Um ataque comum contra ativos de TI nos últimos anos tem sido o Ransomware.
Normalmente ele se dissemina na forma de vírus de computador, mas diferente dos vírus de antigamente que tinham como objetivo apenas se propagar ou às vezes destruir os arquivos infectados, o Ransomware tem como objetivo ganho financeiro dos criminosos.
Funciona da seguinte forma:
- O criminoso envia um e-mail ou infecta algum site utilizado pela empresa
- Um usuário da empresa abre esse e-mail ou site, clica em algum link e executa o vírus infectando o próprio computador
- Com acesso à rede, o vírus localiza arquivos da empresa e criptografa os mesmos, apagando o original
- Quando outro usuário tentar abrir os arquivos, vai ter uma mensagem que os mesmos estão criptografados
- Nessa mensagem é solicitado um valor para resgate, normalmente pago via uma criptomoeda
Origens e motivações
Muitos fatores recentes possibilitaram a criação e disseminação de Ransomware:
- Darkweb – na Darkweb existem fóruns que vendem códigos de Ransomware já prontos, tirando o programador criminoso mais especializado da linha de frente e possibilitando que programadores criminosos com menos conhecimento criem seus kits e façam os ataques
- Sites inseguros – muitos sites depois de publicados são deixados ao relento, com códigos às vezes inseguros, que podem ser explorados por criminosos para usar aquele site para hospedar os binários do vírus para download
- Bot Nets – sobre sites inseguros, dispositivos IoT e servidores inseguros, são montadas grandes redes de dispositivos gerenciadas por um ponto central, o objetivo dessas redes é enviar e-mails para tentar capturar o máximo de usuários
- BYOD – usuários das empresas e consultores externos podem trazer seus Notebooks pessoais e conectar na rede empresarial, sem os devidos controles de segurança, podem ser portadores dos vírus e permitir o ataque
- Criptomoedas – algumas permitem transações totalmente anônimas, não havendo rastreabilidade do dinheiro, inviabiliza às autoridades a devida investigação e punição dos criminosos
Apesar dessas tecnologias serem facilitadores, o principal motivador é financeiro, com o criminoso motivado por interesses pessoais ou para causas excusas.
Prevenção ainda é o melhor remédio
A melhor forma de se defender de um ataque de Ransomware é prevenindo o ambiente contra esse tipo de ataque.
Diversas medidas podem ser tomadas, para evitar que um ataque ocorra, para minimizar os efeitos ou até para recuperar de forma segura os dados, entre elas:
- Utilizar um software antivírus nas estações – como é o principal ponto onde se inicia um ataque, é onde deve-se iniciar a defesa. Utilizar um software antivírus corporativo, com gestão centralizada, atualizações automáticas e gerenciadas, com alertas para a equipe de TI e Segurança pode ser o suficiente para dar tempo de tomar medidas preventivas antes que o pior aconteça
- Firewall corporativo com IDS/IPS – para não depender de apenas um fabricante para detectar os ataques, um IDS pode evitar que downloads de arquivos maliciosos aconteça, ou mesmo bloquear totalmente alguns usuários de efetuar downloads, bloqueando o ataque já no início
- Atualizar softwares de servidores e estações – se um vírus conseguir passar pela primeira linha de defesa, ele precisa encontrar os arquivos ou outras vulnerabilidades nos servidores para escalonar o ataque e potencializar os danos
- Políticas de acesso mínimo necessário – todos os usuários e sistemas devem ser autenticados para acessar arquivos da empresa e ter apenas os mínimos acessos necessários, para seu departamento e arquivos públicos, assim, caso o ataque ocorra, é minimizado por afetar apenas parte dos dados, afetando menos partes da empresa e permitindo uma recuperação mais rápida
- Boas rotinas de backup e restauração – os backups devem ser armazenados em ambientes isolados e separados, se possível até desconectados fisicamente do ambiente de produção
- Treinar os usuários sobre os perigos – de nada adiantam os melhores equipamentos de proteção se os usuários abrem as portas para criminosos, os usuários devem ser treinados para não abrir arquivos anexos suspeitos, ou fazer download de aplicativos sem validação da segurança dos mesmos
- Ambiente de rede isolada para dispositivos BYOD, dispositivos de visitantes e pessoais – como na maioria dos ataques, o acesso interno é o mais perigoso, isolar as redes de Wifi de visitantes, ter redes separadas e com maiores restrições para equipamentos BYOD, evita que esse vetor de ataque aconteça
Enfim, são políticas simples, com medidas de proteção já conhecidas que podem fazer toda a diferença entre sofrer um ataque ou não e caso aconteça, limitar drasticamente os danos causados.
Mas e se acontecer?
Apesar de todas as proteções, ataques de Ransomware tem ocorrido no governo e empresas de todos os tamanhos:
- Braskem sofre ataque de ransomware – Out/2020
- Equinix sofre ataque de ransomware – Set/2020
- Hackers apagam multas no DF – Jul/2020
- Light: hackers pedem resgate de R$ 37 milhões – Jun/2020
Em alguns casos, apenas a reinstalação de sistemas e restauração de backups resolve.
Muito poderia ter sido evitado, mas depois que aconteceu, é necessário resolver, aí temos das medidas mais simples até as mais desesperadas:
- Reinstalar sistemas e restaurar backups – essa é a opção mais indicada, sem saber por onde veio o ataque, deve-se considerar que todos os sistemas estão comprometidos e reinstalar os mesmos, a fim de voltar à uma base conhecida. Depois disso restaurar os backups e aplicar proteções antes de voltar a produção, para que o ataque não volte a ocorrer
- Usar opções dos fabricantes de antivírus para recuperar os arquivos – por sorte, os fabricantes de antivírus e profissionais de segurança da informação tem disponibilizado, quando possível, ferramentas para descriptografar as informações. Nem todo ransomware é passível disso, mas o site NoMoreRansom.org tem listado e centralizado várias dessas ferramentas
- Negociar com os criminosos – essa é a ação menos recomendada, pois fornece recursos para que os criminosos continuem perpetuando os ataques e façam outras vítimas, mas, para evitar o embate direto, algumas empresas tem oferecido o serviço de negociar, tendo feito isso no passado, pode ser que essas empresas já tenham ferramentas para reverter os ataques
- Dar como perdido – como uma solução desesperada, pode-se optar por perder os dados afetados pelo ransomware.
Enfim, exemplos não faltam e soluções existem, mas a mais barata é sempre a prevenção, pois qualquer ataque vai provocar horas de indisponibilidade dos sistemas, o que sempre é ruim para os negócios.