Recuperação de dados de ataque de ransomware: 4 fatores a serem considerados

Os ataques de ransomware continuam a ameaçar empresas, governos locais e organizações sem fins lucrativos – e é improvável que a tendência mude tão cedo.

De acordo com registros públicos, mais de 400 governos de cidades e condados sofreram ataques de ransomware desde 2014. Entidades privadas nem sempre relatam ataques, mas a Agência da União Europeia para Segurança Cibernética (ENISA) relatou um aumento de 150% nas infecções de ransomware entre abril de 2020 e julho de 2021.

Quando os agentes mal-intencionados implantam ransomware com sucesso, suas opções são limitadas: restaure os dados de um backup, pague o resgate ou procure opções profissionais de recuperação de dados de ransomware.

Como fornecedor líder de serviços de recuperação de ransomware, o Datarecovery.com pode fornecer a orientação que sua organização precisa para tomar as medidas apropriadas. Antes de tentar a recuperação de ransomware, lembre-se dessas dicas.

1 Entenda a extensão da infecção por ransomware.

Em um desastre, muitas empresas tomam medidas imediatas para restaurar sistemas de missão crítica, mas a restauração rápida de um sistema de backup pode ter consequências inesperadas.

Muitas variantes de ransomware visam dispositivos de backup. Os invasores entendem que a melhor defesa contra a infecção por ransomware é um forte plano de recuperação de desastres, e as variantes modernas geralmente têm um “estágio inativo". Se o ransomware se espalhar por meio de backups (e, ocasionalmente, sistemas de arquivamento), a tentativa de restauração pode impedir uma resolução rápida.

A melhor prática é avaliar todos os sistemas de armazenamento de dados imediatamente. Documente sua avaliação e tente identificar a data e a fonte da infecção. Isole redes e dispositivos de gerenciamento de dados e nunca tente restaurar dados (mesmo quando os backups estiverem armazenados em mídia air-gapped) até que a avaliação seja concluída.

2 Lembre-se, algumas infecções de ransomware podem ser facilmente resolvidas.

Ransomware funciona criptografando dados, e algumas variantes usam métodos de criptografia que podem ser facilmente contornados. Os hackers de chapéu branco criaram várias ferramentas para lidar com infecções comuns e, com a ajuda de uma empresa profissional de recuperação de dados, você poderá restaurar dados criptografados sem perder muito tempo de atividade.

Variantes comuns de ransomware com descriptografadores disponíveis publicamente incluem:

• Prometeu
• LockFile
• Ziggy
• Synack
• Avaddon
• Juiz
• AtomSilo

Essa não é uma lista compreensiva. Ferramentas de descriptografia gratuitas estão disponíveis no No More Ransom Project.

No entanto, recomendamos cautela ao usar ferramentas de descriptografia gratuitas: para sistemas de nível empresarial, algumas ferramentas podem exigir técnicas avançadas de restauração — e em sistemas complexos, você pode não ter uma segunda chance de recuperação sem perdas. Trabalhe com um parceiro de ransomware experiente para garantir a melhor recuperação possível.

3 Os ataques de ransomware direcionados exigem recursos especializados.

Algumas variantes de ransomware são projetadas para atingir arquiteturas específicas. Normalmente, a recuperação de dados não é possível usando ferramentas de descriptografia disponíveis publicamente.

O grupo de ransomware BlackMatter, que afirma ser o sucessor dos infames grupos Darkside e REvil, tem como alvo redes corporativas com receita de US$ 100 milhões ou mais. Os grupos “Ransomware-as-a-Service” (RaaS) oferecem compensação a indivíduos dentro de grandes organizações, criando backdoors que aumentam suas chances de infiltração bem-sucedida.

Alvos comuns para grupos de ransomware incluem:

• Empresas de varejo e comércio eletrônico
• Universidades e outras instituições de ensino
• Prestadores de serviços profissionais e jurídicos
• Escritórios do governo central, estadual e local
• Provedores de software como serviço (SaaS)

Os ataques direcionados geralmente acarretam resgates de US$ 100.000 ou mais. As soluções de recuperação de dados variam de acordo com a extensão do ataque, a arquitetura de TI da organização e a sofisticação da criptografia do ransomware.

4 Pagar o resgate nem sempre evita a perda de dados.

Quando o ransomware visa sistemas de missão crítica, a solução óbvia é pagar o resgate. Infelizmente, esta não é uma estratégia infalível.

De acordo com um relatório de 2021, apenas 9% das pessoas que pagam aos invasores de ransomware recuperam todos os seus dados. O ransomware não foi projetado para restauração e o processo de criptografia pode inutilizar arquivos importantes (como bancos de dados).

O pagamento de resgates também fornece aos malfeitores incentivos poderosos para perseguir ataques adicionais. Em vários casos, as empresas sofreram várias infecções de ransomware em curtos períodos de tempo – geralmente do mesmo grupo de invasores.

A melhor defesa contra ransomware é uma forte estratégia de recuperação de desastres.

Com backups air-gapped, a maioria das organizações pode evitar perdas significativas de dados devido à infecção por ransomware. Ao monitorar continuamente os sinais de infecção, você pode executar sua estratégia de recuperação de desastres rapidamente, mas mesmo com uma defesa robusta, os ataques podem comprometer os principais sistemas.

A segunda melhor defesa é um parceiro experiente em recuperação de dados. Datarecovery.com opera laboratórios de serviço completo com ferramentas de descriptografia proprietárias, e nossos engenheiros têm décadas de experiência combinada com sistemas corporativos. Como fornecedor líder de recuperação de ransomware do setor, temos os recursos técnicos e a experiência para recuperar seus dados rapidamente, limitando o tempo de inatividade em caso de desastre.