Ransomware: você vai ser a próxima vítima?
Muito a imprensa tem noticiado sobre ransomware ao longo desse ano. Sabe-se, no entanto, que a ameaça é bem mais antiga e como podia-se prever, aumentou significativamente desde seu surgimento.
De forma simplificada, ransomware é um tipo de malware que bloqueia a tela do computador impedindo o acesso dos arquivos até que seja pago um “resgate”. O valor não costuma ser uma quantia vultosa, para aumentar a probabilidade de pagamento. Pagar ou não, no entanto, pode resumir-se a uma decisão de negócios sobre o tempo e esforço necessários para restaurar os arquivos de backups versus o custo do resgate para obter a chave de decodificação versus o risco de não receber a chave (mesmo mediante pagamento). A orientação do FBI é de não sucumbir à chantagem, até porque não há garantia de entrega, mas nem todas as vítimas resistem e muitas acabam sendo vítimas mais de uma vez justamente por isso.
De qualquer forma, essa ameaça tem todos como alvo - independente do tamanho da empresa ou do segmento de mercado no qual ela atua - e promete ser uma dor de cabeça por muito tempo.
Segmento Financeiro
Nenhuma empresa ou segmento está imune, mas para o setor financeiro o prejuízo pode ser ainda mais doloroso. No final de 2015 instituições financeiras americanas, como FFIEC e FSSCC, emitiram alertas sobre extorsão cibernética e malware destrutivo.
Há 2 anos uma corretora também nos Estados Unidos foi vítima do CryptoWall. Embora, na época, tais incidentes não ganhassem notoriedade, esse ransomware foi uma das 3 principais ameaças para instituições financeiras nos 2 últimos anos, conforme aponta uma pesquisa da Palo Alto Networks.
Segmento de Saúde
No início do ano a rede do Hollywood Presbyterian Medical Center ficou paralisada por mais de 1 semana por conta de um ataque de ransomware. Tomografias computadorizadas, exames de laboratórios e a documentação referente a 430 leitos ficaram fora do ar, levando à transferência de pacientes para outros hospitais.
Como esse, existem tantos outros casos em todo mundo, mas muitos não são divulgados. Isso porque as organizações de saúde só precisam denunciar violações se 500 ou mais registros de pacientes forem expostos*. Ataques ao setor de saúde impactam sistemas hospitalares – como o Methodist Hospital - e, consequentemente, o tratamento de pacientes, mas não resultam em registros violados e, portanto, não são relatados (embora atualmente existam pontos de vista opostos sobre a necessidade de denúncia desse tipo de incidente).
O líder de operações de cibersegurança de um hospital vivencia com frequência infecções de ransomware provenientes de campanhas de phishing específicas contra a instituição. Quando se consegue identificar a máquina e isolá-la da rede, é possível evitar o impacto nas operações clínicas e assistência ao paciente. No entanto, a história é bem diferente quando há infecção generalizada na rede.
*Violações denunciadas apenas nos EUA visto que no Brasil não existe lei que exija tal registro.
Segmento de Administração Pública
O governo sempre esteve na mira dos cibercriminosos - quem não se lembra dos ataques hackers contra o Itamaraty? - e não seria diferente agora com essa nova epidemia. Recentemente foi noticiado que o governo de Maharashtra, na Índia, foi alvo do malware.
O FBI tem recebido continuamente denúncias do governo norte-americano, por conta da lei de cibersegurança que obriga serem relatados os ataques. No país, algumas vítimas pagaram mais de US $24 milhões de resgate em 2015, de acordo com estatísticas do IC3. O Departamento de Segurança Interna dos EUA (DHS) relata que 29 agências notaram mais de 300 incidentes relacionados com ransomware nos últimos 9 meses mas, felizmente, os ataques não tiveram sucesso. No entanto, como a criatividade é uma das características do cibercrime, uma nova abordagem envolvendo o governo já está colhendo frutos: os atacantes usam o nome de instituições governamentais como suposta fonte a fim de atrair usuários desavisados para clicar nos links maliciosos enviados por e-mail. Foi exatamente o que aconteceu na Austrália; empresas receberam e-mails ilegítimos com ransomware em nome da Polícia Federal e do Correio.
Segmento da Indústria
A maioria das chamadas sobre ataques a sistemas de controle industrial (ICS) tendem a se concentrar em um dos três tipos de ameaça: estados-nação (ex: Stuxnet), criminosos que roubam propriedade intelectual (ex: Urso Energético), ou terroristas (ex: ISIS ataca infraestrutura crítica nacional).
O ransomware não deve ser encarado apenas como um problema da TI corporativa; é também uma séria ameaça aos ambientes de Tecnologia Operacional (OT). Um relatório recente da Palo Alto afirma que "ransomware não é uma única família de malware, mas um modelo de negócio criminoso".
Por que então os cibercriminosos querem ir atrás de um ambiente ICS? A resposta é simples: porque existe maior probabilidade de pagamento do resgate. A interrupção, mesmo que por algumas horas, de algum sistema crítico, é um fator a favor dos cibercriminosos. Imagine a falta de luz em uma cidade ou a paralisação de uma produção industrial? Os prejuízos podem ser devastadores.
Além dos potencialmente elevados resgates, outra razão para os atacantes mirarem em ICS é a percepção de seu "ponto fraco". Tais ambiente são conhecidos por terem longos ciclos de aplicação de patches, deixando as vulnerabilidades sujeitas a ataques. Além disso, a vulnerabilidade poderia ser exacerbada visto que ambientes ICS começam a aumentar a sua utilização de sistemas comerciais off the shelf (COTS), incluindo sistemas operacionais, aplicativos de TI e aplicações de OT.
De janeiro de 2014 até agora, a Palo Alto Networks encontrou mais de 4.600 amostras e 525.000 sessões de transferência para as mais de 30 famílias de ransomware, indicando que os ataques estão realmente acontecendo nas infraestruturas críticas. Não está claro, no entanto, se eles são especificamente para TI ou OT. O cenário mais provável é que apenas o ambiente de TI seja impactado, como aconteceu com a Autoridade de Energia Elétrica Israelense (em janeiro de 2016) e o Conselho de Água e Luz (em abril de 2016). Ambos relataram terem sido infectados por ransomware através de um spear phishing para o ambiente de TI. Em nenhum dos casos houve interrupção do serviço, mas muitas máquinas foram tomadas offlines e substituídas para recuperar o ambiente de TI.
Já um fabricante de Betão não teve a mesma “sorte”. A infecção pelo ransomware causou a inatividade de produção por 2 dias. O Cryptowall, um clone da família CryptoLocker que já faturou mais de US$300 milhões em resgate, foi introduzido no ambiente de TI através de um e-mail spear phishing e criptografou arquivos críticos de contabilidade para diversos sistemas de produção. Diante de tal cenário decidiram pagar para ter os arquivos decriptografados.
Como são entregues
Como todos os outros e-mails de phishing, que você continuamente orienta seus colaboradores a deletar, o ransomware conta com a mesma técnica de engenharia social para enganar os usuários. Em outros casos, o malware se hospeda em sites legítimos de um host inocente (que desconhece a ameaça) apenas à espera de um clique. Tendo em vista as opções, as proteções devem contemplar os diversos cenários.
Ih... aconteceu!
Este malware é mais difícil de ser detectado e prevenido que outros tipos, uma vez que os atacantes mudam rapidamente o host de distribuição (normalmente em poucas horas), enganando as defesas da rede. Até é possível rastrear uma máquina infectada quando, em algum lugar na rede, ela criptografa o conteúdo de um drive compartilhado por um departamento inteiro. Mas aí já é tarde, os conteúdos já foram criptografados e mesmo os melhores processos de remediação não são suficientes para salvá-los.
Por isso é tão importante estar preparado. Para incidentes pontuais, o procedimento deve considerar:
- Isolamento da máquina infectada
- Restauração, a partir do backup, dos arquivos corrompidos (criptografados) no drive de compartilhado pelo departamento
Por isso é fundamental a realização de backups regulares de desktops e notebooks, drives compartilhados e quaisquer outros sistemas de armazenamento. Além disso, a integridade do sistema de backup precisa ser verificada para garantir que não ocorram surpresas quando restaurações forem necessárias. Aliás, essa já deve ser uma prática recorrente dos planos de continuidade de negócio, mas vale a pena ressaltar que backups são essenciais em todas as ações de remediação de ransomware.
Proteção
Não existe uma solução mágica para impedir o ransomware – trata-se de reduzir o risco risco da forma mais efetiva possível, prevenindo e detectando a ameaça. Dessa forma, recomenda-se a adoção de boas práticas e de uma segurança em camadas.
Pessoas e Processos
- Treinamentos - atualizar o programa de conscientização da empresa para orientar os colaboradores sobre a ameaça, o que deve ser observado e para quem relatar qualquer suspeita. Quanto mais diretor for o treinamento, melhor será o retorno.
- Teste a prática - vale fazer testes para checar a efetividade do treinamento. Exercícios ajudam a manter os colaboradores atentos aos e-mails de phishing e navegação na internet.
- Backups - algumas organizações não percebem que seus backups foram comprometidos ou configurados incorretamente até que seja necessário utilizá-los. Recomenda-se a execução diária do procedimento e uma periodicidade maior para sistemas críticos. Além disso, as funções de administrador de backup devem ser atribuídas de forma adequada e restrita, usadas com moderação e regularmente auditadas. Por fim, teste seus backups frequentemente para validar se eles podem ser restaurados.
- Atualização de patches em dia - lembre-se que muitos exploits podem danificar suas redes porque eles foram desenvolvidos para esse fim! Por isso, reduza o tempo de aplicação de patches no seu ambiente (software, programas e aplicações).
- Softwares e serviços desnecessários - desativar completamente, se for possível.
- Privilégios dos usuários – aplicar o princípio do menor privilégio para os usuários com permissões em discos compartilhados na rede da organização, a fim de minimizar os impactos de um incidente. Como este processo pode demandar um grande esforço, sugere-se começar nas unidades de rede usadas por departamentos críticos.
Tecnologia
- Reforce o controle de acesso em seu data center - dado que este é um ambiente controlado, você pode ser mais restritivo, especialmente durante o ciclo de vida do ataque.
- Digitalize e bloqueie arquivos suspeitos, como executáveis em todos os e-mails recebidos ou sessões de navegação na Internet.
- Evite a entrada de malwares por meio de sistemas de prevenção de intrusão (IPS e firewall) para ameaças conhecidas e análise de sandbox para ameaças de dia zero. Assim você pode parar ameaças desconhecidas (URLs e executáveis) antes de chegar ao ponto final. Sandboxing é a melhor maneira de detectar novas variantes de ransomware.
- Bloqueie o tráfego de saída para URLs ou sites maliciosos, pois este tipo de acesso normalmente faz parte do ciclo do ataque de ransomware. Vale também alertar os usuários com uma página de "continuar" a fim de barrar acessos e downloads automatizados.
- Contenha quaisquer ameaças através da segmentação da rede interna para limitar o movimento lateral.
- Reforce o conceito de Proteção em Camadas, estabelecendo controles de segurança em:
- Perímetros de rede
- Servidores Web
- Servidores de Banco de Dados
- Gateway de Email e Web
- Endpoints
- Dispositivos de conectividade
- Dispositivos móveis
Autoanálise
Verifique se as tecnologias atualmente implantadas na sua rede estão sendo utilizadas corretamente. Além disso, inteligência sobre ameaças e gerenciamento proativo também são fundamentais para extrair todos benefícios do investimento em tais produtos.
Encare a ameaça do ransomware como uma oportunidade para rever suas práticas de segurança, independentemente das normas que utiliza.
Fontes:
Publicações da Trend Micro e Palo Alto