12 de maio: o dia em que o mundo acordou para os ataques de Ransomware!

No dia 12 de maio, um ataque de Ransomware, reconhecido como sendo um dos maiores ataques já realizados, chamou a atenção do mundo inteiro. Sistemas de informação de empresas e de serviços públicos, como o Tribunal de Justiça de São Paulo, Ministério Público de São Paulo, INSS, Serviço Nacional de Saúde da Inglaterra, Telefónica, KPMG, Mapfre, BBVA e milhares de empresas em todo o mundo, tiveram parte de seus sistemas inacessíveis.

Como tudo começou…

O Ransomware pode vir em muitas formas. Neste ataque em específico, os hackers internacionais exploraram uma vulnerabilidade em versões antigas e não corrigidas do Microsoft Windows. A Microsoft corrigiu a vulnerabilidade em seus sistemas operacionais mais recentes em março e, no dia 12 corrigiu versões antigas do Windows. As estimativas sugerem que o ataque afetou mais de 200 mil computadores em pelo menos 150 países.

Os hackers utilizaram ferramentas pertencentes à Agência de Segurança Nacional, dos Estados Unidos (NSA), causando grandes problemas em diversos serviços públicos e empresas. Porém, uma informação que chamou a atenção foi que se essa falha foi corrigida em março, os computadores afetados não estavam com sistema operacional atualizado, conforme determinam as cartilhas de segurança.

O Ransomware denominado WannaCrypt sequestrou e criptografou os dados dos equipamentos infectados, que no caso eram os que não tinham atualizações recentes do sistema operacional. Após esse sequestro as vítimas foram instruídas a pagar aproximadamente US$ 300 (cerca de R$ 1.000 na cotação atual) para conseguir recuperar os arquivos infectados.

Como o pagamento deve ser feito em bitcoins, uma moeda virtual que permite que os criminosos tenham quantas carteiras (repositório que armazena o dinheiro virtual) desejarem para receber o valor exigido, sem ser identificados, o recomendado é não pagar os valores que são pedidos, pois não existe qualquer garantia de que os dados serão recuperados.

Quem parou o ataque?

Ainda na sexta-feira (12), o dia em que os ataques tiveram o seu “pico”, um jovem pesquisador britânico de 22 anos e um engenheiro de segurança da informação dos Estados Unidos pararam os ataques, evitando que se espalhassem por outros países. O britânico que trabalha em uma empresa de inteligência contra ameaças desativou o WannaCrypt após descobrir um domínio (endereço de internet) associado à propagação do malware.

Para seguir contaminando mais computadores, o vírus verificava se este site estava no ar ou não. O rapaz comprou o domínio por um valor equivalente a R$ 33 e até chegou a ser levantada a possibilidade do seu envolvimento com os ataques de Ransomware, mas depois foi entendido que ele ativou um mecanismo de pausa no processo de propagação do WannaCrypt.

No entanto, existe uma preocupação quanto aos computadores que estão em rede interna e estiveram desconectados da internet desde o momento da ativação do mecanismo de pausa, nos quais é possível que o vírus siga se alastrando. Além disso, versões sem a verificação online também podem circular, eternizando esse ciclo do Ransomware.

Mas afinal, o que é Ransomware?

Ransomware é um tipo de ameaça digital que bloqueia o acesso aos seus arquivos e dados, exigindo o pagamento de um resgate para o desbloqueio. É uma forma de extorsão por meio do sequestro de dados. Não é uma novidade no meio tecnológico, pois nasceu ainda nos anos 80, porém hoje em ascensão esse tipo de crime virtual é uma das formas preferidas dos criminosos, pelo fato de ser um método lucrativo e principalmente, que consegue na maioria das vezes manter o anonimato.

Entretanto, antes desse ataque que assustou muitas pessoas e abalou servidores, empresas e órgãos públicos, já vinha se falando da importância de manter a segurança de dados para evitar maiores transtornos. Com isso percebe-se que além do Brasil, muitos países ainda se preocupam pouco com a segurança e proteção contra crimes cibernéticos.

É importante que exista um maior interesse na educação tecnológica, que pode ser por meio de pesquisas, conteúdos sobre segurança ou até mesmo um documento que explique sobre a importância de utilizar a internet corretamente e de forma protegida.

Considerando o crescimento do número de incidentes relacionados a Ransomware, é importante que colaboradores e gestores das empresas mantenham-se informados em relação aos impactos provocados por esse tipo de ameaça, valorizando de forma efetiva os dados e informações da organização.

Como ocorre o ataque

O ataque Ransomware pode iniciar de diferentes formas, por meio de e-mails falsos, phishing, sistemas com falhas de atualizações, entre outras formas. Muitas vezes quando o ataque acontece através de um e-mail falso, o conteúdo induz o usuário a clicar em um link e dessa forma ocasiona o download de um software nocivo. O Ransomware, após baixado e instalado sem que o usuário perceba, criptografa os arquivos presentes no computador e na rede, desde que o usuário possua acesso aos mesmos.

Esse processo de criptografia irá embaralhar o conteúdo dos arquivos, tornando-os inúteis, e somente possuindo a chave correta você poderá reverter os arquivos ao estado original. Em determinado momento o Ransomware irá deixar alguma indicação de como você deve entrar em contato com o criminoso. Um arquivo de texto na área de trabalho ou um papel de parede com uma mensagem, por exemplo, poderão conter um endereço de e-mail e instruções para contato, visando a negociação do resgate.

Segundo pesquisa sobre crimes cibernéticos da Grant Thornton, 21% das empresas consultadas em 36 países sofreram algum tipo de ataque nos últimos 12 meses; na América Latina 39% dos crimes virtuais contra empresas estão relacionados a roubo ou perda de informações estratégicas.

A pesquisa mostra ainda que aumentou de 15% para 21% o número de empresas impactadas em relação ao levantamento realizado no ano passado. Apesar do maior número de atingidos, o prejuízo causado pelos ataques diminuiu frente a 2015, quando foram estimadas perdas de 315 bilhões de dólares.

Medidas para prevenir e evitar o Ransomware

As principais formas de evitar os ataques de Ransomware são relacionadas a alguns princípios simples que abrangem a segurança da informação.

  • Cuidado com e-mails e sites falsos: os usuários devem ser educados quanto a sua responsabilidade para com os dados e informações da empresa. Isso inclui saber e entender sobre os riscos a que podem expor os dados quando clicam em um link de um e-mail ou visitam um site sem ter prestado atenção sobre a origem do e-mail, o endereço do site e a sua veracidade.
  • Atualizações de software: é importante manter atualizado o sistema operacional e os demais pacotes de software dos equipamentos. As atualizações incluem diversas correções e melhorias relacionadas à segurança da informação, que, como visto anteriormente, são muito relevantes para evitar ataques como os que aconteceram.
  • Antivírus: especialmente nos computadores e servidores com sistema operacional Windows, é imprescindível o uso de um bom software antivírus, atualizado e configurado para realizar varreduras periódicas de todo o sistema.
  • Controle do acesso à internet: o uso de mecanismos de proteção contra o acesso a sites maliciosos é cada vez mais importante. No caso de empresas, através deste tipo de controle é possível definir quais grupos de usuários terão acesso a quais tipos de sites, evitando assim o uso de sites indevidos ao escopo do trabalho e também o acesso a endereços com conteúdo nocivo. Por meio dessa ferramenta, o gestor protege a rede contra os sites utilizados em ataques e propagação de malwares.
  • Permissões de acesso: em muitas pequenas e médias empresas, é um item deixado de lado. No entanto, é relevante checar o nível de acesso que cada usuário ou grupo de usuários necessita em relação aos arquivos compartilhados na rede, por exemplo, no sentido de não fornecer acesso além do necessário. Se um grupo de usuários necessita apenas visualizar determinados arquivos, e não modificar, que tenha acesso somente leitura.

Situação após um ataque de Ransomware

Alguns tipos de Ransomwares já foram decodificados e os arquivos comprometidos podem ser recuperados com ferramentas próprias para isso, como as disponibilizadas pela Kaspersky na iniciativa Ransomware Decryptor. No entanto, existem também outros Ransomwares cuja criptografia continua sendo impossível de reverter sem a colaboração do sequestrador.

O principal esforço que irá solucionar o problema e garantir a continuidade do negócio após o ataque Ransomware, é algo que deve ser implementado e estar funcionando antes do ataque: o backup.

Nunca é demais relembrar a importância de ter um backup confiável, a partir do qual possam ser recuperados os dados importantes após qualquer incidente. A principal maneira de solucionar o problema após ter ocorrido o bloqueio dos dados por Ransomware, é restaurar os dados a partir de backup.

A estratégia de backup deve ser implementada de maneira que haja uma cópia de segurança mantida em um local desconectado do local original dos dados. Ou seja, não se deve manter o único backup em um disco adicional ligado ao mesmo servidor.

Se a cópia de segurança for feita em um disco adicional constantemente conectado ao servidor ou à rede onde ficam os dados originais, no caso específico do Ransomware, é possível que os arquivos do backup também sejam bloqueados no momento do ataque, tornando o backup inútil. É importante ter uma cópia se segurança em local separado física e logicamente do local original.

Os grupos criminosos que realizam ataques Ransomware sugerem que, após o bloqueio dos seus arquivos, você entre em contato com eles para o pagamento do resgate e posterior liberação dos dados. No entanto, é necessário avaliar o risco de negociar ou pagar o resgate, tendo em vista que não há garantia da recuperação dos dados.

Acompanhar e manter a segurança é imprescindível para evitar os ataques e preparar-se com antecedência para a continuidade do negócio após um incidente como o que aconteceu em mais de 150 países.

Se você gostou desse artigo continue acompanhando o nosso blog!

Ransomware: como manter sua empresa protegida do sequestro de dados

No mundo  da segurança da informação, esse ano de 2017 será marcado por ataques de Ransomware, método também conhecido como sequestro de dados, no qual as informações relevantes de usuários e empresas são criptografadas e ficam inacessíveis. A partir disso os criminosos cobram valores que ficam em torno de R$ 400,00 para devolver o acesso às informações sequestradas, embora esse valor possa variar bastante, de acordo com o porte da empresa e a relevância dos dados sequestrados.

Especialistas apontam que essa forma de ataque está se generalizando e terá novas variantes ao longo do ano, podendo passar a afetar também serviços de backup baseados em nuvem. Estimativas indicam que o lucro dos criminosos que realizam esse tipo de ataque deve chegar em valores próximos de US$ 5 bilhões ao longo do ano de 2017.

Em pesquisa realizada pela Trend Micro, constatou-se que 51% das empresas brasileiras foram vítimas de ataques de Ransomware no ano de 2016. Outro dado preocupante que a pesquisa apontou é que 56% não contam com tecnologias para monitoramento e detecção de comportamentos suspeitos ou ataques na rede.

Ataques por Ransomware se tornaram tão comuns, que viraram até um serviço de assinatura, onde qualquer usuário de internet sem necessidade de conhecimento técnico em informática pode aplicar o ataque. Esse serviço ficou conhecido como “Ransomware as a service” ou “Crime as a service” – “Ransomware como um serviço” ou “Crime como um serviço”, traduzindo para o português.

Em dados divulgados pelo FBI, em 2016 apenas nos Estados Unidos os prejuízos causados por ataques de Ransomware alcançaram US$ 1 bilhão. E a estimativa é que esse número aumente significativamente em 2017. Imagine então os riscos para as empresas brasileiras, onde 50% não possuem formas de prevenção contra o problema.

Empresas que sofrem esse tipo de ataque estão sujeitas a várias formas de problemas e prejuízos: desde a perda total de dados, em casos onde não há backup nem liberação do acesso aos arquivos sequestrados; até a interrupção de sistemas, rede de computadores e operações relevantes ao negócio, como atendimento a clientes.

Para considerar o quão importante é tomar medidas para reduzir os riscos, tente imaginar o impacto que a perda de informações pode causar para a sua empresa!

Infelizmente não há como estar 100% protegido contra o Ransomware. Porém é possível mapear os riscos e tomar medidas que reduzam significativa as chances de ocorrências do problema.

Há formas bem distintas de ocorrer um ataque, vejamos algumas:

  •  Mensagens de e-mail:
    • Phishing, por exemplo com simulação de promoções
    • Arquivos anexados infectados
  • Ataques em contas de usuário e servidores com senhas fracas
  • Site de internet hackeados, que são usados como direcionamento para ataques
  • Publicação de notícias falsas com referência pra sites nocivos
  • Publicação de links nocivos em redes sociais
  • Anúncios na internet, inclusive em redes sociais e serviços de busca como o Google
  • Via aplicativos e SMS em smartphones e tablets
  • Funcionários descontentes e vingativos nas empresas

Realmente temos formas bastante diferentes para a ocorrência de Ransomware, porém é possível reduzir os ricos com algumas medidas:

Treinamento de usuários

Essa é sem dúvida a principal porta de entrada da maioria dos vírus e ataques virtuais nas empresas. A maioria dos profissionais não consegue identificar possíveis riscos, como uma mensagem de e-mail falsa e acaba clicando em links maliciosos ou abrindo arquivos infectados, quando isso acontece é muito difícil evitar que o ataque ocorra.

Por isso é importante treinamentos periódicos com os colaboradores, abordando principalmente como identificar ameaças e quais os possíveis riscos para a empresa e para os profissionais. Sugerimos o download desse material que aborda formas seguras de utilização da internet.

Defina uma política de utilização de senhas seguras

Senhas fracas e inseguras é um problema recorrente nos usuários de internet, afinal quem nunca usou senhas relacionadas a datas, endereços e familiares, até mesmo em contas importantes como bancos ou e-mail. Mas o problema é que os criminosos sabem disso e exploram muito essa vulnerabilidade, com sistemas que testam combinações de senhas repetidamente, até que seja descoberta.

Felizmente esse problema é simples de resolver, basta criar regras de utilização de senhas com mais de 8 caracteres, que combinem letras maiúsculas, minúsculas, números e preferencialmente símbolos do teclado, com troca periódica das senhas, por exemplo a cada 3 meses. Também deixo a sugestão de download desse guia de utilização de senhas e contas de usuário seguras.

Serviços de inspeção de e-mail e anti-spam

Sabemos que mensagens de e-mail falsas são usadas com frequência em ataques. Para atenuar os riscos, primeiro é necessário que o e-mail corporativo esteja com serviços de anti-spam ativados, isso vai garantir que boa parte das mensagens com riscos seja barrada e sequer aberta pelos  usuários.

Além disso, também recomendamos a inspeção de e-mail (Email Inspection), onde o conteúdo, arquivos e links das mensagens de e-mail são avaliados e qualquer item suspeito fará com que o e-mail seja barrado. Esse filtro pode ser considerado complementar e até mesmo mais inteligente que o controle de spam.

Serviços de WebFilter e controle de navegação

Esses serviços que permitem gerenciar o que os usuários da rede corporativa acessam na internet, evitando que estejam naveguem em sites nocivos e maliciosos. É importante que esse controle de navegação seja baseado na reputação dos sites, para que consiga identificar com eficiência sites que ofereçam riscos.

Existem dezenas de serviços diferentes para o controle de navegação nas empresas. A Lumiun Tecnologia é uma excelente alternativa por ter uma implementação simples e acessível, e ao mesmo tempo fácil de ser gerenciada.

Manter sistemas sempre atualizados

Criminosos estudam possíveis vulnerabilidades em sistemas e exploram essas falhas para ataques. Por isso que praticamente todos sistemas possuem atualizações, que corrigem possíveis vulnerabilidades.

É fundamental manter todos softwares sempre atualizados, desde o seu sistema operacional, antivírus e demais programas instalados.

Evitar acesso remoto a computadores e servidores da sua rede

Manter o acesso externo a computadores e servidores da sua empresa é o mesmo que permitir o acesso a porta dos dados, essa prática combinada a utilização de senhas fracas é fatal, facilmente criminosos terão acesso aos dados da sua empresa. Portanto, permita esse tipo de acesso somente em casos realmente necessários.

Monitoramento interno de comportamento de usuários

Essa é uma solução geralmente baseada em Machine Learning, que utiliza a inteligência de dados e sistemas para detectar comportamentos incomuns dentro da sua rede, tanto por usuários como equipamentos. Qualquer atividade suspeita pode gera um alerta para os responsáveis, por exemplo, usuários copiando dados do negócio ou baixando programas da internet que não têm relação com as atividades da empresa.

Backup e monitoramento de backup

Possuir cópia dos dados relevantes da empresa é fundamental. Mas mais do que isso, é necessário que a política de backup seja constante e eficiente, com cópias diárias e mídias de armazenamento distribuídas em locais diferentes. Uma boa opção é a utilização de serviços de backup em nuvem.

Se ocorrer o sequestro de dados da sua empresa, não é recomendado a pagamento do resgate aos criminosos. Por isso o backup se torna importante para a restauração das informações. Não deixe acontecer a situação de você precisar do seu backup e só então perceber que os dados salvos são do mês anterior – infelizmente essa situação é mais comum do que você imagina.

Como podemos perceber, as medidas para evitar ataques de Ransomware são relativamente simples de serem implementadas e não demandam grandes investimentos, considerando os riscos e prejuízos que possíveis problemas podem gerar. Também é importante perceber que essas medidas estão organizadas em camadas, passando principalmente pela prevenção, até o que pode ser feito no caso de sequestro de dados.

Por fim, investir em segurança da informação é evitar prejuízos maiores para a sua empresa. Não espere ter seus dados sequestrados para se prevenir.

Ransomware e sequestro de dados: como se proteger

Ransomware é um tipo de ameaça digital que bloqueia o acesso aos seus arquivos e dados, exigindo o pagamento de um resgate para o desbloqueio. É uma forma de extorsão por meio do sequestro de dados. Considerando o crescimento do número de incidentes relacionados a ransomware, é importante que colaboradores e gestores das empresas mantenham-se…

Continuar lendo