Primeiro passo: confirmar o ataque e isolar os sistemas
Quando se suspeita de ransomware, a prioridade é confirmar o que aconteceu. O ransomware nem sempre se anuncia com um ecrã pop-up dramático. Pode começar silenciosamente, com encriptação de ficheiros e espalhar-se lateralmente pela sua rede. Os primeiros sinais podem incluir ficheiros inacessíveis, falhas nos logins ou tráfego de saída invulgar.
Uma vez confirmado, isole imediatamente da rede os sistemas afectados. O tempo é essencial – o ransomware procura frequentemente maximizar os danos espalhar-se por unidades partilhadas e plataformas de nuvem.
Desligar os dispositivos, desactivar o Wi-Fi e as VPN e bloquear o acesso ao nível da firewall são medidas essenciais para evitar novas infecções. O pânico pode levar a erros. Ter uma abordagem calma e orientada por especialistas garante que se mantém concentrado e estratégico.
Ter uma equipa de cibersegurança à disposição permite que os especialistas forneçam orientações passo a passo em tempo real, isso ajuda a tomar as medidas certas para conter a ameaça sem destruir provas forenses.
Segundo passo: notificar as partes interessadas internas e reunir a sua equipa de resposta.
A resposta ao ransomware é mais do que um problema de TI – é um desafio para toda a empresa. Quando a contenção estiver em curso, informe as principais partes interessadas internas, incluindo a liderança executiva, as equipas jurídicas, de conformidade e de comunicação.
Nomeie um líder de resposta central, de preferência da sua equipa de gestão de crises, que possa coordenar os esforços e tomar decisões importantes rapidamente. Se já tiver estabelecido um plano de resposta a incidentes, é agora o momento de o activar.
Terceiro passo: proteger as cópias de segurança e evitar envolver os atacantes
Pode ser tentador clicar na nota de resgate ou iniciar o contacto com os atacantes para compreender as suas exigências. Isto é fortemente desaconselhado. Não só acarreta riscos legais e éticos, como pode comprometer as suas opções de recuperação ou torná-lo mais vulnerável a ataques secundários.
Em vez disso, proteja todas as cópias de segurança e registos. Identifique quando o ataque começou, que sistemas foram afectados e que dados podem estar em risco. Estas informações serão cruciais para a correção e para a elaboração de relatórios regulamentares.
Ter um parceiro especializado melhora este processo, fornece um apoio forense rápido para ajudar a avaliar o impacto através da identificação de indicadores de comprometimento do rastreio do vector de ataque e da determinação do tempo de permanência do atacante. Esta informação pode também ajudá-lo a compreender se ocorreu exfiltração de dados – um elemento cada vez mais comum do ransomware moderno.
Passo quatro: comunicar o incidente e considerar as obrigações legais
Depende do seu sector e localização, poder ter requisitos regulamentares ou legais para comunicar um incidente de ransomware. Isto pode incluir notificar o regulador do seu sector ou terceiros afectados.
É importante não atrasar estas conversas. Ter uma documentação clara e conhecimentos técnicos para apoiar os seus relatórios vai ajudar a que este processo decorra sem problemas.
Passo cinco: iniciar a recuperação com orientação especializada
Depois de o ransomware ter sido contido e os sistemas estabilizados, é altura de iniciar a recuperação. Isto envolve mais do que apenas restaurar ficheiros a partir de cópias de segurança. Tem de garantir que o acesso do atacante é removido, que as vulnerabilidades são corrigidas e que o seu ambiente é seguro para voltar a estar online.
É aqui que um parceiro de confiança faz toda a diferença. Os especialistas em resposta a incidentes trabalham em conjunto com as equipas de TI e cibernéticas para validar sistemas limpos, efectuar um restauro seguro e implementar novas protecções. A sua empresa não deve apenas recuperar; deve regressar mais forte.
Por que é que a velocidade e a experiência são importantes?
Os danos causados pelo ransomware são tanto operacionais e de reputação como financeiros – e, muitas vezes, todos de longa duração. Quanto mais rápida e eficaz for a resposta, mais se reduz o impacto a longo prazo.
As empresas de cibersegurança oferecem diferentes formas de garantir que as organizações estão preparadas para enfrentar o ransomware. Estas incluem a resposta a incidentes de emergência, em que as equipas podem ser rapidamente mobilizadas para ajudar a assumir o controlo, conter a ameaça e recuperar as operações, quer sejam remotas ou no local.
Outra opção é manter um serviço de retenção de resposta a incidentes, concebido para a preparação. Os serviços de retenção dão-lhe acesso garantido a especialistas de resposta quando mais precisa deles. Com SLAs predefinidos, informações sobre ameaças e familiaridade com o ambiente, estas ferramentas podem ajudar as empresas a responder de forma mais rápida e eficaz.
Prepare-se agora, responda melhor mais tarde
As primeiras 24 horas de um ataque de ransomware são muitas vezes caóticas – mas não têm de o ser. Com a preparação correta e o apoio especializado, pode agir rapidamente, reduzir os danos e regressar às operações normais com confiança. Quando os minutos são importantes, a experiência é a sua defesa mais forte.