{"id":774293,"date":"2026-03-23T11:52:28","date_gmt":"2026-03-23T11:52:28","guid":{"rendered":"https:\/\/www.ninjaone.com\/?p=774293"},"modified":"2026-03-23T11:52:28","modified_gmt":"2026-03-23T11:52:28","slug":"msp-incident-response-planning-ransomware","status":"publish","type":"post","link":"https:\/\/www.ninjaone.com\/pt-br\/blog\/msp-incident-response-planning-ransomware\/","title":{"rendered":"MSPs: 6 chaves para sobreviver a um surto de ransomware em toda a sua base de clientes"},"content":{"rendered":"

Com infec\u00e7\u00f5es em todo o cliente sendo relatadas semanalmente, os MSPs precisam equilibrar a preven\u00e7\u00e3o com o planejamento de resposta para que, quando o pior acontecer, eles estejam prontos.<\/h4>\n

Na semana passada, tivemos o prazer de realizar um webinar com o CEO da Huntress Labs<\/a>, Kyle Hanslovan, abordando um t\u00f3pico que est\u00e1 na mente de todos: ransomware<\/a>. Especificamente, incidentes de ransomware em que os invasores comprometeram os MSPs, usaram suas credenciais para sequestrar as ferramentas de software leg\u00edtimas do MSP e abusaram dessas ferramentas para implantar ransomware em toda a sua base de clientes.<\/p>\n

Kyle j\u00e1 trabalhou pessoalmente com quase 40 MSPs que foram v\u00edtimas desses ataques. Como resultado, ele viu e ouviu em primeira m\u00e3o o que os propriet\u00e1rios e t\u00e9cnicos passam, e aprendeu o que separa aqueles que conseguem se recuperar com sucesso daqueles que n\u00e3o conseguem.<\/p>\n

Se voc\u00ea perdeu o webinar ao vivo, pode assistir a uma grava\u00e7\u00e3o a qualquer momento aqui.<\/a><\/p>\n

\"\"<\/a>
\nAntes de nos aprofundarmos nas conclus\u00f5es de Kyle, uma r\u00e1pida vis\u00e3o geral: Esses ataques t\u00eam se intensificado rapidamente desde junho. Eles afetaram MSPs grandes e pequenos, provocando tempo de inatividade e interrup\u00e7\u00f5es para uma ampla gama de clientes de MSP, desde 22 munic\u00edpios do Texas<\/a> at\u00e9 centenas de consult\u00f3rios odontol\u00f3gicos<\/a> nos EUA.<\/p>\n

\"ataques<\/a><\/p>\n

Clique na imagem para expandir<\/em><\/p>\n

\u00c9 importante observar que, com exce\u00e7\u00e3o dos ataques de fevereiro que envolveram um plug-in ConnectWise ManagedITSync desatualizado para o Kaseya VSA, nenhum desses incidentes parece ter envolvido invasores que exploraram uma vulnerabilidade no software MSP. Em vez disso, eles envolviam o abuso de credenciais fracas ou roubadas, que os invasores usavam para sequestrar qualquer ferramenta de acesso remoto ou RMM que o MSP estivesse usando.<\/p>\n

Por esse motivo, a ativa\u00e7\u00e3o da autentica\u00e7\u00e3o de dois fatores \u00e9 amplamente vista como um impedimento eficaz para esses ataques.\u00a0<\/strong>Muitos fornecedores(inclusive a NinjaOne<\/a>) j\u00e1 tornaram a 2FA obrigat\u00f3ria para seus usu\u00e1rios ou est\u00e3o em processo de torn\u00e1-la.<\/p>\n

 <\/p>\n

\n

Observa\u00e7\u00e3o: Se voc\u00ea estiver usando RMM ou software de acesso remoto e n\u00e3o tiver configurado a 2FA, pare de ler e fa\u00e7a isso agora. Na verdade, n\u00e3o se trata de uma quest\u00e3o de se<\/em> voc\u00ea ver\u00e1 um desses ataques, mas de quando.\u00a0<\/strong><\/h3>\n<\/blockquote>\n

 <\/p>\n

J\u00e1 que estamos falando de preven\u00e7\u00e3o, aqui est\u00e3o duas recomenda\u00e7\u00f5es adicionais que s\u00e3o superb\u00e1sicas, mas incrivelmente eficazes. Na verdade, eles podem ajudar a mant\u00ea-lo protegido contra a maioria dos ataques de ransomware mais comuns da atualidade:<\/p>\n

    \n
  1. Certifique-se de que n\u00e3o esteja expondo o RDP. <\/strong>De acordo com a Coveware, o RDP \u00e9 o ponto de acesso inicial mais comum para os atacantes de ransomware<\/a>, sendo respons\u00e1vel por 59% dos incidentes estudados no segundo trimestre de 2019. Voc\u00ea pode encontrar um \u00f3timo guia para proteger o acesso RDP aqui.<\/a><\/li>\n
  2. Bloqueie macros em documentos do Microsoft Office baixados da Internet.\u00a0<\/strong>O segundo vetor de ataque mais popular identificado pela Coveware foi o de documentos de phishing, e o tipo mais comum de isca de phishing ainda \u00e9 um documento do Office criado para induzir o usu\u00e1rio a ativar macros. \u00c9 assim que as v\u00edtimas s\u00e3o infectadas pelo Emotet, que implementa o Trickbot, que implementa o Ryuk<\/a>, a variante de ransomware mais ativa do segundo trimestre de 2019, de acordo com a Coveware. A maneira simples de evitar tudo isso? Fa\u00e7a esse simples ajuste de configura\u00e7\u00f5es agora.<\/a><\/li>\n<\/ol>\n

    Voc\u00ea pode encontrar uma s\u00e9rie de outras coisas que pode fazer para fortalecer seus sistemas e se manter seguro em nossa Lista de verifica\u00e7\u00e3o de seguran\u00e7a cibern\u00e9tica de MSP de 2019<\/a>, mas as tr\u00eas coisas acima s\u00e3o simples e supercr\u00edticas que voc\u00ea deve fazer, com certeza, na linha de base.<\/p>\n

    Com isso, vou sair do meu palanque. Porque o que eu realmente quero compartilhar s\u00e3o seis coisas que Kyle disse que voc\u00ea deve focar agora para ter certeza de que est\u00e1 preparado para agir rapidamente se\/quando o $#*% bater no ventilador.<\/p>\n

    Mas primeiro…<\/p>\n

    Duas raz\u00f5es pelas quais voc\u00ea pode n\u00e3o estar pronto<\/strong><\/h2>\n

    Uma das principais coisas a entender sobre esses ataques \u00e9 que eles n\u00e3o s\u00e3o como outros para os quais voc\u00ea pode ter se preparado. S\u00e3o uma classe totalmente diferente, com um escopo diferente e implica\u00e7\u00f5es diferentes. Mesmo que voc\u00ea tenha procedimentos bem documentados para ajudar seus clientes a lidar com incidentes de ransomware, eles s\u00f3 ser\u00e3o, na melhor das hip\u00f3teses, parcialmente aplic\u00e1veis aqui.<\/p>\n

    Por qu\u00ea? Por dois motivos:<\/p>\n

    1) N\u00e3o s\u00e3o eles, \u00e9 voc\u00ea<\/h3>\n
    \n

    Cansado: MSPs respondendo ao ransomware do cliente como “Que coisa idiota eles fizeram?” ?<\/p>\n

    Com fio: MSPs que respondem a ransomware de clientes como “Oh, $#*&. Estamos comprometidos? ?<\/p>\n

    Demitido: Voc\u00ea, como MSP (a menos que saiba o que fazer rapidamente)<\/p>\n

    – Jonathan Crowe (@jonathanscrowe) 27 de setembro de 2019<\/a><\/p><\/blockquote>\n