O ransomware é um tipo de software malicioso que ameaça publicar os dados da vítima ou bloquear permanentemente seu acesso, a menos que seja pago um resgate.
São Paulo (DINO) 08/09/2017O ransomware é um tipo de software malicioso que ameaça publicar os dados da vítima ou bloquear permanentemente seu acesso, a menos que seja pago um resgate.
Por meio de uma notificação, somos informados de que o acesso aos nossos dados ou ao dispositivo está restrito e que nós devemos realizar o pagamento para recuperá-lo. Depois que o pagamento é efetuado, o ransomware nos devolve o acesso às nossas informações ou aos nossos sistemas.
Alguns exemplos de ransomware são:
SCAREWARE: Exige-se um pagamento valendo-se de ameaças de ação futura com táticas de intimidação. Os arquivos ou sistemas do usuário não são afetados.
LOCKERS: Há a promessa de conceder novamente o acesso à tela ou ao sistema do usuário ao mesmo tempo que solicita o pagamento.
CRYPTO-RANSOMWARE: Após criptografar os arquivos do usuário, o Crypto-ransomware oferece a chave de descriptografia à vítima em troca de uma retribuição. O Crypto-ransomware pode afetar arquivos locais e arquivos hospedados em redes compartilhadas. Os arquivos criptografados que não podem ser recuperados são transformados em um incidente de "destruição de dados". O exemplo mais claro e recente é o WannaCry.
Como o Ransomware funciona?
O ransomware é disseminado principalmente por meio de anexos de e-mail (os documentos do Microsoft Office são particularmente populares). Ele também é distribuído com programas infectados ou ao baixar arquivos ocultos de malware (drive-by) de websites comprometidos.
Os autores do ransomware usam técnicas de engenharia social para persuadir os usuários finais a baixar, executar ou acessar o conteúdo malicioso. Finalmente, e depois de ser executado, o ransomware começa a criptografar dados, uma vez que já enumerou todos os controles e procurou os tipos de arquivos-alvo.
Muitos ataques que envolvem ransomware também são ataques persistentes avançados (APT). Esses ataques são realizados em sete fases:
1. Reconhecimento
2. Chamariz
Nessas duas primeiras fases, o foco do invasor é obter informações de inteligência do seu alvo (empresa ou funcionários específicos). Com essas informações, o invasor consegue desenvolver um chamariz com o intuito de obter acesso confiável à rede. O objetivo aqui é fazer o usuário clicar na URL de uma mensagem de e-mail, de uma mensagem pessoal ou de alguma outra forma de link da Web.
3. Redirecionamento
O invasor pode enviar uma URL como parte de uma mensagem. Isso pode ser completamente inofensivo e até parecer benigno para a maioria das soluções de segurança instaladas. No entanto, o malware contido na mensagem pode estar a muitos cliques de distância ou pode ter um código oculto que redirecione o usuário automaticamente ao site que contém o malware.
4. Exploração de vulnerabilidade
O kit de exploração é uma parte do software suficientemente inteligente para detectar lacunas nas defesas de segurança. Se houver lacunas, ele se dispersará e se instalará. Durante essa etapa, é essencial ter segurança em tempo real. É necessário ter a capacidade de inspecionar o tráfego no momento do clique.
5. Arquivo detonador
6. Alerta ao criminoso cibernético
Essas duas fases são etapas adicionais que um invasor pode realizar. O kit de exploração pode conter um arquivo tipo “conta-gotas” que é transferido aos usuários comprometidos depois de obter acesso às informações confidenciais. Ele também pode gerar um aviso ao invasor para que continue recebendo instruções.
7. Roubo de dados
Nessa etapa final, o invasor conseguiu atravessar as defesas. Pode se tratar também de um funcionário que tenha sido violado ou que tenha más intenções e que tentará enviar informações confidenciais por meio de diversos canais da Web, de e-mail ou de endpoints. Nesse momento, a organização precisa de uma solução que consiga detectar qualquer tentativa de roubo de dados.
Como posso me proteger?
É importante contar com tecnologias de segurança para se defender em vetores de ataques relevantes, neste caso, a Web e o e-mail. Além disso, são necessárias ferramentas de monitoramento e de elaboração de relatórios para detectar e derrotar as ameaças recebidas.
É muito importante implementar um programa contínuo de educação para o usuário e de capacitação para alertar a equipe sobre os perigos de acessar páginas da Web não seguras e de abrir e-mails suspeitos ou de phishing.
É necessário estabelecer um processo de backup de dados confiável e avaliado (de preferência off-line) em toda a empresa. Isso pode ajudar a recuperar os arquivos sem pagar por um resgate.
É indispensável criar e implementar um plano de resposta a incidentes para que você possa reagir diante de um Ransomware.
Considere que o pagamento de um resgate para recuperar dados seria mais bem aproveitado se fosse investido em medidas de segurança mais eficazes para evitar incidentes semelhantes no futuro, como educação dos usuários e ambiente seguro de URL e arquivos.
Implemente controles nos pontos de saída da rede, tais como:
• Regras de firewall para bloquear o tráfego de comando e controle, assim como neutralizar as técnicas de evasão que podem ser utilizadas para entregar cargas maliciosas.
• Controles avançados de proteção contra ameaças, que incluem um ambiente seguro, para proporcionar uma defesa contra ataques de dia zero e outras técnicas de malware altamente evasivas.
• Soluções de segurança da Web para bloquear destinos desconhecidos (não categorizados) e realizar uma análise em tempo real do conteúdo da Web.
• Soluções de segurança de e-mail para bloquear as ameaças que entram por essa via.
Implemente as seguintes medidas de controle em endpoints, principalmente para usuários remotos e em movimento.
• Manter o antivírus e demais soluções de segurança atualizados.
• Usar uma ferramenta para endpoints a fim de bloquear aplicativos maliciosos e impedir a fuga de dados.
• Implementar segurança da Web para endpoints que estão fora da rede.
• Utilizar análise do comportamento dos usuários para identificar e bloquear atividades suspeitas em endpoints importantes, inclusive quando eles estão em funcionamento fora da rede.
Por Adauto de Mello Jr, VP de Vendas América Latina & Caribe da Forcepoint
Comentários
Postar um comentário