O que esperar das ameaças no futuro
No mundo todo, nenhuma outra ameaça on-line traz perdas financeiras de forma tão evidente e quantificável quanto os ransomwares. O exemplo do WannaCry, ataque ocorrido no mês de maio de 2017, que apesar de ter um faturamento baixo ($50.000 em suas carteiras de bitcoin) e com uma propagação modesta (230,000 computadores em 150 países), tornou-se o primeiro RansonWorm da história.Mas esse tipo de ameaça não vem de hoje. O Conficker (de 2008), por exemplo, vem infectando milhões de computadores no mundo inteiro e existe uma grande possibilidade de que o Wannacry siga pelo mesmo caminho.
Os worms não dependem de interação de usuários, apenas exploram vulnerabilidades dos sistemas operacionais para se propagar. Tal simplicidade, somada ao fato de que novas vulnerabilidades zero day (aquelas ainda não conhecidas e que, por isso, não podem ser corrigidas) estão sendo publicadas por vazamentos de agências governamentais (vide Wikilleaks divulgando o “eternal blue” do FBI) ou descobertas por pesquisadores de segurança, tornam os Ransomwares mais devastadores a partir do advento do Wannacry.
Apesar do alarde feito pela mídia, as empresas esqueceram das ações de contenção e combate feitas para os worms : Code Red (2001), SQL Slammer (2003), Sasser (2004) e Confiker (2008) entre centenas de outros exemplos. Todos estes malwares poderiam ser ransomwares e, da mesma forma como foram no passado, worms podem ser combatidos, eliminando seus vetores de ataque, utilizando e mantendo sistemas de atualizações, evitando sua propagação com filtragem de pacotes e executando a correta segmentação e proteção de redes corporativas. Será que as empresas não estão entendendo o problema? Será que não aprenderam com lições passadas?
Os worms, assim como os novos ransomworms que virão, não serão mais novidade. Mas poderão causar grandes estragos se as empresas cometerem os mesmos erros não filtrando e analisando o seu tráfego de entrada – protocolos de rede local (SMB – o vetor de ataque do WannaCry) não deveriam trafegar na internet há pelos menos 20 anos - e de saída (do mesmo modo, protocolos de rede local não deveriam sair das redes corporativas). Todas as empresas, inclusive as operadoras de telecomunicações, deveriam realizar tais filtragens para não facilitar a propagação das ciberameaças e proteger suas informações.
Há anos as empresas têm dificuldades em manter sistemas de atualização de forma eficiente, mesmo sendo crucial para suas operações... Tecnologias de contenção, combate e erradicação estão aí para ajudá-las nesse desafio.
O que esperar do futuro? Basta olhar para o passado.