A criptografia de dados é uma tecnologia de proteção eficiente. Porém, quando nas mãos dos operadores de ransomware, ela se transforma em uma arma de extorsão: os criminosos cibernéticos invadem um sistema de computadores ou uma rede, e fazem os dados de refém através da criptografia, exigindo pagamentos em troca da chave de descriptografia necessária para tornar esses dados acessíveis novamente.
Apesar dessa explicação simplista sobre o que é ransomware, esse problema já não é mais tão simples assim. O fato de os criminosos cibernéticos terem transformado a produção de ransomware em uma commodity evidencia seu êxito. Na verdade, segundo um Relatório do McAfee Labs sobre ameaças, os pesquisadores da Intel Security observaram um grande aumento no número de ransomware.
Conheça os cinco motivos para esse “surto” nas explorações de ransomware:
1 | As novas tecnologias o deixam mais potente. Os criminosos não pensam duas vezes em utilizar novas tecnologias que camuflem sua localização (redes Tor ocultas), que os tornem indetectáveis (moeda virtual) ou que aprofundem suas atividades clandestinas. |
2 | Os atacantes estão se adaptando com rapidez. Como as gangues de ransomware querem maximizar seu potencial de lucro, elas precisam inovar e mudar suas táticas constantemente — como explorar, em alguns dias, vulnerabilidades em programas como o Adobe Flash, através de kits de exploração, e acessar “redes associadas” para inundar o ciberespaço em questão de horas. |
3 | Os e-mails de phishing são muito mais bem produzidos. Os atacantes aprenderam a elaborar fraudes de e-mail de melhor qualidade — com formatação mais autêntica, utilizando idiomas locais, negócios plausíveis e nomes de arquivo condizentes com a localização —, fazendo do e-mail a forma mais eficiente de entregar a carga de malware. Na verdade, uma campanha de phishing de apenas dez e-mails tem mais de 90% de chances de ser clicada. |
4 | É possível fazer um bom dinheiro. Por conseguir incutir medo e pânico, as vítimas de ransomware costumam estar dispostas a pagar o resgate de seus arquivos. Em abril de 2014, o Centro de reclamações contra crimes na Internet (IC3), do FBI, afirmou ter recebido 992 reclamações relacionadas ao CryptoWall, totalizando os prejuízos coletivos das vítimas acima dos US$ 18 milhões — sem incluir os prejuízos incorridos por ataques não denunciados. |
5 | O risco de prisão é baixo. O crime cibernético não deixa impressões digitais. Sua dispersão global dificulta a aplicação da lei, e os criminosos cibernéticos usam várias camadas de anonimato para separar sua personagem criminosa da sua identidade real, dificultando as acusações. |
Novo alvo: as empresas
As infecções por ransomware ainda começam com um indivíduo que, sem saber, se conecta ao malware através de e-mails de phishing e navegando na Web — por intermédio de malware selecionável disfarçado de anúncio, páginas da Web comprometidas ou códigos ocultos em anúncios —; o ransomware é acionado simplesmente ao abrir a página da Web. No entanto, como esses indivíduos inocentes podem ser nossos próprios funcionários, fica mais fácil para o atacante introduzir ransomware no ambiente corporativo.
Dados criptografados — este é só o começo da brincadeira
Uma vez dentro da empresa, o ransomware pode causar problemas de segurança muito piores que a mera criptografia de arquivos de dados.
● | O ransomware polimórfico muda sua forma a cada infecção. Uma vez introduzido, o ransomware se transforma a intervalos de poucas horas, fugindo dos mecanismos de detecção e se espalhando rapidamente pela rede, podendo também infectar novamente o host e arquivos individuais. |
● | Os componentes de hibernação do ransomware permanecem silenciosamente nos computadores infectados até que os operadores de malware ativem a ameaça. Isso permite que os atacantes infectem várias estações de trabalho enquanto iniciam o malware, a fim de causar o maior pânico possível e aumentar o potencial de lucro. |
● | Outra variante infecta os dados de backup. Os scripts do servidor Web e os campos de bancos de dados são comprometidos, mas o atacante espera semanas ou meses para que o malware seja armazenado nos backups. Depois, o atacante retira a chave do servidor ou do local remoto. O aplicativo Web e o banco de dados começam a apresentar falhas, mas os backups também estão infectados. É nesse momento que os atacantes enviam o pedido de resgate. |
● | Os operadores de ransomware estão cada vez mais usando ataques por download de passagem através de sites comprometidos ou anúncios maliciosos que exploram as vulnerabilidades encontradas nos plug-ins de navegadores, como o Flash Player, Java, Adobe Reader ou Silverlight. Os usuários são redirecionados por vários domínios até chegar em páginas que hospedam kits de exploração que fazem varredura nos seus sistemas à procura de vulnerabilidades de software. |
Os operadores de ransomware só serão bem-sucedidos se conseguirem penetrar a sua rede e obter controle suficiente para criptografar os seus dados. Mas por que parar por aí? A essa altura, eles já podem escolher entre várias opções de chantagem para extorquir suas vítimas.
Como os CISOs devem reagir?
Embora seja prejudicial para um negócio e para sua reputação ter seus arquivos criptografados, as organizações que implementam sistematicamente as políticas e procedimentos abaixo podem reduzir o impacto do ransomware a um mero incômodo. Reúna-se com seus líderes de equipe para se certificar de que essas práticas estão sendo aplicadas com eficiência e na frequência recomendada.
● | Faça backup dos dados. Sim, isso é óbvio, e talvez você não tenha como fugir e precise seguir a regulamentação da indústria. Mas pare para pensar: a abrangência das suas políticas vai além do mínimo recomendado? Você tem um “backup do backup?” Faz armazenamento em fita fora da empresa? Qual é a política para substituição de backups anteriores ou para cópias completas versus cópias incrementais? O sistema de backup fica desconectado da rede? Seus backups ficam disponíveis? Eles são regularmente testados? Com um backup limpo, é possível limpar e reinstalar, driblando por completo a ameaça de extorsão. |
● | Bloqueie o tráfego e programas indesejados ou desnecessários. Se o Tor é dispensável, bloqueie o aplicativo e seu tráfego na sua rede. Em geral, ao bloquear o Tor, impedimos que o ransomware obtenha a chave pública RSA do servidor de controle, bloqueando, assim, todo o processo de criptografia do ransomware. |
● | Sistemas de patch. Enquanto hoje os criminosos cibernéticos estão explorando novas vulnerabilidades em questão de dias, as vulnerabilidades mais exploradas em 2014 tinham sete anos de idade. Muitas vulnerabilidades das quais o ransomware se aproveita podem ser corrigidas. Mantenha os patches atualizados para sistemas operacionais, Java, Adobe Reader, Flash e aplicativos. Tenha um procedimento de correção em vigor e verifique se os patches foram aplicados corretamente. |
● | Proteja os endpoints. Aproveite os recursos avançados, não apenas os recursos padrão ativados. Ao implementar alguns recursos avançados — por exemplo, “impedir executável de ser executado a partir da pasta Temp” — é possível detectar e bloquear um maior número de malware. |
● | Ative o antispam. Nas campanhas de phishing que compactam o ransomware em um arquivo .scr ou em outro formato de arquivo incomum, fica fácil configurar uma regra de spam para bloquear esses anexos. Se os arquivos .zip não são bloqueados, faça a varredura em pelo menos dois níveis no arquivo .zip em busca de possíveis conteúdos maliciosos. |
● | Conscientização dos usuários. Seus funcionários são o elo mais fraco da história pelo fato de, muitas vezes, agirem por impulso, estarem desatentos ou descuidados. Considerando que a maioria dos ataques de ransomware começa com e-mails de phishing, conscientizar o usuário é imprescindível e necessário, além de ser uma tarefa constante, que nunca chega ao fim. A conscientização ininterrupta e frequente sobre todos os assuntos de segurança, desde phishing às configurações individuais em estações de trabalho individuais, é essencial. Faça dos seus funcionários sua primeira linha de defesa. |
E se você sofrer um incidente de ransomware? Comunique-o às autoridades e encaminhe suas amostras de ransomware para a Intel Security. As suas amostras são importantes para rastrearmos variações e nos mantermos proativamente um passo à frente da maioria das campanhas de ransomware — e impedir que os criminosos continuem a embolsar Bitcoins.
Você ou sua empresa sofreram um ataque de Ransomware ? Quer conversar com nossos especialistas e saber o que pode ser feito? Ligue 62 39457955