in Artigos

Ransomware: como responder a um ataque e mitigar os danos causados? 

1.9k Visualizações

Fábio Luiz Barboza Pereira*

Paola Luongo Lorenzetti de Miranda**

Gabriela Caram Zerey***

Em um mundo cada vez mais globalizado, em que a troca de informações ocorre de forma instantânea e fluida, muito se tem discutido sobre a incidência e a recorrência de incidentes de segurança da informação que podem levar ao vazamento de dados pessoais, e a outros riscos envolvendo ataques cibernéticos.

Dentre esses ataques, destaca-se o denominado ransomware, estratégia que usa um programa malicioso para sequestrar informações e criptografá-las. Normalmente, ataques ransomware são instaurados por grupos criminosos especializados no assunto, que exigem, como resgate, o pagamento de valores financeiros expressivos, geralmente em criptomoedas. Dessa forma, quanto mais sensíveis forem as informações sequestradas e, quanto maior for o grupo criminoso responsável pelo ataque, maior tende a ser o valor solicitado como pedido de resgate.

Normalmente, consultores externos, advogados e profissionais de TI não indicam que pagar o resgate é o melhor caminho. No Brasil, pagar o resgate não é proibido por lei, o que não é o caso em algumas outras jurisdições, inclusive em alguns Estados dos EUA, em que a prática é proibida sob o forte argumento de não incentivar o pagamento por sequestros de dados. Quando o atacado opta por não pagar, normalmente as consequências são: (i) a impossibilidade de se recuperar as informações sequestradas, o que pode prejudicar o negócio e as atividades comerciais da empresa; e (ii) a divulgação ou a venda destas informações na Dark Web

É importante ressaltar que os ataques ransomware normalmente são realizados bem antes de a vítima tomar conhecimento do crime. Isso porque essa prática é realizada assim que os criminosos acessam os programas/plataformas das empresas/pessoas afetadas. Neste momento, são implementadas técnicas que desativam quaisquer firewalls e antivírus existentes, permitindo que os criminosos realizem uma navegação imperceptível.

Origens dos ataques ransomware

Nesse sentido, vale mencionar que os ataques ransomware podem se originar de diferentes maneiras, dentre as quais destacam-se: 

(i) a prática de phishing, por meio da qual os criminosos enganam as vítimas ao lhes enviar e-mails contendo links ou documentos danificados; 

(ii) a exploração de vulnerabilidades nos sistemas utilizados pelas vítimas dos ataques; 

(iii) a utilização de credenciais comprometidas, como logins e senhas utilizados pelos colaboradores, e, ainda 

(iv) o ataque por meio de força bruta, através do qual os criminosos, por tentativa e erro, buscam acessar as contas dos colaboradores da empresa afetada.

Como se prevenir de um ataque?

Algumas medidas podem ser adotadas pelas empresas a fim de prevenir um ataque cibernético, tais como:

  • Manter sistemas e aplicações sempre atualizados;
  • Revisar as configurações dos firewalls para que não sejam permitidas conexões com endereços desconhecidos e para que sejam acionados alertas em caso de tentativas de acessos não usuais;
  • Implementar políticas de senhas fortes e de atualização frequente de senhas;
  • Configurar os sistemas e aplicações utilizados para que, depois de um determinado número de tentativas de acesso malsucedidas, as respectivas contas sejam bloqueadas;
  • Reforçar as práticas de conscientização dentro da empresa com treinamentos específicos sobre como identificar ataques cibernéticos e como reagir a um incidente de segurança;
  • Realizar frequentemente testes de penetração e varreduras de vulnerabilidades;
  • Implementar rotinas de backups frequentes, mantendo os arquivos em local seguro fora das demais redes e sistemas da empresa;
  • Garantir que os colaboradores da empresa somente tenham acesso aos arquivos estritamente necessários para realizarem as suas funções.

O que fazer se, ainda assim, um ataque acontecer? 

Listamos abaixo cinco medidas essenciais a serem tomadas para mitigar os danos e responder aos ataques ransomware se ocorrerem:

1. Comunicar às Autoridades e às partes afetadas.

Após ter feito uma análise rigorosa sobre os potenciais danos resultantes do ataque ransomware, incluindo, mas não se limitando à identificação de quais informações foram sequestradas e de sua sensibilidade, além do potencial e efetivo prejuízo financeiro e reputacional a ser arcado pela empresa vítima do ataque, a empresa deve comunicar às autoridades competentes sobre o ataque, bem como todas as partes eventualmente afetadas pela ocorrência do incidente. Em caso de dados pessoais, é necessário avaliar o risco aos titulares desses dados antes de uma comunicação. 

Além disso, é de extrema importância contratar um perito forense na área digital, ou empresa especializada de consultoria, acionar os seguros da empresa e trazer um advogado especialista na área, para que possam auxiliar a empresa em como manter e resguardar as provas corretamente, para que possam ser utilizadas posteriormente junto às autoridades competentes, aos próprios titulares de dados e, potencialmente em ações judiciais caso ocorram.

2. Restabelecer os negócios e recuperar os dados que foram afetados pelo ataque.

Assim que o ataque tiver sido identificado, é imprescindível que a empresa identifique e analise todas as ferramentas e medidas aptas a restabelecer as suas atividades comerciais, além de iniciar as tratativas para tentar recuperar todas as informações afetadas pelo ataque.

3. Realizar um backup das informações de maneira cautelosa e resguardar as informações do ataque. 

Uma das principais medidas para se recuperar informações que foram perdidas ou que estão retidas com criminosos (no caso de ataques ransomware) é a realização de um backup desses dados, resguardando as informações e dados do ataque. É importante, todavia, verificar e confirmar que esse backup está livre de qualquer malware (software com intenção maliciosa).

4. Monitorar o tráfego de rede e executar rastreamento por antivírus e outras ferramentas para identificar se ainda existe alguma contaminação.

É importante realizar uma análise de todo o fluxo de informações existente nas redes dos computadores da empresa, a fim de identificar: (i) a existência de programas de antivírus adequados para combater eventuais ataques cibernéticos; e (ii) certificar que não subsiste mais nenhuma contaminação.

5. Realizar o pagamento do resgate?

O pagamento do resgate deve ser uma das últimas medidas a serem avaliadas como mitigação dos danos causados por ataques ransomware. Isso porque essa prática pode ser vista como uma fomentação aos ataques, além de não haver garantias efetivas de que os criminosos irão, de fato, devolver as informações. No Brasil, como dito acima, não é considerado crime pagar pelo resgate de sequestro de informações. No entanto, é imprescindível que, na hipótese da realização do pagamento, as empresas consultem previamente o seu departamento jurídico, as leis aplicáveis, seguradoras envolvidas e especialistas em segurança da informação, para avaliar se a forma de condução de eventual pagamento e o pagamento em si não infringirão regras de outros países.

Finalmente: tenha um plano de respostas a incidentes de segurança!

Conclui-se, portanto, que ataques ransomware estão cada vez mais frequentes em um cenário no qual as principais informações sobre as empresas ficam armazenadas em um ambiente digital potencialmente com falhas de segurança. 

É necessário, portanto, que além de medidas de segurança efetivas para evitar a ocorrência desses incidentes, as empresas estejam aptas a identificar a ocorrência de um incidente e preparadas para responder prontamente e mitigar os danos decorrentes de um ataque. 

A prevenção, o investimento em segurança da informação, os treinamentos constantes, e o apoio de especialistas são fundamentais para evitar ou minimizar um ataque.

Referências:

A Dark Web é o coletivo oculto de sites da Internet que só podem ser acessados com um navegador de Internet especializado. Ela é usada para manter atividades anônimas e privadas na Internet, algo que pode ser útil em contextos legais e ilegais. Embora algumas pessoas a utilizem para evitar a censura do governo, sabe-se que ela também é empregada para atividades altamente ilegais. – https://www.kaspersky.com.br/resource-center/threats/deep-web (acesso em 16/11/2022)

Leia outros artigos:

Principais desafios das empresas na jornada de adequação à LGPD 

Ano de vigência da LGPD: o que esperar para 2022?

Advocacia e segurança jurídica no metaverso

Fábio Luiz Barboza Pereira: Sócio coordenador das práticas de Tecnologia & Proteção de Dados do Veirano Advogados

Paola Luongo Lorenzetti: Advogada sênior das práticas de Tecnologia & Proteção de Dados do Veirano Advogados

Gabriela Caram Zerey: Advogada junior das práticas de Tecnologia & Proteção de Dados do Veirano Advogados

Reportar

dados eleições e eleições

Dados pessoais e eleições: como seus dados pessoais podem influenciar nas eleições 
guia orientativo de cookies

Apontamentos sobre o Guia Orientativo de Cookies da ANPD