Estratégias para Proteger o OneDrive Contra Ransomware

Muitos usuários pensam no OneDrive como armazenamento de backup na nuvem. Eles tendem a pensar que os arquivos armazenados no OneDrive são invulneráveis à perda e corrupção. Em outras palavras, alguns acreditam que os arquivos armazenados em uma nuvem pública não podem ser danificados por ransomware, ao contrário dos arquivos armazenados em discos rígidos de computadores locais e servidores no local. Isso não é completamente verdade! Arquivos armazenados no OneDrive podem ser atacados por ransomware, criptografados e perdidos como resultado.

A popularidade dos ataques de ransomware está crescendo a cada ano. No entanto, se você seguir as recomendações e observar as políticas de segurança, pode manter seus dados seguros mesmo ao armazená-los no OneDrive. Esta postagem no blog aborda estratégias para proteger dados no OneDrive e explica como se proteger contra ataques de ransomware.

Sobre o OneDrive e Ransomware

O ransomware pode infectar o OneDrive? Sim, arquivos armazenados no OneDrive podem ser infectados e criptografados com ransomware nestes casos:

• O OneDrive está montado em uma pasta local em um computador local, e os arquivos armazenados no OneDrive são sincronizados com a pasta local associada. Se um computador local estiver infectado com ransomware, o ransomware criptografa todos os arquivos acessíveis, incluindo arquivos armazenados na pasta sincronizada com o OneDrive. Como resultado, se você acessar o OneDrive em uma interface da web, verá arquivos criptografados (ou seja, corrompidos). O ransomware pode começar a criptografar o OneDrive e, em seguida, criptografa outros drives e todas as localizações de armazenamento acessíveis.
• Se um invasor obtiver suas credenciais, os arquivos acessíveis a partir da sua conta de usuário podem ser criptografados com ransomware.
• Clicar em links de phishing causa o download e a execução de vírus, malware e ransomware no computador da vítima. O ransomware corrompe arquivos aos quais ele tem acesso.
• Complementos e extensões maliciosos que solicitam permissões para acessar o OneDrive são perigosos e podem ser pontos de entrada para uma infecção por ransomware. Leia atentamente a descrição dos complementos e extensões e verifique o fornecedor antes de instalá-los.

Quão seguro é o OneDrive? O OneDrive é seguro? Quão seguro é o OneDrive? Essas perguntas são populares entre novos usuários do Microsoft 365. O OneDrive é seguro o suficiente. No entanto, você deve saber como se proteger contra ataques de ransomware, seguir recomendações de segurança e saber o que fazer se perceber que o OneDrive foi hackeado. A Microsoft apresentou um novo recurso de detecção de ransomware integrado, que detecta atividades suspeitas como exclusões em massa ou criptografia de arquivos armazenados no OneDrive. O usuário é notificado com uma mensagem de alerta no dispositivo do usuário e por e-mail. Uma lista de recomendações também é exibida. Mas o que você deseja é evitar que o ransomware do OneDrive corrompa seus arquivos. Leia como proteger pastas contra ransomware na próxima seção deste post de blog.

Como Proteger o OneDrive Contra um Ataque de Ransomware

Nesta seção, explico como se proteger contra ransomware e defino estratégias de proteção contra ransomware para o OneDrive. Seguir estas recomendações reduz o risco de ser infectado por ransomware e perder dados.

Proteger credenciais

Proteja as credenciais da conta de administrador do Microsoft 365. Ao roubar as credenciais de um administrador, um atacante pode roubar e danificar todos os dados de uma organização armazenados no armazenamento do OneDrive (incluindo todos os dados de todos os usuários na organização).

Proteja as credenciais dos usuários. Roubar as contas dos usuários permite que os atacantes acessem seus dados pessoais e dados compartilhados, distribuam ransomware e infectem arquivos. Quando os arquivos armazenados no armazenamento compartilhado do OneDrive são infectados, outros usuários que acessam o armazenamento compartilhado também podem ser infectados.

Ative a autenticação em duas etapas. O Microsoft 365 suporta autenticação multifator. Esta etapa de segurança adicional pode ajudar os usuários a proteger suas contas contra comprometimento e roubo de credenciais. É recomendado que você use autenticação multifator ou verificação em duas etapas para proteger contas do Microsoft 365 com permissões administrativas. Aqui está um post de blog sobre autenticação em duas etapas para o Microsoft 365.

Proteja cada computador

Proteja os computadores em sua organização. Instale e configure software antivírus e antimalware. Seguir essa recomendação reduz o risco de ransomware infectar os computadores dos usuários e os arquivos armazenados em pastas do OneDrive sincronizadas nesses computadores (armazenamento do OneDrive mapeado para pastas locais). Não se esqueça dos servidores e máquinas virtuais.

Bloqueie a execução de arquivos armazenados em %appdata%, %localappdata%. Por padrão, esses diretórios são usados por aplicativos no Windows para armazenar dados. Arquivos temporários e dados baixados podem estar localizados lá. Quando arquivos de ransomware são baixados, eles podem ser mascarados e ocultados nesses diretórios, e então podem ser executados.

Bloqueie macros em documentos do Microsoft Office. Macros raramente são usadas para tarefas comerciais, mas são uma fonte de problemas sérios. Um método de infecção amplamente utilizado é distribuir documentos com macros maliciosas, que lançam um ataque de ransomware para infectar um computador e depois se espalhar por uma rede para infectar outros computadores.

Atualize o software e instale patches de segurança para corrigir vulnerabilidades de software conhecidas que podem ser usadas por ransomware para penetrar e infectar um sistema. Você pode habilitar atualizações automáticas de software para o Windows e aplicativos. Se sua configuração de segurança for imperfeita, os atacantes podem usar vulnerabilidades de software não corrigidas para iniciar um ataque de ransomware. Por isso, instalar patches é importante.

Eduque os usuários

Eduque os usuários para reconhecer ataques de phishing. Os atacantes frequentemente presumem que os usuários não têm experiência e que eles baixam todos os arquivos anexados a e-mails, abrem arquivos e clicam em todos os links. Nossa tarefa é informar os usuários sobre ameaças e ensiná-los a identificar conteúdo suspeito.

O vetor de ataque de ransomware mais popular é enviar e-mails de phishing para os usuários. Um link malicioso é projetado para parecer um link legítimo, mas redireciona o usuário para baixar e instalar ransomware. Passe o mouse sobre o link e verifique a ortografia no endereço URL. Se mesmo um caractere estiver errado, evite clicar no link. O endereço de e-mail de um remetente, da mesma forma que os links, pode ser falsificado. Se você não conhece um remetente e não deseja receber mensagens deste remetente, é melhor pular ou rejeitar o e-mail deste remetente. Não baixe e não abra arquivos anexados a mensagens de e-mail. Lembre-se da ameaça de abrir documentos Word/Excel com macros. **

**Links prejudiciais em mensagens de e-mail e páginas da web falsas são perigosos. Os atacantes podem criar páginas falsas e enviar links em mensagens de e-mail para essas páginas falsas. Uma página falsa parece com a página original, mas clicar em elementos na página ou inserir credenciais pode levar à perda de uma conta ou infecção por ransomware. **

**Mesmo que o endereço do site seja real e legítimo, esteja ciente de que os atacantes podem hackear sites e fazer injeções maliciosas nesse site. Após visitar tal site, um usuário pode ser infectado por ransomware. Um bom software antivírus atualizado pode prevenir a infecção neste caso. **

**Um atacante pode usar técnicas de engenharia social e rótulos como “urgente”, “importante”, etc. em mensagens de e-mail para apressar uma vítima e desviar sua atenção do conteúdo. Tenha cuidado ao receber mensagens do Skype e de outros serviços. Lembre-se de que um atacante pode hackear uma conta de usuário e enviar mensagens a partir dessa conta. Uma conta de usuário é real neste caso, mas um link ou arquivo enviado da conta hackeada pode constituir uma ameaça.

Quando os usuários são treinados para reconhecer conteúdo suspeito, os riscos de um ataque de ransomware por meio de e-mails de phishing são significativamente menores. É sempre melhor prevenir ataques de ransomware no OneDrive do que recuperar arquivos corrompidos.

Use sistemas de proteção de e-mail

Use a Proteção Online do Exchange. Essa ferramenta nativa do Microsoft 365 permite que você configure filtros de proteção adicionais, como filtro de links seguros e filtro de anexos seguros.

Configure políticas anti-phishing. A Proteção Online do Exchange pode determinar remetentes confiáveis, remetentes suspeitos, arquivos anexados que representam uma ameaça e links falsificados e maliciosos para sites infectados. Remetentes falsificados e e-mails indesejados podem ser bloqueados nas configurações.

Bloqueie conteúdo ativo em arquivos anexados, como macros em documentos do Word/Excel, VBScript e JavaScript. Leia o post do blog sobre Proteção Online do Exchange para obter mais informações sobre esse recurso.

Use sistemas de proteção na nuvem

Ative o Microsoft 365 Defender em seu ambiente Microsoft 365. O Microsoft 365 Defender é um novo nome do Office 365 Advanced Threat Protection (Microsoft Defender para Office 365). Este recurso ajuda a reduzir o risco de infecção por ransomware para os usuários do Microsoft 365 em sua organização. As principais características do Microsoft 365 Defender são a detecção inteligente de ameaças, investigação automatizada e proteção integrada contra ataques sofisticados de ransomware. O Microsoft 365 Defender pode ser configurado no centro de segurança do Microsoft 365. Quando os usuários são educados e o software inteligente está habilitado, o nível de proteção é muito mais alto.

Use versionamento

Ative o versionamento (histórico de versões) nas configurações do OneDrive. Se o ransomware criptografar objetos armazenados no OneDrive, apenas a versão mais recente dos arquivos será criptografada. Você pode selecionar uma versão anterior do arquivo e recuperar os arquivos necessários. Não se esqueça de que antes de recuperar os arquivos, você deve remover o ransomware dos computadores infectados para evitar a criptografia dos arquivos novamente. Note que recuperar milhares de arquivos recuperando versões anteriores dos arquivos é demorado, e ter um backup adequado do OneDrive economizará tempo e recursos neste caso. O histórico de versões do OneDrive permite que você recupere arquivos armazenados no OneDrive para qualquer versão alterada nos últimos 30 dias. Verifique as configurações de retenção para arquivos excluídos (arquivos armazenados na lixeira) no OneDrive.

Configure políticas de retenção. As políticas de retenção do Microsoft 365 definem quanto tempo os dados são preservados após serem excluídos antes que esses dados sejam excluídos permanentemente. Note que armazenar dados retidos na nuvem usa espaço de armazenamento, o que pode resultar em custos adicionais.

Faça backup de dados armazenados no OneDrive

Faça backup de dados armazenados no OneDrive. Algumas das opções acima podem não estar disponíveis para todos os planos de subscrição do Microsoft 365 e provavelmente estão disponíveis apenas para os planos de subscrição mais avançados. O Microsoft permite que você solicite suporte e restaure todo o seu dado no armazenamento na nuvem do Office 365 em dois semanas a partir de um incidente de perda de dados, mas não existe opção para recuperação granular e você não pode selecionar os objetos necessários para restaurar.

Armazene backups na nuvem ou no local em um local seguro. Um repositório de backup deve estar bem protegido e não compartilhado com outros usuários (deve ser acessível apenas por software de backup e administradores).

Faça backup de dados com NAKIVO Backup & Replication.

Use NAKIVO Backup & Replication para proteger o OneDrive. O NAKIVO Backup & Replication suporta backup de dados do Microsoft 365, incluindo dados armazenados no OneDrive, Exchange Online e SharePoint Online. Você pode fazer backup dos dados do OneDrive e criar até 4.000 pontos de recuperação, e posteriormente restaurar as versões necessárias dos arquivos usando esses pontos de recuperação. A recuperação granular permite recuperar arquivos e pastas personalizados dos usuários para a localização original ou uma localização personalizada. Uma instância do NAKIVO Backup & Replication pode proteger milhares de contas de usuário do Office 365. Os dados do OneDrive são salvos em repositórios de backup locais armazenados em servidores locais. A configuração é realizada na interface web intuitiva.

Leia mais postagens de blog sobre recuperação de ransomware, ataques de ransomware em dispositivos NAS para aprender mais sobre o princípio de funcionamento e proteção contra ransomware.

Como Recuperar Arquivos do OneDrive

Seus arquivos foram criptografados por um ransomware, nunca pague um resgate. Pagar um resgate incentiva os atacantes a lançar mais ataques para obter mais dinheiro. Se você pagar o resgate, não tem garantias de que recuperará seus arquivos totalmente ou parcialmente. Se perceber que seus arquivos do OneDrive foram criptografados após um ataque de ransomware, você deve recuperar os dados usando as ferramentas nativas da Microsoft ou a partir de um backup usando software de proteção de dados de terceiros.

Primeiro, remova o ransomware instalado em todos os computadores da sua organização. Se os recursos nativos do Microsoft 365 estiverem ativados para as contas de usuário na sua organização, recupere os arquivos do OneDrive de versões anteriores ou da lixeira (incluindo a segunda etapa da lixeira). Se você tiver um backup, restaure os dados a partir dele.

Leia mais sobre backup e recuperação do OneDrive com o NAKIVO Backup & Replication neste post do blog.

Conclusão

Este post do blog abordou estratégias para proteger o OneDrive contra ataques de ransomware e deu algumas recomendações de alto nível que podem ajudar a prevenir ataques de ransomware ao OneDrive. Você deve proteger seus dados tecnicamente – configurar as configurações de segurança para todo o software usado em todas as máquinas e configurar seu backup de dados. Além disso, você deve educar os usuários sobre como reconhecer possíveis tentativas de iniciar ataques de ransomware, pois os atacantes frequentemente usam um dos poucos métodos para iniciar ataques de ransomware ao OneDrive através de usuários regulares.

O backup é o método mais confiável para restaurar dados se o ransomware corromper seus arquivos. Use o NAKIVO Backup & Replication para proteger seus dados armazenados no OneDrive.