ARTIGOS

Ransomware: como se proteger de ataques em constante evolução

Ser atento não é o suficiente para diminuir os riscos de ser vitima de ataques como os ramsomwares, que se tornaram mais famosos a partir do WannaCry. Conheça algumas dicas de um especialista na área!

Por Pablo Dubois
Gerente de Produtos de Segurança
CenturyLink para América Latina

O que acontece quando combinamos a estrutura e o foco do crime organizado com a complexidade, a sofisticação e escala de todo um país? Três ataques globais recentes, e que ganharam visibilidade na mídia, nos trazem a realidade dos ransomwares como a indústria nunca tinha visto. Bem-vindo ao novo padrão de ataques. Ransomware é um tipo de código malicioso utilizado por hackers e que torna dados armazenados em um equipamento inacessível ao usuário. Geralmente este ataque se utiliza da criptografia, e os criadores exigem um pagamento de resgate (ransom) em bitcoins para restabelecer o acesso ao usuário.

O ano de 2017 passou por três grandes ataques de ransomware. Em maio, o WannaCry afetou cerca de 200 mil computadores em mais de 150 países, com prejuízo estimado em US$ 1 bilhão de dólares. No final de junho, mais um ataque global foi realizado, desta vez chamado Petya: impactou mais de 12 mil computadores, encriptou hard drives e os tornou inúteis. Por fim, em outubro, e com menor alcance, o Bad Rabbit afetou sistemas de aeroportos, metrôs e empresas de países como Rússia, Ucrânia, Turquia e Alemanha.

Segundo informações da NSA (Agência de Segurança Nacional dos Estados Unidos), divulgadas pelo grupo de hackers Shadow Brokers, o Petya usou um exploit – que pode ser um programa, comando ou sequência de dados que se aproveita da vulnerabilidade de um sistema para invadi-lo. Dessa maneira, o ransomware encriptou dados em hard drives e não arquivos individuais, e exigiu o resgate de USD 300 dólares em Bitcoins.

Chamado de EternalBlue, o exploit se aproveita de uma vulnerabilidade no Bloco de Mensagem de Servidor (SMB), protocolo que fornece acesso compartilhado a arquivos e dispositivos periféricos, e afeta principalmente máquinas com Windows. Esse tipo de falha expõe informações relevantes para todos os governos a partir de uma aplicação que é bem consolidada na internet e amplamente utilizada, tanto por empresas privadas quanto por agências governamentais.

Diferente do WannaCry, que foi distribuído pela verificação de brechas de sistemas rodando SMB na internet pública, o Petya foi distribuído internamente por uma cadeia de suprimentos que fornece um software de contabilidade chamado MeDoc. Os infratores aparentemente adicionaram o exploit à distribuição de uma atualização do programa, que então chegou aos consumidores e comprometeu os sistemas internos das empresas.

Muitas empresas protegeram suas redes públicas do EternalBlue, mas aparentemente não seguiram o mesmo padrão de segurança nas redes internas, o que permitiu que o Petya se espalhasse rapidamente em escala global. Este ataque foi particularmente destrutivo por natureza, já que encriptava o Registro Mestre de Inicialização (MBR) do usuário, bloqueando-os do sistema e tornando o computador inteiro inutilizável.

Por final, o Bad Rabbit ficou conhecido como uma versão atualizada e com bugs corrigidos do Petya. Mais potente que o antecessor, o ransomware não utiliza exploits, mas infecta os dispositivos a partir de um instalador falso do Adobe Flash. Ao acionar o programa corrompido, a vítima instala um arquivo .exe falso e o PC é criptografado, e um resgate de 0,05 bitcoins (cerca de R$ 1 mil) é cobrado para liberar o acesso aos dados.

WannaCry, Petya e Bad Rabbit representam uma nova era de ataques relacionados à extorsão, na qual grupos de crimes organizados procuram por caminhos que proporcionem o maior número de vítimas no menor espaço de tempo. Ao invés de utilizar os ransomwares ‘direcionados’, que funcionam com base na esperança de que vítimas específicas realizem pagamentos de grandes valores, os hackers têm utilizado os ransomware ‘spam’, que infectam o maior número de pessoas possível e, dessa forma, mesmo com pagamentos menores, o montante total é maior do que em ataques concentrados.

Além disso, o Petya também trouxe o elemento da dependência da cadeia de suprimentos, ou seja, das empresas que aceitam atualizações de fornecedores diretamente em suas linhas de produção. Isto é algo que outros cibercriminosos vão levar em conta.

Então, o que você pode fazer para se proteger? Aqui estão algumas recomendações:

  • Realize constantemente backup de dados cruciais.
  • Corrija os sistemas o mais rápido possível.
  • Segmente a produção e sistemas de usuários para conter a propagação de contaminações e comprometimentos.
  • Eduque os usuários sobre os perigos de phishing – e-mails falsos muitas vezes direcionado à pessoa que induzem o usuário a revelar informações pessoais, como senhas, números do cartão de crédito, CPF e número de contas bancárias.
  • Aceite as atualizações da cadeia de suprimentos em um ambiente de testes primeiro, e monitore as contaminações deste ambiente.
  • Peça aos fornecedores de segurança assinaturas específicas para exploits dos Shadow Brokers, para que você possa determinar quando alguém estiver tentando usá-los.
  • Não pague resgate (ransomware). Raramente você conseguirá os arquivos de volta. Além disso, você pode voltar a ser vítima de ataques, pois os hackers sabem quem paga para ter o acesso de volta.
  • Entre em contato com seu provedor de internet para ajudá-lo a rastrear e bloquear ataques nos pontos de acesso à internet.

About the author

Redação

Add Comment

Click here to post a comment

Deixe uma resposta

Nossos parceiros