Imagem: Shutterstoc
Durante a minha experiência nas trincheiras da Proteção de Dados, me deparei inúmeras vezes com o ransomware. Essas eram verdadeiras histórias de terror em que os empresários eram colocados à beira da falência ou perda total de reputação. Por isso, gostaria de compartilhar com vocês algumas reflexões sobre essas histórias de terror protagonizadas por esses tipos de ataques.
Nunca me esqueço a primeira vez que recebi uma ligação depois que um cliente foi atingido por um novo vírus estranho que criptografou todos os seus arquivos. Eles tentaram de tudo, mas não conseguiram descobrir como fazer o negócio voltar a funcionar. Essa experiência foi difícil, mas uma restauração rápida e completa do último backup resolveu o problema, e todos ficaram felizes.
Infelizmente, não acabou por aí, e não demorou muito para a próxima ligação acontecer algumas semanas depois. Eu não imaginava que essa história de terror seria longa e em constante evolução.
Não demorou muito para que os criadores do ransomware percebessem que os backups estavam atrapalhando seus esforços de extorsão e, portanto, precisavam ser neutralizados.
A sequência de chamados de ransomware terminou abruptamente quando, um dia, o cliente comunicou que seus backups também haviam sido criptografados. Os criminosos criptografaram o servidor de backup e o repositório NTFS localizado na unidade local do servidor de backup. Essa era uma configuração típica em muitas empresas de médio e pequeno porte. Felizmente, o cliente também tinha trabalhos de backup em fita, e conseguimos restaurar um backup um pouco mais antigo, mas ainda assim bom. Tornou-se cada vez mais aparente que, quando se tratava de proteção contra ransomware, quanto mais backups, melhor.
Após esse incidente, comecei a orientar os clientes a remover o servidor VBR do domínio de produção e fazer backups externos ou backups offline. No passado, pensávamos em backups externos principalmente do ponto de vista do desastre, em outras palavras, potenciais problemas físicos no data center local, mas com o advento do ransomware, a importância de manter uma cópia extra externa tornou-se essencial.
Mas, não demorou muito para termos nosso primeiro caso de backups em nuvem excluídos. As gangues de ransomware descobriram como excluir os trabalhos de cópia de backup depois que assumiram o controle do servidor. Em resposta a isso e às ameaças internas, adicionamos uma proteção interna, que moveria todos os backups excluídos para uma lixeira oculta. No entanto, os criminosos foram espertos e, em alguns casos, conseguiram reduzir a retenção de backup e criptografar os últimos backups, o que afetou esse mecanismo de defesa. Precisávamos de algo mais!
O sistema de arquivos Linux tem suportado o bit imutável há algum tempo. Ainda assim, isso só foi combinado recentemente com backups para criar backups sólidos e imóveis.
Agora, mesmo que o criminoso assumisse o controle do servidor, ele ainda não seria capaz de excluir os backups. A imutabilidade se tornou o alho para os nossos vampiros de ransomware!
Infelizmente, as histórias de terror não terminaram aí. Nossos inimigos assustadores criaram métodos para minar as defesas de proteção de dados. Ao colocar ransomware inativo nos sistemas atacados, eles poderiam infectar os backups de forma que, mesmo que não pudessem excluí-los, eles simplesmente reinfectariam a vítima logo após todas as restaurações terem sido concluídas.
Este foi talvez um dos piores e mais assustadores cenários, pois as montanhas-russas emocionais de ter que executar várias sessões de restauração por vários dias seguidos desgastaram demais as equipes de TI. Foram batalhas intensas usando métodos de detecção de ransomware e antivírus, resultando em mais tempo de inatividade e estresse para os clientes afetados.
Quando se trata de ransomware, o Halloween não acontece uma vez por ano – é uma ameaça diária e repetitiva. A brincadeira de gostosuras ou travessuras das gangues de ransomware é lucrativa demais para eles desistirem e, a cada nova defesa, eles tentam encontrar algum tipo de brecha para continuar em seus caminhos malignos, mas altamente lucrativos.
O ZTDR, ou Zero Trust Data Resilience, é a estratégia ideal para espantar os demônios do ransomware. Isso inclui presumir a violação, segmentar o armazenamento de backup longe de outros componentes da configuração de proteção de dados, testar backups para infecções com varredura em linha e regras YARA e, claro, certificar-se de que todos os seus backups sejam imutáveis.
Siga o IT Forum no LinkedIn e fique por dentro de todas as notícias!
A pressão por controle de custos vem alterando a dinâmica das áreas de tecnologia nas…
O mercado brasileiro de fintechs passou por uma transformação no perfil dos investimentos em 2025.…
O avanço da inteligência artificial e o uso estratégico de dados vêm transformando a forma…
Por Ramon Ribeiro Quase metade do código produzido por assistentes de inteligência artificial contém vulnerabilidades…
Peça a um modelo de inteligência artificial que gere a imagem de uma cidade, sem…
O IT Forum apresenta, semanalmente, os novos executivos e os principais anúncios de contratações, promoções e mudanças…