Pegue qualquer jornal hoje ou entre em seu site de notícias tecnológicas favorito e provavelmente você verá uma história sobre ransomware. Não sobraram muitos CISOs ou gerentes de TI nos EUA que não foram vítimas ou não conhecem uma empresa que foi.
A maneira mais simples de descrever o ransomware é que ele é uma ameaça online que pode deixar os arquivos e/ou sistemas de sua empresa completamente inúteis. A vítima é, então, forçada a pagar um resgate para recuperar o acesso. As primeiras versões de ransomware foram feitas para bloquear a máquina da vítima até que o pagamento fosse feito. Mas, o mais perigoso nessa nova classe do assim chamado “crypto-ransomware” é que ele irá buscar extensões de arquivos específicos (muitas vezes comuns) como .doc ou .pdf, inutilizando-os com uma criptografia forte. Isso deixa os chefes de TI com poucas opções a não ser pagar por uma chave de decodificação.
Uma nota de resgate será exibida, dizendo quanto deve ser pago para ter acesso a esses arquivos/sistemas novamente. Geralmente, a quantia é de algumas centenas de dólares que deve ser paga em Bitcoins ou usando métodos de pagamento semelhantes. Muitas variantes têm guias e informações detalhadas, elaboradas para conduzir as vítimas menos experientes em tecnologia por todo o processo, inclusive com opções de chat. Depois de pagarem, devem enviar o comprovante de pagamento para o agressor, como prova que o pagamento foi feito. Se for um crypto-ransomware, eles normalmente esperam receber uma chave de decodificação.
O ransomware mais comumente visa usuários, normalmente usando engenharia social e canais de email/web. Isso significa armar anexos em emails não solicitados, ou URLs maliciosas para sites conhecidos ou comprometidos para infectar as vítimas. Porém, cada vez mais, o ransomware tem sido elaborado para explorar pontos fracos no nível da rede ou do servidor. Por isso, uma abordagem holística baseada no princípio da proteção em camadas é vital.
Por que devo me preocupar?
As implicações para as empresas são obviamente bastante sérias. No mínimo você será forçado a pagar um resgate para recuperar o acesso a seus arquivos. Pode ser apenas algumas centenas de dólares, mas algumas empresas foram extorquidas em muito mais.
Como consequência, as mais comuns por esse tipo de ataque são:
- Perda temporária ou permanente de informações
- Interrupção de serviços regulares (lucro cessante)
- Perdas financeiras associadas à restauração do sistema, custos legais e de TI
- Danos à reputação da empresa e perda de confiança dos clientes
Uma das vítimas de mais alto nível – o Hollywood Presbyterian Medical Center – acabou pagando $17.000 dólares para recuperar sistemas e funções administrativas fundamentais.
Mesmo sem contar o custo do resgate, deve-se considerar o custo da perda de produtividade e o tempo de inatividade do funcionário, danos à marca e à reputação, e possíveis multas regulatórias. Alguns relatórios afirmam que o FBI anexou perdas de $209 milhões de dólares apenas no primeiro trimestre – um enorme aumento dos $24 milhões de todo o ano de 2015.
Se não fosse o bastante para se preocupar, as novas variantes de ransomware como a versão mais recente do infame CryptXXX estão incluindo recursos adicionais, como a funcionalidade para roubar dados corporativos e também criptografá-los.
Boas práticas
Quando se trata de ransonware, os black hats estão atualizando seu malware todo o tempo para evitar a detecção e contornar qualquer tentativa de quebrar a criptografia. Outro desafio é que não há garantia de que ao pagar o resgate, o hacker dará o acesso a seus arquivos novamente. Os chefes de segurança de TI, portanto devem focar sua atenção na prevenção em algumas áreas fundamentais:
Backup de dados empresariais. Trabalhe com um sistema 3-2-1: três cópias de backup em duas mídias e uma delas em um local offline e seguro.
Ensine seus usuários a não clicarem em links ou abrirem anexos em emails não solicitados; verificarem fontes de emails antes de abrirem; e sempre guardarem seus sites acessados frequentemente nos favoritos. Essa última, ajudará a impedir que acessem por engano sites drive-by-downloads com malware. Para verificar a reputação de um site, utilize serviços gratuitos.
Corrija todos os sistemas assim que as atualizações sejam disponibilizadas e mantenha a segurança do software atualizada, minimizando as chances de que vulnerabilidades no software sejam exploradas.
Segmentação de rede pode minimizar a propagação do ransomware por toda a empresa.
Defesa em camadas com segurança avançada no gateway da web/email; endpoint; rede; nível de servidores físicos, virtuais e em nuvem.
Defesa em profundidade
Existem ferramentas para desbloquear certos tipos de ransomware, mas os gerentes de TI não podem supor que elas irão funcionar. E não há garantias de que mesmo pagando o resgate seus arquivos serão liberados. A chave é bloquear o malware antes que ele chegue à empresa – com uma segurança em camadas.
Porque a segurança precisa ser em camadas? Porque os criadores de malware estão sempre adaptando seu código para evitar filtros e visar diferentes partes do ambiente de TI. Você pode, por exemplo, ter proteção de gateway de email, mas o que acontece quando seus funcionários acessam uma página da web infectada? Do mesmo modo, os black hats estão começando a direcionar seu malware para a infraestrutura do servidor através de variantes como o SAMSAM. Em resumo, não há uma solução mágica para impedir essa ameaça cibernética – tudo se trata de reduzir o risco o mais efetivamente possível, colocando mais verificações e bloqueios no caminho.
A Trend Micro recomenda a proteção nos seguintes pontos:
1) Gateway de Email e Web:
Isso dará a você uma boa chance de impedir que a maioria dos ransomware cheguem a seus usuários – ou por meio de email de phishing ou de um site malicioso. Lembre-se de que mesmo usando uma plataforma de email em nuvem como o Microsoft 365, com sua própria segurança incorporada, é uma boa ideia reforçá-la com proteções adicionais de outro fornecedor.
Procure por soluções que oferecem pelo menos:
- Verificação de malware e avaliação de arquivo de risco
- Análise de malware de sandbox
- Detecção de exploração de documentos
- Reputação web
No gateway da web, você precisará de uma reputação web, análise de sandbox e verificação de explorações de dia-zero e no navegador.
2) Endpoint
Uma pequena porcentagem de ameaças de ransomware pode conseguir entrar através da proteção de gateway de email e web. É por isso que é importante incluir a segurança de endpoint, que monitora em busca de comportamento malicioso, impõe whitelists de aplicações e apresenta blindagem de vulnerabilidades para proteger contra vulnerabilidades não corrigidas das quais o ransomware frequentemente se aproveita.
3) Rede
O ransomware também pode entrar em uma empresa e se propagar por meio de outros protocolos de rede. Portanto tenha uma segurança de rede com recursos avançados de detecção em todo o tráfego, portas e protocolos para impedir sua infiltração e propagação.
4) Servidor
É onde a maioria de seus dados mais críticos se encontram, portanto é fundamental garantir que quaisquer vulnerabilidades não corrigidas sejam protegidas contra o ransomware através do virtual patching. Escolha uma solução de segurança que possa monitorar movimento lateral e integridade de arquivo.
É um incidente de segurança e isso é sério!
Seu ambiente foi infectado e houve um sequestro de dados. Imediatamente é baixado um toolkit anti-ransomware para a remoção do software malicioso do dispositivo alvo, são revistas as tecnologias utilizadas no ambiente e um programa de conscientização de usuários é desenvolvido e aplicado. Mas não dá para achar que está tudo bem. Houve um incidente de segurança e isso é sério!
Lembre-se de que as soluções de segurança são apenas uma parte da resposta para reduzir o risco:
- Contenção
Rapidamente deve-se conter o incidente para evitar que ele tome maiores proporções. No entanto, trata-se de uma solução temporária para impedir que o incidente tenha consequências mais sérias.
- Investigação
Nessa fase é necessário investigar as ações relacionadas à ocorrência para, a partir daí, compreender a extensão do problema, seus impactos e tomar as ações corretivas definitivas.
- Erradicação
Se a Contenção é o passo emergencial para evitar que o incidente se torne ainda mais grave, a Erradicação é a medida para sanar o problema de forma definitiva.
Quem dera fosse fácil assim
Ao avaliarmos as fases acima descritas, tudo parece simples e rápido, mas não é bem assim. Aqui estão listadas algumas dificuldades encontradas no processo de detecção e resposta a incidentes de cibersegurança:
- Desenvolvimento de inteligência de segurança para detecção dos incidentes
- Determinação do impacto e/ou escopo de um incidente (o que foi alterado em um sistema, por exemplo)
- Tomada de medidas para minimizar o impacto de um ataque
- Atualização dos controles para evitar tipos semelhantes de ataques no futuro
O Gartner é enfático ao afirmar a necessidade de se investir em detecção e resposta a incidentes de segurança: “pare de tentar proteger exageradamente sua organização e invista em detecção e resposta. A velocidade de detecção e resposta é uma das falhas mais gritantes descobertas em investigações de violação. No mundo digital, o ritmo das mudanças é rápido demais, impossibilitando a antecipação e defesa contra todos os tipos de ataque”.
Não dá para passar por isso novamente
Diante deste cenário, contar com um fornecedor certificado é uma boa estratégia tanto para empresas que desejam se certificar, como para as que exigem de seus fornecedores a mesma seriedade com que encaram o assunto SI. A ISO/IEC 27001, inclusive, possui um grupo de controles sobre o relacionamento na cadeia de suprimento. Ter essa certificação é sinônimo de seriedade no tratamento das informações geradas e custodiadas pela organização, o que inclui, é claro, as informações dos clientes. Além disso, prova o devido cuidado com os respectivos processos e sua melhoria contínua.
