Muitos usuários pensam no OneDrive como armazenamento de backup na nuvem. Eles tendem a pensar que os arquivos armazenados no OneDrive são invulneráveis à perda e à corrupção. Em outras palavras, alguns acreditam que arquivos armazenados em uma nuvem pública não podem ser danificados por ransomware, ao contrário de arquivos armazenados em discos rígidos de computadores locais e servidores on-premises. Isso não é completamente verdade! Arquivos armazenados no OneDrive podem ser atacados por ransomware, criptografados e perdidos como resultado.
A popularidade dos ataques de ransomware está crescendo a cada ano. No entanto, se você seguir as recomendações e observar as políticas de segurança, poderá manter seus dados seguros mesmo ao armazená-los no OneDrive. Esta postagem no blog aborda estratégias para proteger dados no OneDrive e explica como se proteger contra ataques de ransomware.
Sobre o OneDrive e Ransomware
O ransomware pode infectar o OneDrive? Sim, arquivos armazenados no OneDrive podem ser infectados e criptografados com ransomware nestes casos:
- O OneDrive está montado em uma pasta local em um computador local, e os arquivos armazenados no OneDrive estão sincronizados com a pasta local associada. Se um computador local for infectado com ransomware, o ransomware criptografa todos os arquivos acessíveis, incluindo os arquivos armazenados na pasta sincronizada com o OneDrive. Como resultado, se você acessar o OneDrive por meio de uma interface web, verá arquivos criptografados (ou seja, corrompidos). O ransomware pode começar a criptografar o OneDrive e, em seguida, criptografa outros drives e todas as localizações de armazenamento acessíveis.
- Se um invasor obtiver suas credenciais, os arquivos acessíveis a partir da sua conta de usuário podem ser criptografados com ransomware.
- Clicar em links de phishing causa o download e execução de vírus, malware e ransomware no computador da vítima. O ransomware corrompe arquivos aos quais ele tem acesso.
- Complementos maliciosos e extensões que solicitam permissões para acessar o OneDrive são perigosos e podem ser pontos de entrada para uma infecção por ransomware. Leia atentamente a descrição dos complementos e extensões e verifique o fornecedor antes de instalá-los.
Quão seguro é o OneDrive? O OneDrive é seguro? Quão seguro é o OneDrive? Estas perguntas são populares entre novos usuários do Microsoft 365. O OneDrive é seguro o suficiente. No entanto, você deve saber como se proteger contra ataques de ransomware, seguir recomendações de segurança e saber o que fazer se você perceber que o OneDrive foi invadido. A Microsoft apresentou um novo recurso de detecção de ransomware integrado, que detecta atividades suspeitas como exclusões em massa ou criptografia de arquivos armazenados no OneDrive. O usuário é notificado com uma mensagem de alerta no dispositivo do usuário e por e-mail. Uma lista de recomendações também é exibida. Mas o que você quer é evitar que o ransomware do OneDrive corrompa seus arquivos. Leia como proteger pastas contra ransomware na próxima seção deste post de blog.
Como Proteger o OneDrive Contra um Ataque de Ransomware
Nesta seção, eu explico como se proteger contra ransomware e defino estratégias de proteção contra ransomware para o OneDrive. Seguir essas recomendações reduz o risco de ser infectado por ransomware e perder dados.
Proteger credenciais
Proteja as credenciais da conta do administrador do Microsoft 365. Ao roubar as credenciais de um administrador, um atacante pode roubar e danificar todos os dados de uma organização armazenados no armazenamento do OneDrive (incluindo todos os dados de todos os usuários na organização).
Proteja as credenciais dos usuários. Roubar as contas dos usuários permite que os atacantes acessem seus dados pessoais e compartilhados, distribuam ransomware e infectem arquivos. Quando os arquivos armazenados no armazenamento compartilhado do OneDrive são infectados, outros usuários que acessam o armazenamento compartilhado também podem ser infectados.
Habilite a autenticação em duas etapas. O Microsoft 365 suporta autenticação multifatorial. Esta etapa de segurança adicional pode ajudar os usuários a proteger suas contas contra comprometimento e roubo de credenciais. É recomendável que você use autenticação multifatorial ou verificação em duas etapas para proteger as contas do Microsoft 365 com permissões administrativas. Aqui está um post de blog sobre autenticação em duas etapas para o Microsoft 365.
Proteja cada computador
Proteja os computadores em sua organização. Instale e configure software antivírus e antimalware. Seguir esta recomendação reduz o risco de ransomware infectar os computadores dos usuários e os arquivos armazenados em pastas do OneDrive sincronizadas nesses computadores (armazenamento do OneDrive mapeado para pastas locais). Não se esqueça dos servidores e máquinas virtuais.
Bloqueie a execução de arquivos armazenados em %appdata%, %localappdata%. Por padrão, esses diretórios são usados por aplicativos no Windows para armazenar dados. Arquivos temporários e dados baixados podem estar localizados lá. Quando arquivos de ransomware são baixados, eles podem ser mascarados e ocultados nesses diretórios e, em seguida, podem ser executados.
Bloqueie macros em documentos do Microsoft Office. Macros raramente são usadas para tarefas comerciais, mas são uma fonte de problemas sérios. Um método de infecção amplamente utilizado é distribuir documentos com macros maliciosas, que lançam um ataque de ransomware para infectar um computador e, em seguida, se espalhar por uma rede para infectar outros computadores.
Atualize o software e instale patches de segurança para corrigir vulnerabilidades conhecidas no software que podem ser usadas por ransomware para penetrar e infectar um sistema. Você pode habilitar atualizações automáticas de software para o Windows e aplicativos. Se a sua configuração de segurança estiver imperfeita, os atacantes podem usar vulnerabilidades de software não corrigidas para iniciar um ataque de ransomware. Por isso, instalar patches é importante.
Eduque os usuários
Eduque os usuários para reconhecerem ataques de phishing. Os atacantes frequentemente presumem que os usuários não têm experiência e que eles baixam todos os arquivos anexados a emails, abrem arquivos e clicam em todos os links. Nossa tarefa é informar os usuários sobre as ameaças e ensiná-los a identificar conteúdo suspeito.
O vetor de ataque de ransomware mais popular é enviar e-mails de phishing aos usuários. Um link malicioso é projetado para parecer com um link legítimo, mas redireciona o usuário para baixar e instalar ransomware. Passe o mouse sobre o link e verifique a ortografia no endereço URL. Se mesmo um caractere estiver errado, evite clicar no link. O endereço de e-mail do remetente, assim como os links, pode ser falsificado. Se você não conhece um remetente e não deseja receber mensagens deste remetente, é melhor pular ou rejeitar o e-mail deste remetente. Não baixe e abra arquivos anexados a mensagens de e-mail. Lembre-se da ameaça de abrir documentos do Word/Excel com macros.
Links prejudiciais em mensagens de e-mail e páginas da web falsas são perigosos. Os atacantes podem criar páginas falsas e enviar links em mensagens de e-mail para essas páginas falsas. Uma página falsa parece com a página original, mas clicar em elementos na página ou inserir credenciais pode levar à perda de uma conta ou infecção com ransomware.
Mesmo que o endereço do site seja real e legítimo, esteja ciente de que os atacantes podem hackear sites e fazer injeções maliciosas nesse site. Após visitar um site desses, um usuário pode ser infectado com ransomware. Um bom software antivírus que esteja atualizado pode prevenir infecções nesse caso.
Um atacante pode usar técnicas de engenharia social e rótulos como “urgente”, “importante”, etc. em mensagens de e-mail para pressionar uma vítima e desviar sua atenção de verificar o conteúdo. Tenha cuidado ao receber mensagens do Skype e de outros serviços. Tenha em mente que um atacante pode hackear uma conta de usuário e enviar mensagens a partir dessa conta. Uma conta de usuário é real neste caso, mas um link ou arquivo enviado da conta hackeada pode representar uma ameaça.
Quando os usuários são treinados para reconhecer conteúdo suspeito, os riscos de um ataque de ransomware por meio de e-mails de phishing são significativamente menores. É sempre melhor prevenir ataques de ransomware do OneDrive do que recuperar arquivos corrompidos.
Use sistemas de proteção de e-mail
Use a Proteção Online do Exchange. Essa ferramenta nativa do Microsoft 365 permite configurar filtros de proteção adicionais, como filtro de links seguros e filtro de anexos seguros.
Configure políticas anti-phishing. A Proteção Online do Exchange pode determinar remetentes confiáveis, remetentes suspeitos, arquivos anexados que representam uma ameaça e links maliciosos e falsificados para sites infectados. Remetentes falsificados e e-mails indesejados podem ser bloqueados nas configurações.
Bloqueie conteúdo ativo em arquivos anexados, como macros em documentos do Word/Excel, VBScript e JavaScript. Leia o post do blog sobre Proteção Online do Exchange para mais informações sobre esse recurso.
Use sistemas de proteção na nuvem
Ative o Microsoft 365 Defender em seu ambiente Microsoft 365. O Microsoft 365 Defender é um novo nome do Office 365 Proteção Avançada contra Ameaças (Microsoft Defender para Office 365). Este recurso ajuda a reduzir o risco de infecção por ransomware para os usuários do Microsoft 365 em sua organização. As principais características do Microsoft 365 Defender são a detecção inteligente de ameaças, investigação automatizada e proteção integrada contra ataques sofisticados de ransomware. O Microsoft 365 Defender pode ser configurado no centro de segurança do Microsoft 365. Quando os usuários são educados e o software inteligente está habilitado, o nível de proteção é muito mais alto.
Use versionamento
Habilite o versionamento (histórico de versões) nas configurações do OneDrive. Se o ransomware criptografar objetos armazenados no OneDrive, apenas a versão mais recente dos arquivos será criptografada. Você pode selecionar uma versão anterior do arquivo e recuperar os arquivos necessários. Não se esqueça de que antes de recuperar os arquivos, você deve remover o ransomware dos computadores infectados para evitar a criptografia dos arquivos novamente. Note que recuperar milhares de arquivos recuperando versões anteriores dos arquivos é demorado, e ter um backup adequado do OneDrive economizará tempo e recursos neste caso. O histórico de versões do OneDrive permite que você recupere arquivos armazenados no OneDrive para qualquer versão alterada nos últimos 30 dias. Verifique as configurações de retenção para arquivos excluídos (arquivos armazenados na lixeira) do OneDrive.
Configurar políticas de retenção. As políticas de retenção do Microsoft 365 definem por quanto tempo os dados são preservados após serem excluídos antes que esses dados sejam excluídos permanentemente. Observe que armazenar dados retidos na nuvem utiliza espaço de armazenamento, o que pode resultar em custos adicionais.
Faça backup dos dados armazenados no OneDrive
Faça backup dos dados armazenados no OneDrive. Algumas das opções acima podem não estar disponíveis para todos os planos de assinatura do Microsoft 365 e provavelmente estão disponíveis apenas para os planos de assinatura mais avançados. A Microsoft permite que você solicite suporte e restaure todos os dados no armazenamento em nuvem do Office 365 dentro de duas semanas após um incidente de perda de dados, mas não há opção de recuperação granular e você não pode selecionar os objetos necessários para restaurar.
Armazene os backups na nuvem ou localmente em um local seguro. Um repositório de backups deve ser bem protegido e não compartilhado com outros usuários (ele deve ser acessível apenas pelo software de backup e administradores).
Faça backup dos dados com o NAKIVO Backup & Replication
Use o NAKIVO Backup & Replication para proteger o OneDrive. O NAKIVO Backup & Replication suporta o backup de dados do Microsoft 365, incluindo dados armazenados no OneDrive, Exchange Online e SharePoint Online. Você pode fazer backup dos dados do OneDrive e criar até 4.000 pontos de recuperação, e posteriormente restaurar as versões necessárias dos arquivos usando esses pontos de recuperação. A recuperação granular permite que você recupere arquivos e pastas personalizados dos usuários para a localização original ou uma localização personalizada. Uma instância do NAKIVO Backup & Replication pode proteger milhares de contas de usuário do Office 365. Os dados do OneDrive são backupados para repositórios de backup locais armazenados em servidores locais. A configuração é realizada na interface web intuitiva.
Leia mais postagens de blog sobre recuperação de ransomware, ransomware ataques em dispositivos NAS para aprender mais sobre o princípio de funcionamento e proteção contra ransomware.
Como Recuperar Arquivos do OneDrive
Se seus arquivos foram criptografados por ransomware, nunca pague um resgate. Pagar um resgate incentiva os atacantes a lançarem mais ataques para obterem mais dinheiro. Se você pagar o resgate, não tem garantias de que irá recuperar seus arquivos totalmente ou parcialmente. Se perceber que seus arquivos do OneDrive foram criptografados após um ataque de ransomware, você deve recuperar os dados usando ferramentas nativas da Microsoft ou de um backup usando software de proteção de dados de terceiros.
Primeiramente, remova o ransomware instalado em todos os computadores da sua organização. Se os recursos nativos do Microsoft 365 estiverem ativados para as contas de usuário na sua organização, recupere os arquivos do OneDrive de versões anteriores ou da lixeira (incluindo a segunda etapa da lixeira). Se você tiver um backup, restaure os dados a partir dele.
Leia mais sobre backup e recuperação do OneDrive com o NAKIVO Backup & Replication neste post do blog.
Conclusão
Este post do blog abordou estratégias para proteger o OneDrive contra ataques de ransomware e forneceu algumas recomendações de alto nível que podem ajudá-lo a prevenir ataques de ransomware ao OneDrive. Você deve proteger seus dados tecnicamente – configurar configurações de segurança para todo o software usado em todas as máquinas e configurar seu backup de dados. Além disso, você deve educar os usuários sobre como reconhecer possíveis tentativas de iniciar ataques de ransomware, pois os atacantes muitas vezes usam um dos poucos métodos para iniciar ataques de ransomware ao OneDrive através de usuários regulares.
O backup é o método mais confiável para restaurar dados se ransomware corromper seus arquivos. Use o NAKIVO Backup & Replication para proteger seus dados armazenados no OneDrive.
Source:
https://www.nakivo.com/blog/protecting-onedrive-against-ransomware/