Ransomware é um tipo de código malicioso que torna inacessíveis os dados armazenados em um equipamento, geralmente usando criptografia, e que exige pagamento de resgate (ransom) para restabelecer o acesso ao usuário.
O pagamento do resgate frequentemente é feito via moedas digitais.
Como ocorre a infecção?
O ransomware pode se propagar de diversas formas. As mais comuns são:
- Por meio de e-mails com o código malicioso anexo ou que induzam o usuário a clicar em um link;
- Em sistemas que não tenham recebido as devidas atualizações de segurança.
O mais importante é evitar ser infectado.
Quais tipos de ransomware existem?
Existem dois tipos de ransomware:
Ransomware Locker – impede que você acesse o equipamento infectado; Ransomware Crypto – impede que você acesse os dados armazenados no equipamento infectado, geralmente usando criptografia. Além de infectar o equipamento o ransomware costuma buscar outros dispositivos conectados, locais ou em rede, e criptografá-los também.
Como devo me proteger de ransomware?
Para se proteger, você deve ter os mesmos cuidados que tomamos para evitar outros códigos maliciosos, como:
- Mantenha o sistema operacional e os programas instalados sempre atualizados;
- Tenha um antivírus instalado, atualizado e configurado para verificar automaticamente seus e-mails e mídia removível (por exemplo, unidades flash);
- Use produtos ou serviços de segurança que bloqueiem o acesso a sites de ransomware conhecidos na Internet;
- Configure os sistemas operacionais ou use software de terceiros para permitir que apenas aplicativos autorizados sejam executados nos computadores;
- Evite o uso de aplicativos e sites pessoais, como e-mail, bate-papo e redes sociais, em computadores de trabalho;
- Evite abrir arquivos e clicar em links enviados por fontes desconhecidas sem antes verificar se há conteúdo suspeito. Por exemplo, você pode executar um antivírus no arquivo e inspecionar os links com cuidado. Na dúvida, contate a área de Segurança da Informação ou CSIRT da sua empresa.
Fazer backups regularmente também é essencial para proteger os seus dados pois, se seu equipamento for infectado, esta é a única forma de ter seus arquivos intactos novamente. O pagamento do resgate não é garantia de que você conseguirá restabelecer o acesso aos dados.
Configuração do Windows Defender
Em uma configuração inicial é possível contar com a ajuda do Windows Defender para aplicar uma camada de segurança adicional contra ransomware.
Os desafios da área de TI
Hoje em dia, é fundamental ter o ambiente operacional e protegido, por meio de ferramentas de prevenção, um excelente sistema e equipe de detecção e resposta aos incidentes de segurança.
Configurar múltiplos versionamentos de arquivos em cloud é uma ótima opção para os documentos gerenciados pelos colaboradores.
Recomendações de TI
- Use produtos ou serviços de segurança que bloqueiem o acesso a sites de ransomware conhecidos na Internet;
- Configure os sistemas operacionais ou use software de terceiros para permitir que apenas aplicativos autorizados sejam executados nos computadores;
- Mantenha todos os computadores corporativos (servidores e notebooks) com as atualizações de segurança;
- Restrinja ou proíba o uso de dispositivos de propriedade pessoal nas redes da sua organização e para acesso remoto, a menos que você esteja tomando medidas extras de segurança;
- Sempre que possível, use contas de usuário padrão em vez de contas com privilégios administrativos;
- Os servidores corporativos devem ser frequentemente atualizados e possuir sistemas de antivírus e anti-malware;
- Sempre que possível desabilite o compartilhamento de pastas, arquivos e mídias, pois esse é o principal meios de propagação de ransomware;
- Possua um sistema de backup automatizado que contemple os sistemas operacionais, programas e dados dos servidores;
- O sistema de backup deve utilizar protocolos e sistemas de armazenamento imunes à propagação dos ransomware (unidades de fitas, cloud, etc);
- “Uma rede baseada em Windows será infectada por ransom destinado a Windows e que se propaga pelos protocolos desse sistema (SMB, CIFS, RDP). Por isso, procure manter um sistema de backup baseado em outro tipo de sistema operacional, que não utiliza estes protocolos e, assim estará imune a essa infecção.”
- Configure a infraestrutura do ambiente de backup em rede segregada dos demais servidores e redes corporativas;
- O equipamento de backup deve originar a conexão com os demais servidores e redes e nunca o contrário.
Além disto, as empresas devem estar preparadas para ativar o plano de Continuidade de Negócios, que precisa ter sido elaborado e testado previamente, prevendo os piores cenários de indisponibilidade de negócios e de TI.
Os desafios de Segurança da Informação
- Conscientizar os usuários de como se proteger no mundo virtual e de como utilizar corretamente seus e-mails corporativos, pessoais e redes sociais;
- Aliada à TI, conseguir aprovação do orçamento necessário para ter ferramentas e equipe de ponta para atuar na prevenção, detecção e resposta aos incidentes.
A responsabilidade dos colaboradores
- Conscientizarem sobre o uso correto das tecnologias e acessos a eles confiados;
- Terem ciência dos golpes que estão sendo praticados;
- Serem responsáveis e aliados da Segurança da Informação.
O que é a técnica de invasão movimentação lateral ?
Muito utilizada para iniciar as infecções por ransomware. O movimento lateral ocorre quando um invasor usa contas não confidenciais para identificar e obter acesso a contas e obter acesso a contas e computadores confidenciais na rede, que compartilham credenciais de logon armazenadas em contas, grupos e computadores. Depois que o criminoso faz movimentos laterais bem-sucedidos em busca dos destinos principais, ele também pode aproveitar a oportunidade para obter acesso aos controladores de domínio.
O que é ATP – Proteção Avançada Contra Ameaças ?
Do inglês Advanced Threat Protection ou Proteção Avançada contra Ameaças, ATP é uma categoria de soluções de segurança que defende sistemas contra malwares sofisticados ou ataques de hackers que visam dados confidenciais. As soluções podem estar disponíveis como softwares ou serviços gerenciados. As soluções de ATP podem diferir em abordagens e componentes, mas a maioria inclui alguma combinação de agentes de endpoint, dispositivos de rede, gateways de e-mail, sistemas de proteção contra malware e um console de gerenciamento centralizado para correlacionar alertas e gerenciar defesas.
O principal benefício oferecido pelo ATP é a capacidade de prevenir, detectar e responder a ataques novos e sofisticados projetados para contornar as soluções de segurança tradicionais, como antivírus, firewalls e IPS / IDS. Os ataques continuam se tornando cada vez mais direcionados, furtivos e persistentes, e as soluções de ATP adotam uma abordagem proativa à segurança, identificando e eliminando ameaças avançadas antes que os dados sejam comprometidos.
Quando analisa um arquivo, o ATP seleciona uma máquina virtual com o mesmo sistema operacional, aplicações que irão abri-lo no host de destino. O ATP então roda o arquivo somente na máquina virtual e, assim, analisa e identifica o impacto exato no host-alvo, caso fosse executado pelo usuário (computador ou servidor de destino do ataque).
Hoje em dia, com ATP em nuvem, os arquivos maliciosos recebem uma identificação (assinatura), que se replica para todos os consoles de antivírus/ATD/ATP, de forma a automatizar e bloquear o mesmo arquivo nos demais hosts em todo o mundo. Geralmente, é possível observar o status desta análise em um console central.
Em alguns fornecedores de ATP, ainda é possível colocar o host que recebeu o arquivo malicioso em quarentena, de forma a conter o ataque até que ele seja limpo.
Exemplos de ataques
Principais Fontes:
CERTbr: https://cartilha.cert.br/ransomware/
NIST: https://www.nist.gov/news-events/news/2021/05/nist-releases-tips-and-tactics-dealing-ransomware
JBS: https://tecnoblog.net/448016/ataque-hacker-jbs-ransomware-revil/
Assista ao Vídeo
Assista ao vídeo sobre ransomware clicando aqui.