ocorrer.

Foram adicionadas verificações para garantir que apenas utilizadores válidos possam executar várias operações. Isso inclui adicionar uma camada extra de autenticação. Como parte da adição de uma camada extra de autenticação para operações críticas, você será solicitado a inserir um PIN de segurança antes de modificar os backups online.

Saiba mais sobre os recursos de segurança incorporados ao Backup do Azure.

Validar backups

Valide se o backup é bom à medida que o backup é criado e antes da restauração. Recomendamos que você use um cofre dos Serviços de Recuperação, que é uma entidade de armazenamento no Azure que abriga dados. Os dados são normalmente cópias de dados ou informações de configuração de máquinas virtuais (VMs), cargas de trabalho, servidores ou estações de trabalho. Você pode usar os cofres dos Serviços de Recuperação para armazenar dados de backup para vários serviços do Azure, como VMs IaaS (Linux ou Windows) e bancos de dados SQL do Azure, bem como ativos locais. Os cofres dos Serviços de Recuperação facilitam a organização dos dados de backup e fornecem recursos como:

  • Recursos aprimorados para garantir que você possa proteger seus backups e recuperar dados com segurança, mesmo se os servidores de produção e backup estiverem comprometidos. Mais informações.
  • Monitoramento para seu ambiente de TI híbrido (VMs IaaS do Azure e ativos locais) a partir de um portal central. Mais informações.
  • Compatibilidade com o controle de acesso baseado em função do Azure (Azure RBAC), que restringe o acesso de backup e restauração a um conjunto definido de funções de usuário. O RBAC do Azure fornece várias funções internas e o Backup do Azure tem três funções internas para gerenciar pontos de recuperação. Mais informações.
  • Proteção contra exclusão suave, mesmo que um ator mal-intencionado exclua um backup (ou os dados de backup sejam excluídos acidentalmente). Os dados de backup são retidos por 14 dias adicionais, permitindo a recuperação de um item de backup sem perda de dados. Mais informações.
  • Restauração entre regiões, que permite restaurar VMs do Azure em uma região secundária, que é uma região emparelhada do Azure. Você pode restaurar os dados replicados na região secundária a qualquer momento. Isso permite que você restaure os dados da região secundária para conformidade com auditoria e durante cenários de paralisação, sem esperar que o Azure declare um desastre (ao contrário das configurações GRS do cofre). Mais informações.

Nota

Há dois tipos de cofres no Backup do Azure. Além dos cofres dos Serviços de Recuperação, também existem cofres de Backup que abrigam dados para cargas de trabalho mais recentes suportadas pelo Backup do Azure.

O que fazer antes de um ataque

Como mencionado anteriormente, você deve assumir que em algum momento será vítima de um ataque de ransomware. Identificar seus sistemas críticos para os negócios e aplicar as práticas recomendadas antes de um ataque fará com que você volte a funcionar o mais rápido possível.

Determine o que é mais importante para si

O ransomware pode atacar enquanto planeia um ataque, pelo que a sua primeira prioridade deve ser identificar os sistemas críticos para os negócios que são mais importantes para si e começar a realizar cópias de segurança regulares nesses sistemas.

Em nossa experiência, as cinco aplicações mais importantes para os clientes se enquadram nas seguintes categorias nesta ordem de prioridade:

  • Sistemas de identidade – necessários para os usuários acessarem quaisquer sistemas (incluindo todos os outros descritos abaixo), como Ative Directory, Microsoft Entra Connect, controladores de domínio do AD
  • Vida humana – qualquer sistema que suporte a vida humana ou possa colocá-la em risco, como sistemas médicos ou de suporte de vida, sistemas de segurança (ambulância, sistemas de despacho, controle de semáforos), grandes máquinas, sistemas químicos/biológicos, produção de alimentos ou produtos pessoais, entre outros
  • Sistemas financeiros – sistemas que processam transações monetárias e mantêm a atividade em funcionamento, tais como sistemas de pagamentos e bases de dados relacionadas, sistema financeiro para a prestação de informação trimestral
  • Habilitação de produtos ou serviços – quaisquer sistemas necessários para fornecer serviços empresariais ou produzir/entregar produtos físicos pelos quais seus clientes pagam, sistemas de controle de fábrica, sistemas de entrega/expedição de produtos e similares
  • Segurança (mínima) – Você também deve priorizar os sistemas de segurança necessários para monitorar ataques e fornecer serviços mínimos de segurança. Isso deve ser focado em garantir que os ataques atuais (ou os oportunistas fáceis) não sejam imediatamente capazes de obter (ou recuperar) acesso aos seus sistemas restaurados

Sua lista de backup priorizada também se torna sua lista de restauração priorizada. Depois de identificar seus sistemas críticos e executar backups regulares, tome medidas para reduzir seu nível de exposição.

Passos a tomar antes de um ataque

Aplique essas práticas recomendadas antes de um ataque.

Task Detalhe
Identifique os sistemas importantes que você precisa colocar online novamente primeiro (usando as cinco principais categorias acima) e comece imediatamente a executar backups regulares desses sistemas. Para voltar a funcionar o mais rápido possível após um ataque, determine hoje o que é mais importante para você.
Migre a sua organização para a nuvem.

Considere adquirir um plano de Suporte Unificado da Microsoft ou trabalhar com um parceiro da Microsoft para ajudar a apoiar a sua mudança para a nuvem.
Reduza sua exposição local movendo dados para serviços de nuvem com backup automático e reversão de autoatendimento. O Microsoft Azure tem um conjunto robusto de ferramentas para ajudá-lo a fazer backup de seus sistemas críticos para os negócios e restaurar seus backups mais rapidamente.

O Suporte Unificado da Microsoft é um modelo de suporte de serviços em nuvem que está lá para ajudá-lo sempre que você precisar. Suporte unificado:

Fornece uma equipe designada que está disponível 24 horas por dia, 7 dias por semana, com resolução de problemas conforme necessário e escalonamento de incidentes críticos

Ajuda a monitorar a integridade do seu ambiente de TI e trabalha proativamente para garantir que os problemas sejam evitados antes que eles aconteçam
Mova os dados do usuário para soluções de nuvem, como OneDrive e SharePoint, para aproveitar os recursos de controle de versão e lixeira.

Eduque os usuários sobre como recuperar seus arquivos sozinhos para reduzir atrasos e custos de recuperação. Por exemplo, se os arquivos do OneDrive de um usuário foram infetados por malware, ele pode restaurar todo o OneDrive para um momento anterior.

Considere uma estratégia de defesa, como o Microsoft Defender XDR, antes de permitir que os usuários restaurem seus próprios arquivos.
Os dados do usuário na nuvem da Microsoft podem ser protegidos por recursos internos de segurança e gerenciamento de dados.

É bom ensinar os usuários a restaurar seus próprios arquivos, mas você precisa ter cuidado para que seus usuários não restaurem o malware usado para realizar o ataque. Você precisa:

Certifique-se de que seus usuários não restaurem seus arquivos até que você tenha certeza de que o invasor foi removido

Ter uma mitigação em vigor no caso de um usuário restaurar algum do malware

O Microsoft Defender XDR usa ações e playbooks automáticos alimentados por IA para remediar os ativos afetados de volta a um estado seguro. O Microsoft Defender XDR aproveita os recursos de correção automática dos produtos do pacote para garantir que todos os ativos afetados relacionados a um incidente sejam remediados automaticamente sempre que possível.
Implemente o benchmark de segurança na nuvem da Microsoft. O benchmark de segurança na nuvem da Microsoft é nossa estrutura de controle de segurança baseada em estruturas de controle de segurança baseadas no setor, como NIST SP800-53, CIS Controls v7.1. Ele fornece orientação às organizações sobre como configurar os serviços do Azure e do Azure e implementar os controles de segurança. Consulte Backup e recuperação.
Exerça regularmente seu plano de continuidade de negócios/recuperação de desastres (BC/DR).

Simule cenários de resposta a incidentes. Os exercícios que você executa na preparação para um ataque devem ser planejados e conduzidos em torno de suas listas de backup e restauração priorizadas.

Teste regularmente o cenário "Recuperar de zero" para garantir que seu BC/DR possa colocar rapidamente operações de negócios críticas on-line a partir de zero funcionalidade (todos os sistemas inativos).
Garante a rápida recuperação das operações de negócios, tratando um ataque de ransomware ou extorsão com a mesma importância de um desastre natural.

Realizar exercício(s) prático(s) para validar processos e procedimentos técnicos entre equipes, incluindo comunicações fora da banda com funcionários e clientes (suponha que todos os e-mails e bate-papos estejam inativos).
Considere a criação de um registro de riscos para identificar riscos potenciais e abordar como você mediará por meio de controles e ações preventivas. Adicione ransomware ao registo de risco como cenário de alta probabilidade e alto impacto. Um registro de risco pode ajudá-lo a priorizar os riscos com base na probabilidade de esse risco ocorrer e na gravidade para o seu negócio, caso esse risco ocorra.

Acompanhe o status da mitigação por meio do ciclo de avaliação do Enterprise Risk Management (ERM).
Faça backup de todos os sistemas de negócios críticos automaticamente em um cronograma regular (incluindo backup de dependências críticas, como o Ative Directory).

Valide se o backup é bom à medida que o backup é criado.
Permite recuperar dados até o último backup.
Proteja (ou imprima) documentos e sistemas de suporte necessários para recuperação, como documentos de procedimento de restauração, CMDB, diagramas de rede e instâncias da SolarWinds. Os atacantes visam deliberadamente esses recursos porque isso afeta sua capacidade de recuperação.
Certifique-se de ter procedimentos bem documentados para contratar qualquer suporte de terceiros, particularmente suporte de provedores de inteligência de ameaças, provedores de soluções antimalware e do provedor de análise de malware. Proteja (ou imprima) estes procedimentos. Os contactos de terceiros podem ser úteis se a variante de ransomware dada tiver fraquezas conhecidas ou se estiverem disponíveis ferramentas de desencriptação.
Garantir que a estratégia de backup e recuperação inclua:

Capacidade de fazer backup de dados para um ponto específico no tempo.

Várias cópias de backups são armazenadas em locais isolados, off-line (air-gapped).

Objetivos de tempo de recuperação que estabelecem a rapidez com que as informações de backup podem ser recuperadas e colocadas no ambiente de produção.

Restauração rápida do backup para um ambiente de produção/área restrita.
Os backups são essenciais para a resiliência após uma organização ter sido violada. Aplique a regra 3-2-1 para máxima proteção e disponibilidade: 3 cópias (original + 2 backups), 2 tipos de armazenamento e 1 cópia externa ou fria.
Proteja os backups contra eliminação deliberada e criptografia:

Armazene backups em armazenamento offline ou externo e/ou armazenamento imutável.

Exija etapas fora de banda (como MFA ou um PIN de segurança) antes de permitir que um backup on-line seja modificado ou apagado.

Crie pontos de extremidade privados em sua Rede Virtual do Azure para fazer backup e restaurar dados com segurança do seu cofre dos Serviços de Recuperação.
Os backups acessíveis por invasores podem ser inutilizados para recuperação de negócios.

O armazenamento off-line garante uma transferência robusta de dados de backup sem usar qualquer largura de banda de rede. O Backup do Azure dá suporte ao backup offline, que transfere os dados de backup iniciais offline, sem o uso da largura de banda da rede. Ele fornece um mecanismo para copiar dados de backup para dispositivos de armazenamento físicos. Os dispositivos são então enviados para um datacenter do Azure próximo e carregados em um cofre dos Serviços de Recuperação.

O armazenamento imutável online (como o Blob do Azure) permite armazenar objetos de dados críticos para os negócios em um estado WORM (Write Once, Read Many). Esse estado torna os dados não apagáveis e não modificáveis para um intervalo especificado pelo usuário.

A autenticação multifator (MFA) deve ser obrigatória para todas as contas de administrador e é altamente recomendada para todos os usuários. O método preferido é usar um aplicativo autenticador em vez de SMS ou voz, sempre que possível. Ao configurar o Backup do Azure, você pode configurar seus serviços de recuperação para habilitar a MFA usando um PIN de segurança gerado no portal do Azure. Isso garante que um pino de segurança seja gerado para executar operações críticas, como atualizar ou remover um ponto de recuperação.
Designe pastas protegidas. Torna mais difícil para aplicativos não autorizados modificar os dados nessas pastas.
Reveja as suas permissões:

Descubra amplas permissões de gravação/exclusão em compartilhamentos de arquivos, SharePoint e outras soluções. Amplo é definido como muitos usuários com permissões de gravação/exclusão para dados críticos para os negócios.

Reduza as permissões amplas e, ao mesmo tempo, atenda aos requisitos de colaboração empresarial.

Audite e monitore para garantir que permissões amplas não reapareçam.
Reduz o risco de atividades de ransomware que permitem acesso amplo.
Proteja-se contra uma tentativa de phishing:

Realize treinamentos de conscientização de segurança regularmente para ajudar os usuários a identificar uma tentativa de phishing e evitar clicar em algo que possa criar um ponto de entrada inicial para um comprometimento.

Aplique controles de filtragem de segurança ao e-mail para detetar e minimizar a probabilidade de uma tentativa de phishing bem-sucedida.
O método mais comum usado por atacantes para se infiltrar em uma organização são as tentativas de phishing por e-mail. O Exchange Online Protection (EOP) é o serviço de filtragem baseado na nuvem que protege a sua organização contra spam, malware e outras ameaças de e-mail. O EOP está incluído em todas as organizações do Microsoft 365 com caixas de correio do Exchange Online.

Um exemplo de um controle de filtragem de segurança para e-mail é o Safe Links. Os Links Seguros são um recurso do Defender para Office 365 que fornece verificação e regravação de URLs e links em mensagens de email durante o fluxo de mensagens de entrada e verificação de tempo de clique de URLs e links em mensagens de email e outros locais (documentos do Microsoft Teams e do Office). A verificação de Links Seguros ocorre além da proteção antispam e antimalware regular em mensagens de e-mail de entrada no EOP. A verificação de links seguros pode ajudar a proteger sua organização contra links mal-intencionados usados em phishing e outros ataques.

Saiba mais sobre a proteção antiphishing.

O que fazer durante um ataque

Se você for atacado, sua lista de backup priorizada se tornará sua lista de restauração priorizada. Antes de restaurar, valide novamente se o backup é bom. Você pode ser capaz de procurar malware dentro do backup.

Passos a tomar durante um ataque

Aplique essas práticas recomendadas durante um ataque.

Task Detalhe
No início do ataque, conte com suporte de terceiros, particularmente suporte de provedores de inteligência de ameaças, provedores de soluções antimalware e do provedor de análise de malware. Esses contactos podem ser úteis se a variante de ransomware dada tiver uma fraqueza conhecida ou se estiverem disponíveis ferramentas de desencriptação.

A equipe de Resposta a Incidentes da Microsoft pode ajudar a protegê-lo contra ataques. A Resposta a Incidentes da Microsoft interage com clientes em todo o mundo, ajudando a proteger e proteger contra ataques antes que eles ocorram, além de investigar e remediar quando um ataque ocorreu.

A Microsoft também fornece serviços de Recuperação Rápida de Ransomware. Os serviços são fornecidos exclusivamente pelo Microsoft Global Compromise Recovery Security Practice (CRSP). O foco desta equipa durante um ataque de ransomware é restaurar o serviço de autenticação e limitar o impacto do ransomware.

O Microsoft Incident Response faz parte da linha de serviços de segurança Industry Solutions Delivery da Microsoft.
Entre em contato com as agências de aplicação da lei locais ou federais. Se você estiver nos Estados Unidos, entre em contato com o FBI para relatar uma violação de ransomware usando o Formulário de Referência de Reclamação IC3.
Tome medidas para remover a carga útil de malware ou ransomware do seu ambiente e impedir a propagação.

Execute uma verificação antivírus completa e atual em todos os computadores e dispositivos suspeitos para detetar e remover a carga associada ao ransomware.

Analise dispositivos que estão sincronizando dados ou os destinos de unidades de rede mapeadas.
Você pode usar o Windows Defender ou (para clientes mais antigos) o Microsoft Security Essentials.

Uma alternativa que também irá ajudá-lo a remover ransomware ou malware é a Ferramenta de Remoção de Software Mal-Intencionado (MSRT).
Restaure primeiro os sistemas críticos para os negócios. Lembre-se de validar novamente se o backup é bom antes de restaurar. Neste ponto, você não precisa restaurar tudo. Concentre-se nos cinco principais sistemas críticos para os negócios da sua lista de restauração.
Se tiver cópias de segurança offline, provavelmente pode restaurar os dados encriptados depois de remover a carga útil do ransomware (malware) do seu ambiente. Para evitar ataques futuros, certifique-se de que o ransomware ou malware não está no seu backup offline antes de restaurar.
Identifique uma imagem de backup point-in-time segura que se saiba não estar infetada.

Se você usar o cofre dos Serviços de Recuperação, revise cuidadosamente a linha do tempo do incidente para entender o point-in-time certo para restaurar um backup.
Para evitar ataques futuros, verifique o backup em busca de ransomware ou malware antes de restaurar.
Use um verificador de segurança e outras ferramentas para a restauração completa do sistema operacional, bem como cenários de restauração de dados. O Microsoft Safety Scanner é uma ferramenta de verificação projetada para encontrar e remover malware de computadores Windows. Basta baixá-lo e executar uma verificação para encontrar malware e tentar reverter as alterações feitas pelas ameaças identificadas.
Certifique-se de que a sua solução antivírus ou de deteção e resposta de terminais (EDR) está atualizada. Você também precisa ter patches atualizados. Uma solução EDR, como o Microsoft Defender for Endpoint, é preferível.
Depois que os sistemas críticos para os negócios estiverem em funcionamento, restaure outros sistemas.

À medida que os sistemas são restaurados, comece a coletar dados de telemetria para que você possa tomar decisões formativas sobre o que está restaurando.
Os dados de telemetria devem ajudá-lo a identificar se o malware ainda está em seus sistemas.

Pós-ataque ou simulação

Após um ataque de ransomware ou uma simulação de resposta a incidentes, siga as seguintes etapas para melhorar seus planos de backup e restauração, bem como sua postura de segurança:

  1. Identificar lições aprendidas onde o processo não funcionou bem (e oportunidades para simplificar, acelerar ou melhorar o processo)
  2. Execute análises de causa raiz sobre os maiores desafios (com detalhes suficientes para garantir que as soluções resolvam o problema certo — considerando pessoas, processos e tecnologia)
  3. Investigar e corrigir a violação original (entre em contato com a equipe de Resposta a Incidentes da Microsoft (anteriormente DART) para ajudar)
  4. Atualize sua estratégia de backup e restauração com base nas lições aprendidas e nas oportunidades — priorizando primeiro com base no maior impacto e nas etapas de implementação mais rápidas

Próximos passos

Para obter as melhores práticas sobre a implementação da proteção contra ransomware, consulte Proteja-se rapidamente contra ransomware e extorsão.

Principais informações do setor:

  • Relatório de Defesa Digital da Microsoft de 2023 (ver páginas 17-26)

Microsoft Azure:

Microsoft 365:

Microsoft Defender XDR: