Plano de backup e restauração para proteger contra ransomware

Os ataques de ransomware criptografam ou apagam deliberadamente dados e sistemas para forçar sua organização a pagar dinheiro aos invasores. Esses ataques visam seus dados, seus backups e também a documentação-chave necessária para que você se recupere sem pagar os invasores (como um meio para aumentar as chances de sua organização pagar).

Este artigo aborda o que fazer antes de um ataque, para proteger seus sistemas comercialmente críticos, e durante um ataque, para garantir uma recuperação rápida das operações de negócios.

O que é o ransomware?

O ransomware é um tipo de ataque de extorsão que criptografa arquivos e pastas, impedindo o acesso a arquivos e sistemas importantes. Os invasores usam o ransomware para extorquir dinheiro das vítima exigindo o pagamento geralmente na forma de criptografias em troca de uma chave de descriptografia, ou em troca de não liberar dados confidenciais na Dark Web ou publicar na Internet.

Embora os primeiros ransomwares usassem principalmente malwares que se propagar por meio de phishing ou entre dispositivos, o ransomware operado por pessoas surgiu em um grupo de invasores ativos, conduzidos por operadores de ataque humanos, tendo como alvo todos os sistemas em uma organização (em vez de um único dispositivo ou conjunto de dispositivos). Um ataque pode:

  • Criptografar seus dados
  • Exfiltrar seus dados
  • Corromper seus backups

O randsomeware aproveita o conhecimento dos invasores sobre configurações incorretas comuns de sistema, de segurança e vulnerabilidades para atacar a organização, navegar pela rede corporativa e adaptar-se ao ambiente e aos pontos fracos deles conforme fazem as invasões.

O ransomware pode ser programado para ser executado em etapas, primeiro exfiltrando seus dados por várias semanas ou meses antes que ele seja realmente executado em uma data específica.

O ransomware também pode criptografar seus dados lentamente enquanto mantém sua chave no sistema. Com sua chave ainda disponível, seus dados podem ser usados por você e o ransomware passa despercebido. Seus backups, no entanto, são dos dados criptografados. Depois que todos os seus dados são criptografados e os backups recentes também sejam de dados criptografados, sua chave é removida para que você não possa mais ler seus dados.

O dano real geralmente acontece quando o ataque exfiltra arquivos enquanto deixa backdoors na rede para atividades mal-intencionadas futuras – e esses riscos persistem, seja o resgate pago ou não. Esses ataques podem ser catastróficos às operações de negócios e são difíceis de remediar, exigindo a remoção completa do adversário para se proteger contra ataques futuros. Ao contrário do ransomware antigo, que requeria apenas a correção do malware, o ransomware operado por humanos continuará ameaçando as operações da empresa após a invasão inicial.

Impacto de um ataque

O impacto de um ataque de ransomware em qualquer organização é difícil de se quantificar com precisão. Dependendo do escopo do ataque, o impacto pode incluir:

  • Perda de acesso a dados
  • Interrupção da operação de negócios
  • Perda financeira
  • Roubo de propriedade intelectual
  • Confiança do cliente comprometida ou reputação maculada
  • Despesas legais

Como você pode se proteger?

A melhor maneira de evitar se tornar vítima de ransomware é implementar medidas preventivas e ter ferramentas que protejam sua organização de cada etapa que os invasores executam para invadir seus sistemas.

Você pode reduzir sua exposição local mudando sua organização para um serviço de nuvem. A Microsoft investiu em recursos de segurança nativos que tornam o Microsoft Azure resiliente a ataques de ransomware e ajudam as organizações a se defender de técnicas desse tipo de ataque. Para obter uma visão abrangente do ransomware e da ameaça e de como proteger sua organização, use as informações na apresentação do PowerPoint Plano de Projeto de Mitigação de Ransomware Operado por Humanos .

Você deve presumir que, em algum momento, será vítima de um ataque de ransomware. Uma das etapas mais importantes que você pode seguir para proteger seus dados e evitar pagar um resgate é ter um plano de backup e restauração confiável para suas informações comercialmente críticas. Como os atacantes de ransomware investiram muito para neutralizar os aplicativos de backup e os recursos do sistema operacional, como a cópia de sombra de volume, é fundamental ter backups inacessíveis a um invasor mal-intencionado.

Serviço de Backup do Azure

O Backup do Azure fornece segurança para seu ambiente de backup quando seus dados estão em trânsito e também quando estão em repouso. Com o Backup do Azure, você pode realizar o backup de:

  • Arquivos, pastas e estado do sistema locais
  • VMs inteiras do Windows/Linux
  • Azure Managed Disks
  • Compartilhamentos de arquivos do Azure para uma conta de armazenamento
  • Bancos de dados do SQL Server em execução nas VMs do Azure

Os dados de backup são armazenados no Armazenamento do Azure, e o convidado ou invasor não possui acesso direto ao armazenamento de backup ou ao seu conteúdo. Com o backup de máquina virtual, a criação e o armazenamento de instantâneos de backup são feitos pela malha do Azure, em que o único envolvimento do convidado ou invasor é fazer o fechamento da carga de trabalho para backups consistentes do aplicativo. Com o SQL e o SAP HANA, a extensão de backup obtém acesso temporário para gravar em blobs específicos. Dessa forma, mesmo em um ambiente comprometido, os backups existentes não podem ser adulterados nem excluídos pelo invasor.

O Backup do Azure fornece funcionalidades internas de monitoramento e alerta para exibir e configurar ações para eventos relacionados ao Backup do Azure. Os Relatórios de Backup funcionam como um destino único para controlar o uso, auditar backups e restaurações e identificar as principais tendências em níveis diferentes de granularidade. Usar as ferramentas de monitoramento e relatório do Backup do Azure pode alertá-lo sobre qualquer atividade não autorizada, suspeita ou mal-intencionada assim que ela ocorrer.

Foram adicionadas verificações para garantir que somente os usuários válidos possam executar várias operações. Isso inclui adicionar uma camada extra de autenticação. Como parte da adição de uma camada extra de autenticação para operações críticas, você será solicitado a inserir um PIN de segurança antes de modificar os backups online.

Saiba mais sobre os recursos de segurança integrados ao Backup do Azure.

Validar backups

Valide se o backup é bom conforme ele é criado e antes da restauração. Recomendamos o uso de um cofre dos Serviços de Recuperação, que é uma entidade de armazenamento no Azure que hospeda dados. Os dados normalmente são cópias de dados ou informações de configuração de VMs (máquinas virtuais), cargas de trabalho, servidores ou estações de trabalho. Você pode usar os cofres dos Serviços de Recuperação para armazenar dados de backup para vários serviços do Azure, como VMs de IaaS (Windows ou Linux), bancos de dados SQL do Azure e ativos locais. Os cofres dos Serviços de Recuperação facilitam a organização dos dados de backup e fornecem recursos como:

  • Funcionalidades aprimoradas para assegurar que você possa proteger seus backups e recuperar dados com segurança, mesmo que os servidores de produção e de backup estejam comprometidos. Saiba mais.
  • Monitoramento de seu ambiente de TI híbrido (VMs de IaaS do Azure e ativos locais) a partir de um portal central. Saiba mais.
  • Compatibilidade com o RBAC do Azure (controle de acesso baseado em função do Azure), que restringe o acesso de backup e restauração a um conjunto definido de funções de usuário. O Azure RBAC fornece várias funções internas, e o Backup do Azure tem três funções internas para gerenciar pontos de recuperação. Saiba mais.
  • Proteção contra exclusão temporária, mesmo que um ator mal-intencionado exclua um backup (ou os dados de backup sejam excluídos acidentalmente). Os dados de backup serão mantidos por 14 dias adicionais, permitindo a recuperação de um item de backup sem perda de dados. Saiba mais.
  • A Restauração Entre Regiões, que permite restaurar as VMs do Azure em uma região secundária, que é uma região emparelhada do Azure. É possível restaurar os dados replicados na região secundária em qualquer momento. Isso permite restaurar os dados da região secundária para auditoria e conformidade e, durante cenários de interrupção, sem esperar que o Azure declare um desastre (ao contrário das configurações de GRS do cofre). Saiba mais.

Observação

Há dois tipos de cofres no Backup do Azure. Além dos cofres dos Serviços de Recuperação, também há os cofres de Backup que armazenam dados para cargas de trabalho mais recentes com suporte do Backup do Azure.

O que fazer antes de um ataque

Como já anteriormente mencionado, você deve presumir que, em algum momento, será vítima de um ataque de ransomware. Identificar seus sistemas comercialmente críticos e aplicar as melhores práticas antes de um ataque fará com que seus sistemas voltem a funcionar o mais rápido possível.

Determinar o que é mais importante para você

O ransomware pode atacar enquanto você está planejando um ataque, portanto, sua primeira prioridade deve ser identificar os sistemas comercialmente críticos que são mais importantes para você e começar a fazer backups regulares desses sistemas.

Em nossa experiência, os cinco aplicativos mais importantes para os clientes se enquadram nas seguintes categorias, nesta ordem de prioridade:

  • Sistemas de identidade – necessários para que os usuários acessem qualquer sistema (incluindo todos os outros descritos abaixo), como o Active Directory, o Azure AD Connect, e controladores de domínio do AD
  • Vida humana – qualquer sistema que dá suporte à vida humana ou pode colocá-la em risco, como sistemas médicos ou de suporte à vida, sistemas de segurança (ambulância, sistemas de despacho, controle de semáforo), máquinas de grande porte, sistemas biológicos/químicos, de produção de alimentos ou de produtos pessoais, entre outros
  • Sistemas financeiros – sistemas que processam transações monetárias e mantêm as empresas operando, como sistemas de pagamento e bancos de dados relacionados, sistema financeiro para relatórios trimestrais
  • Viabilizar produto ou serviço – todos os sistemas necessários para fornecer os serviços comerciais ou produzir/entregar produtos físicos pelos quais seus clientes pagam, sistemas de controle de fábrica, sistemas de entrega/expedição de produtos e semelhantes
  • Segurança (mínimo) – você também deve priorizar os sistemas de segurança necessários para monitorar ataques e fornecer serviços de segurança mínimos. Isso deve se concentrar em garantir que os ataques atuais (ou ataques oportunistas fáceis) não consigam obter (ou recuperar) imediatamente o acesso aos seus sistemas restaurados

Sua lista de backup priorizado também se torna sua lista de restauração priorizada. Depois de identificar seus sistemas críticos e executar backups regulares, tome medidas para reduzir o nível de exposição.

Etapas a serem tomadas antes de um ataque

Aplique essas melhores práticas antes de um ataque.

Tarefa Detalhe
Identifique os sistemas importantes que você precisa colocar novamente online primeiro (usando as cinco principais categorias acima) e comece imediatamente a executar backups regulares desses sistemas. Para voltar a funcionar o mais rápido possível após um ataque, defina hoje o que é mais importante para você.
Migre sua organização para a nuvem.

Considere comprar um plano de Suporte Unificado da Microsoft ou trabalhar com um parceiro da Microsoft que o auxilie dando suporte à sua mudança para a nuvem.
Reduza sua exposição local movendo seus dados para serviços de nuvem com backup automático e reversão de autoatendamento. O Microsoft Azure tem um conjunto robusto de ferramentas para ajudá-lo a fazer backup dos seus sistemas comercialmente críticos e restaurar seus backups mais rapidamente.

O Suporte Unificado da Microsoft é um modelo de suporte de serviços de nuvem que está lá para ajudá-lo sempre que você precisar. Suporte Unificado:

Fornece uma equipe designada que está disponível 24 horas por dia, 7 dias por semana, com resolução de problemas conforme a necessidade e escalonamento de incidentes críticos

Ajuda você a monitorar a integridade do seu ambiente de TI e funciona proativamente para garantir que os problemas sejam evitados antes que ocorram
Mover os dados do usuário para soluções de nuvem como o OneDrive e o SharePoint para aproveitar as funcionalidades de controle de versão e lixeira.

Instruir os usuários a recuperar arquivos por conta própria para reduzir os atrasos e o custo da recuperação. Por exemplo, se os arquivos do OneDrive de um usuário forem infectados por malware, ele poderá restaurar todo o OneDrive para um momento anterior.

Considere uma defesa estratégica como o Microsoft Defender XDR antes de permitir que os usuários restaurem seus próprios arquivos.
Os dados do usuário na nuvem da Microsoft podem ser protegidos por recursos de segurança e gerenciamento de dados integrados.

É bom ensinar aos usuários como restaurar seus próprios arquivos, mas é preciso ter cuidado para que eles não restaurem o malware usado para realizar o ataque. Você precisa:

Certifique-se de que seus usuários não restaurem seus arquivos até que você tenha certeza de que o invasor foi expulso

Ter uma mitigação de risco em ação caso um usuário restaure parte do malware

O Microsoft Defender XDR usa ações automáticas da plataforma IA e guias estratégicos para remediar ativos afetados e restaurá-los a um estado seguro. O Microsoft Defender XDR aproveita os recursos de correção automática dos produtos do conjunto para garantir que todos os ativos afetados relacionados a um incidente sejam automaticamente corrigidos sempre que possível.
Implemente o parâmetro de comparação de segurança da nuvem da Microsoft. O parâmetro de comparação de segurança da nuvem da Microsoft é a estrutura de controle de segurança do Azure que é baseada em estruturas de controle de segurança baseadas no setor, como NIST SP800-53 e Controles CIS v7.1. Ele fornece diretrizes às organizações sobre como configurar o Azure e os serviços do Azure, e implementar os controles de segurança. Confira Backup e Recuperação.
Exerça regularmente seu plano de BC/DR (Continuidade dos Negócios/Recuperação de Desastre).

Simular cenários de resposta a incidentes. Os exercícios que você executa ao se preparar para um ataque devem ser planejados e conduzidos em torno de suas listas priorizadas de backup e restauração.

Teste regularmente o cenário 'Recuperar do Zero' para garantir que seu BC/DR possa colocar online rapidamente as operações comerciais críticas a partir da funcionalidade zero (todos os sistemas inoperantes).
Garante a recuperação rápida de operações de negócios tratando um ataque de ransomware ou de extorsão com a mesma importância que um desastre natural.

Realize exercícios de prática para validar processos e procedimentos técnicos entre equipes, incluindo comunicações de funcionários e clientes fora da banda (supondo que todos os emails e chats estejam inoperantes).
Considere a possibilidade de criar um registro de riscos para identificar os riscos em potencial e abordar como você mediará por meio de controles e ações preventivas. Adicione ransomware ao registro de risco como cenário de alta probabilidade e alto impacto. Um registro de risco pode ajudá-lo a priorizar os riscos com base na probabilidade de ele ocorrer e na severidade para sua empresa caso ocorra.

Acompanhe o status da mitigação por meio do ciclo de avaliação do Enterprise Risk Management (ERM).
Faça o backup de todos os sistemas de negócios críticos automaticamente em um agendamento regular (incluindo o backup de dependências críticas, como o Active Directory).

Valide se o backup é bom à medida em que ele é criado.
Permite que você recupere dados até o último backup.
Proteja (ou imprima) os documentos de suporte e sistema necessários para recuperação, como documentos de procedimento de restauração, CMDB, diagramas de rede e instâncias do SolarWinds. Os invasores atacam deliberadamente esses recursos porque isso afeta sua capacidade de recuperação.
Verifique se você tem procedimentos bem documentados para envolver qualquer suporte de terceiros, especialmente o suporte de provedores de inteligência contra ameaças, de solução antimalware e de análise de malware. Proteja (ou imprima) esses procedimentos. Contatos de terceiros podem ser úteis se a variante de ransomware determinada tiver pontos fracos conhecidos ou ferramentas de descriptografia disponíveis.
Verifique se a estratégia de backup e recuperação inclui:

A capacidade de fazer o backup de dados para um ponto específico no tempo.

Várias cópias de backups são armazenadas em locais isolados e offline (desconectados).

Objetivos de tempo de recuperação que estabelecem a rapidez com que as informações de backup podem ser recuperadas e colocadas no ambiente de produção.

Restauração rápida de backup em um ambiente de produção/área restrita.
Os backups são essenciais para resiliência depois que uma organização for violada. Aplique a regra 3-2-1 para proteção e disponibilidade máximas: 3 cópias (original + 2 backups), 2 tipos de armazenamento e 1 cópia externa ou fria.
Proteja backups contra eliminação deliberada e criptografia:

Armazene backups em armazenamentos offline ou externo e/ou armazenamento imutável.

Exija etapas fora da banda (como a MFA ou um PIN de segurança) antes de permitir que um backup online seja modificado ou apagado.

Crie pontos de extremidade privados em sua Rede Virtual do Azure para fazer backup e restaurar dados com segurança do cofre dos Serviços de Recuperação.
Os backups que os invasores conseguirem acessar poderão estar indisponíveis para a recuperação dos negócios.

O armazenamento offline garante a transferência robusta de dados de backup sem usar nenhuma largura de banda de rede. O Backup do Azure dá suporte ao backup offline, que transfere os dados de backup iniciais offline sem o uso da largura de banda da rede. Ele fornece um mecanismo para copiar dados de backup em dispositivos físicos de armazenamento. Os dispositivos são então enviados para um datacenter do Azure próximo e carregados em um cofre dos Serviços de Recuperação.

O armazenamento imutável (como os Blobs do Azure) possibilita que você armazene objetos de dados comercialmente críticos em um estado WORM (Gravar uma vez, Leia muitas). Esse estado torna os dados não apagáveis e não modificáveis para um intervalo especificado pelo usuário.

A MFA (autenticação multifator) deve ser obrigatória para todas as contas de administrador, e é altamente recomendada para todos os usuários. O método preferencial é usar um aplicativo autenticador em vez de SMS ou voz sempre que possível. Ao configurar o Backup do Azure você pode configurar seus serviços de recuperação para habilitar a MFA usando um PIN de segurança gerado no portal do Azure. Isso garante que um PIN de segurança seja gerado para executar operações críticas, como atualizar ou remover um ponto de recuperação.
Defina pastas protegidas. Torna mais difícil para aplicativos não autorizados modificar os dados nessas pastas.
Examine as permissões:

Descobrir permissões amplas de gravação/exclusão em compartilhamentos de arquivos, SharePoint e outras soluções. "Amplo" significa que muitos usuários têm permissões de gravação/exclusão para dados comercialmente críticos.

Reduzir permissões amplas sem deixar de atender aos requisitos de colaboração de negócios.

Auditar e monitorar para garantir que as permissões amplas não reapareçam.
Reduz o risco de o acesso amplo permitir atividades de ransomware.
Proteger contra uma tentativa de phishing:

Realizar treinamento de reconhecimento de segurança regularmente para ajudar os usuários a identificar uma tentativa de phishing, e evitar clicar em algo que possa criar um ponto de entrada inicial para um comprometimento.

Aplique controles de filtragem de segurança ao email para detectar e minimizar a probabilidade de uma tentativa de phishing bem-sucedida.
O método mais comum usado por invasores para invadir uma organização é tentativas de phishing por email. O Exchange Online Protection (EOP) é o serviço de filtragem baseado em nuvem que protege sua organização contra spam, malware e outras ameaças de email. O EOP está incluído em todas as organizações da Microsoft 365 com caixas de correio do Exchange Online.

Um exemplo de controle de filtragem de segurança para email são os Links Seguros. Os Links Seguros são um recurso no Defender para Office 365 que fornece verificação e reescrita de URLs e links em mensagens de email durante o fluxo de email de entrada, além da verificação de tempo de clique de URLs e links em mensagens de email e outros locais (Microsoft Teams e documentos do Office). A verificação nos Links Seguros ocorre além da proteção antispam e antimalware regular em mensagens de email de entrada no EOP. A verificação dos Links Seguros pode ajudar a proteger sua organização contra links mal-intencionados usados em phishing e outros ataques.

Saiba mais sobre a proteção antiphishing.

O que fazer durante um ataque

Se você for atacado, sua lista de backup priorizado também se torna sua lista de restauração priorizada. Antes de restaurar, valide novamente se o backup é bom. Você pode procurar por malware dentro do backup.

Etapas a serem tomadas durante um ataque

Aplique essas melhores práticas durante um ataque.

Tarefa Detalhe
No início do ataque, entre em contato com o suporte de terceiros, especialmente o suporte de provedores de inteligência contra ameaças, de solução antimalware e de análise de malware. Esses contatos podem ser úteis se a variante de ransomware determinada tiver pontos fracos conhecidos ou ferramentas de descriptografia disponíveis.

A equipe de Resposta a Incidentes da Microsoft pode ajudar você a se proteger de ataques. A equipe de Resposta a Incidentes da Microsoft se envolve com clientes em todo o mundo, ajudando a proteger e fortalecer contra ataques antes que eles ocorram, além de investigar e corrigir quando um ataque ocorre.

A Microsoft também fornece serviços de Recuperação Rápida de Ransomware. Os serviços são fornecidos exclusivamente pela CRSP (Prática de Segurança de Recuperação de Comprometimento) Global da Microsoft. O foco dessa equipe durante um ataque de ransomware é restaurar o serviço de autenticação e limitar o impacto do ransomware.

O Resposta a Incidentes da Microsoft faz parte da linha de serviços de segurança Entrega de Soluções do Setor da Microsoft.
Entre em contato a autoridade policial mais próxima. Se você estiver nos Estados Unidos, entre em contato com o FBI para relatar uma violação por ransomware usando o Formulário de Referência de Denúncias IC3.
Tome medidas para remover o conteúdo de malware ou ransomware do seu ambiente e parar a disseminação.

Execute uma verificação antivírus completa e atual em todos os computadores e dispositivos suspeitos para detectar e remover o conteúdo associado ao ransomware.

Verifique dispositivos que estejam sincronizando dados ou os destinos das unidades de rede mapeadas.
É possível usar o Windows Defender ou (para clientes mais antigos) o Microsoft Security Essentials.

Uma alternativa que também ajudará você a remover o ransomware ou malware é a Malicious Software Removal Tool (MSRT).
Restaure primeiro os sistemas comercialmente críticos. Lembre-se de validar novamente se o backup é bom antes de fazer a restauração. Neste ponto, você não precisa restaurar tudo. Concentre-se nos cinco principais sistemas comercialmente críticos da sua lista de restauração.
Se você tiver backups offline, provavelmente poderá restaurar os dados criptografados depois de remover o conteúdo de ransomware (malware) do seu ambiente. Para evitar ataques futuros, verifique se o ransomware ou o malware não estão em seu backup offline antes de restaurar.
Identifique uma imagem de backup pontual segura que se saiba não estar infectada.

Se você usar o cofre dos Serviços de Recuperação, examine atentamente a linha do tempo do incidente para entender o ponto certo no tempo para restaurar um backup.
Para evitar futuros ataques, examine o backup para procurar a existência de ransomware ou de malware antes de restaurar.
Use um verificador de segurança e outras ferramentas para a restauração completa do sistema operacional, bem como cenários de restauração de dados. O Microsoft Safety Scanner é uma ferramenta de verificação criada para localizar e remover malware de computadores Windows. Basta baixá-lo, executar uma verificação para encontrar malwares e tentar reverter as alterações feitas por ameaças identificadas.
Certifique-se de que sua solução de antivírus ou de detecção e resposta de ponto de extremidade (EDR) esteja atualizada. Você também precisa ter patches atualizados. É preferível usar uma solução EDR, como o Microsoft Defender para Ponto de Extremidade.
Depois que os sistemas comercialmente críticos estiverem em execução, restaure outros sistemas.

À medida que os sistemas são restaurados, comece a coletar dados de telemetria para que você possa tomar decisões informadas sobre o que está sendo restaurado.
Os dados de telemetria devem ajudá-lo a identificar se o malware ainda está em seus sistemas.

Pós-ataque ou simulação

Após um ataque de ransomware ou uma simulação de resposta a incidentes, execute as seguintes etapas para melhorar seus planos de backup e restauração, bem como sua postura de segurança:

  1. Identifique lições aprendidas onde o processo não tenha funcionado bem (e oportunidades para simplificar, acelerar ou melhorar o processo)
  2. Faça a análise da causa raiz sobre os maiores desafios (em detalhes suficientes para garantir que as soluções resolvam o problema certo — considerando pessoas, processos e tecnologia)
  3. Investigue e corrija a violação original (chame a Equipe de detecção e resposta da Microsoft [anteriormente chamada DART] para te ajudar)
  4. Atualize sua estratégia de backup e restauração com base nas lições aprendidas e oportunidades – priorizando com base no maior impacto e nas etapas de implementação mais rápidas primeiro

Próximas etapas

Para obter as melhores práticas sobre como implantar a proteção contra ransomware, confira Proteção rápida contra ransomware e extorsão.

Principais informações do setor:

Microsoft Azure:

Microsoft 365:

Microsoft Defender XDR: