Tríado contra ransomware

Uma abordagem de segurança que leve em consideração a educação dos usuários, adoção de tecnologias de prevenção e políticas de backup é a maneira mais eficaz de lidar contra ransomware.

Quando se trata de lidar com o risco de um ataque ransomware, os usuários e as organizações têm apenas duas alternativas:

1. Torcer para você nunca ser atacado.
2. Seguir algumas regras básicas de segurança.

Acredito que ninguém minimamente informado sobre o perigo dessa ameaça, portanto, ciente do aumento do número de ransomware e de casos relacionados, fará a primeira escolha.

Diante dos casos que tenho ciência, estou cada vez mais convencido de que a melhor defesa contra o ransomware é adotar um enfoque baseado na tríade Prevenção, Recuperação e Educação.

O problema e a sua dimensão

O modus operandi do ransomware já conhecemos: criptografar os arquivos da vítima e, em seguida, convencê-la de que a única maneira de recuperar seus arquivos é pagando um resgate. O sucesso desta ameaça reside no fato de que as vítimas costumam pagar os resgastes.

A Cyber Threat Alliance (CTA) estima que cerca de 325 milhões de dólares foram destinados a pagamentos apenas pelo ransomware CryptoWall em 20151. Estes pagamentos funcionam como incentivo e financiamento para o desenvolvimento de mais ransomwares. Um recente relatório da McAfee mostra um aumento acentuado dessa ameaça nos últimos dois anos2. De acordo com a Kaspersky Lab, o número de usuários que sofreram uma tentativa de ataque por ransomware cresceu 30% em face ao último trimestre de 20153.

A estratégia de defesa

Adotar medidas defensivas é sempre a melhor estratégia. O preço a ser pago pelas consequências de uma infecção é muito maior do que investir em defesa. No entanto, é importante saber que, infelizmente, nenhuma proteção garante segurança total, o que significa que qualquer sistema, por mais que esteja bem protegido, pode ser alvo de um ataque bem sucedido. Os desenvolvedores de códigos maliciosos estão alguns passos à frente das tecnologias de segurança, sempre explorando novas vulnerabilidades.

Há um princípio em segurança da informação conhecido como Pricípio da Insegurança. Este princípio estabelece que não importa o que você faça, quem você seja, e quanto dinheiro você invista, você nunca terá um ambiente 100% seguro.

O fato é que não podemos impedir efetivamente a maioria das ameaças. Fora do ciberespaço, na natureza, as coisas também funcionam assim. Não temos como parar um tornado, por exemplo, no entanto, podemos reduzir os riscos diminuindo a exposição a ele (a ameaça) ou, ainda, atenuar o seu impacto.

Deste modo, a nossa tarefa consiste em mitigar riscos. Mitigá-los para reduzir as chances de uma ameaça explorar as vulnerabilidades do nosso sistema.

# Prevenção:

Medidas preventivas tentam prevenir incidentes de segurança. O que nos importa, aqui, é evitar a infecção inicial usando meios tecnológicos.

Ataques ransomware envolvem diferentes elementos. Um ataque pode começar com um e-mail de spam contendo um link direcionando o usuário a um site malicioso, o qual explorará múltiplas vulnerabilidades, as quais permitirão que o ransomware seja baixado e instalado.

A adoção de recursos tecnológicos conhecidos como controles técnicos4, a fim de prevenir ataques, deve ser feita em multicamadas. Defesa em multicamadas (ou em profundidade) é o uso coordenado de várias contramedidas de segurança para proteger a integridade dos ativos de informação de uma empresa. A estratégia baseia-se no princípio militar de que é mais difícil para um inimigo derrotar um complexo sistema de defesa dividido em camadas do que passar por uma única barreira.

Antes de falarmos sobre cada uma das tecnologias que nos auxiliam, é importante dizer que o elo mais fraco de todo ataque ransomware é a pessoa sentada na cadeira em frente ao computador. Softwares como antivírus, antiSpam, IPS e firewalls ajudam, mas não resolvem. Educar os usuários é um dos componentes mais importante da tríade, sobre o qual falarei mais adiante.

Alguns controles técnicos contra ransomware:

→ Encriptação: a criptografia é um forte controle técnico usado para proteger a confidencialidade dos dados. Isso inclui dados que trafegam pela rede e os dados armazenados em dispositivos como servidores, computadores e dispositivos móveis, principais alvos do ransomware.

Software antivírus: uma vez instalado o software antivírus (ou antimalware), desde que devidamente atualizado, ajudará a protege-lo. A solução deve incorporar, além de mecanismos de proteção baseados em assinatura, análise heurística, comportamental e baseada em reputação. Importante dizer que ransomware não tem como alvo apenas os PCs, mas também MACs, máquinas virtuais e dispositivos móveis com Android.

Intrusion Prevention System (IPS): Um sistema de prevenção de intrusão pode monitorar o tráfego de rede, detectar atividade maliciosa e parar ataques em progresso. Muitas das infecções ransomware resultam de tráfego de rede malicioso. Um cenário de ataque drive-by-download poderia ser prevenido por um IPS. Uma proteção de rede adequada ajuda a impedir que usuários acessem sites maliciosos, bem como proporciona proteção contra exploits remotos a partir de vulnerabilidades dia-zero. Ajuda, também, a prevenir ransomware que tenta chegar até outros computadores pela rede, a fim de “sequestrar” os seus arquivos. Algumas suítes de segurança para endpoints têm um componente de proteção de rede integrado (IPS), o qual pode impedir um grande número desses ataques.

Firewall: um software de firewall instalado no computador, se devidamente configurado, só permitirá tráfego autorizado, bloqueando tentativas do computador se comunicar pela Internet via programas não autorizados. Um computador comprometido tenta se conectar a alguns servidores C&C (comando e controle). Caso a comunicação tenha sucesso, o ransomware receberá o comando do servidor para criptografar os arquivos do usuário. Um computador comprometido com o ransomware Cryptowall, por exemplo, reporta-se a um servidor de comando e controle (C&C) para que este pesquise o endereço IP da máquina, determinando onde o computador infectado está localizado. Em seguida, retorna o preço do resgate, ajustado e adequado de acordo com o país onde a vítima está localizada.

Gerenciamento de patches: patches são atualizações de softwares que fixam bugs e corrigem vulnerabilidades de sistemas operacionais e aplicações. Tais atualizações são críticas, pois invasores usam ferramentas capazes de explorar as vulnerabilidades do sistema. Um dos métodos mais comuns do ransomware se instalar no computador é por meio do “drive-by-download”, causado por visitas acidentais (ou induzidas) a sites que disseminam exploits. Exploits aproveitam-se de vulnerabilidades para acessar ou infectar um computador. A melhor defesa contra invasões e infecções baseadas em exploits é realizar atualizações de segurança em softwares de terceiros e no sistema operacional.

Alguns dos software abaixo são os alvos mais visados dos exploit kits. Se você usa alguns deles, atualize-os com frequência:

  • Adobe: Acrobat Reader, Flash Player e Shockwave Player
  • Microsoft: Windows, Office, Internet Explorer
  • Oracle: Oracle Java

A automação do processo por ser feita, por exemplo, com a suíte de segurança corporativa da Kapersky Lab, a qual possui Gerenciamento de Patches e Vulnerabilidades (Vulnerability Assessment and Patch Management) em suas versões Kaspersky Total Security for Business, Kaspersky Endpoint Security for Business Advanced e Kaspersky Systems Management.

Controle de Aplicação Whitelisting: ferramentas de controle de aplicações, além de bloquear programas a partir de uma lista negra, podem autorizar o funcionamento apenas das aplicações que estão na lista permitida (whitelist). Isso significa que ransomware será automaticamente bloqueado se tentar agir.

Controle da Web: tais ferramentas permitem que você configure políticas de acesso a páginas na web. Você pode proibir ou permitir o acesso dos usuários em sites específicos ou em sites de determinadas categorias, como redes sociais, jogos, sites de apostas, pornográficos, reduzindo a probabilidade de os usuários visitarem sites que propagam ransomware.

Sistemas antiphishing: a maioria dos ataques ransomware começa com e-mails de phishing. Para cada dez e-mails enviados, estatísticas demonstram que pelo menos uma será bem sucedida5. Considerar adotar um sistema antispam e/ou antiphishing. Isto pode ser feito por meio de software ou hardware dedicado, tais como dispositivos Dell SonicWALL, Check Point ou Barracuda.

O uso de software antimalware, firewalls e a realização de atualizações de segurança no sistema operacional, bem como em softwares de terceiros é o básico do básico.

# Recuperação

Backups são cópias de dados criados para garantir que os dados originais caso sejam perdidos ou danificados possam ser restaurados. Vou repetir mais uma vez: backups são cópias de dados criados para garantir que os dados originais caso sejam perdidos ou danificados possam ser restaurados. O fato é que se você trabalha com computadores por tempo suficiente uma hora, inevitavelmente, você vai perder os seus dados. A diferença entre uma grande catástrofe e um pequeno inconveniente é a existência de um backup.

Restaurar um backup recente é a solução ideal, até o momento, para qualquer infecção ransomware. Reconheço que é fora da realidade esperar de um negócio de pequeno ou médio porte a mesma infraestrutura de uma grande empresa. Às vezes, servidores de backup e redundância de servidores estão, simplesmente, fora de cogitação em função de limitações orçamentárias. De qualquer forma, se tempos atrás os backups eram caros e exigiam checkups regulares e manutenção, agora, com possibilidades de armazenamento em nuvem como o Google Drive e DropBox, combinado com preços cada vez mais baixos dos meios de armazenamento, fazer backup não é uma opção, mas uma obrigação de qualquer organização, seja ela pequena, média ou grande.

Apenas uma pequena porcentagem dos usuários fazem backup regularmente de seus dados essenciais. No âmbito corporativo, este exemplo não pode ser seguido. Se a sua empresa não faz backups regulares de arquivos vitais aos negócios, é apenas uma questão de tempo antes que alguma falha catastrófica ocorra. Lembre-se disto: o disco rígido não dura para sempre. Os computadores podem estar sujeitos a todo tipo de evento capaz de destruir os dados. E os dados podem estar sujeitos a ameaças como ransomware.

Os seguintes passos devem ser seguidos por toda organização que tenha armazenado em seus sistemas informações valiosas:

  1. Implemente uma solução de backup baseada em software, hardware ou ambas as formas.
  2. Certifique-se de que todos os dados os seus dados críticos estão acobertados pelo backup, incluindo aqueles armazenados em dispositivos de armazenamento móveis.
  3. Uma vez feito o backup, certifique-se que seus dados estão seguros, redundante e facilmente acessíveis, caso precisem ser restaurados.
  4. Regularmente faça procedimentos de teste com as funções de recuperação e restauração do backup. Teste a integridade dos dados dos backups físicos e a facilidade de recuperação de backups baseados na nuvem ou em software.

Sugiro que comece por avaliar o estado dos seus backups – se é que eles existem – antes de qualquer iniciativa. Se você tem acesso imediato a suas fontes de backup, inicie imediatamente um processo de restauração e verificação manual dos arquivos da sua cópia de segurança. Isto será muito importante caso os seus backups estejam em mídias físicas, tais como drives USB, DVDs ou unidades externas de disco rígido. Estes meios podem deteriorar-se com o tempo, portanto, você precisa saber se os seus arquivos podem ser recuperados caso seja necessário.

Ajuda a impedir que seus backups sejam comprometidos, ter um backup em um dispositivo desconectado da rede. Se os seus backups são facilmente acessíveis por um computador infectado com ransomware, não fique surpreso caso a sua cópia de segurança seja criptografada também! Sistemas de backups isolados da rede é uma das “melhores práticas” para os procedimentos de backup contra ransomware.

Se uma pessoa ou empresa for infectada e não tiver backups adequados, o pagamento do resgate, dependendo do valor das informações, acaba sendo a única opção. Apesar da orientação do FBI ser no sentido de não paga-lo sob nenhuma hipótese, se eu fosse uma vítima, consideraria o pagamento, dependendo do valor dos meus dados, e claro, do valor do resgate.

Apesar de haver ferramentas dedicadas a descriptografar ransomware, esta tarefa não é simples. Tais ferramentas, normalmente, exploram erros nos códigos de criptografia do ransomware, de forma a decodificar os arquivos afetados. Mas, os cibercriminosos corrigem esses erros e atualizam seu código, fazendo com que as ferramentas não tenham mais utilidade. Portanto, não pense que as ferramentas de decodificação de ransomware são proteções efetivas.

A melhor defesa contra ransomware é a abordagem em três vertentes: Prevenção, Recuperação e Educação. Já falei sobre as duas primeiras, agora tratarei sobre a última delas.

# Educação

Deixei por último este item. Na minha opinião, é o mais importante. Especialistas em segurança da informação, na maioria das vezes, gritam que “os seres humanos são o elo mais fraco” da cibersegurança de uma empresa. A grande maioria das violações e incidentes de segurança estão diretamente relacionadas com ações irresponsáveis ou mal-intencionadas das pessoas. 6

E-mails maliciosos são os vetores de ataque preferido dos ransomware. Os funcionários devem ser treinados para reconhecer um link ou anexo malicioso. Não há justificativa plausível para a maioria das organizações não poder reduzir a taxa em cliques maliciosos do seu pessoal. A ação de um único funcionário é suficiente para comprometer toda a rede.

Sensibilizar os funcionários para os riscos do phishing e spear-phishing não é uma tarefa complexa. Eles devem ser educados a não clicar em links suspeitos de remetentes não conhecidos e a abrir anexos de e-mails apenas de pessoas confiáveis, somente se estão esperando o arquivo. Se forem treinados a identificar, por exemplo, os nomes de domínios incorporados em endereços de e-mail e nos links, agirão de forma mais precavida. Da mesma forma, eles devem ser orientados a jamais extrair um arquivo .ZIP vindo de uma pessoa de fora da organização. Algumas organizações contam com o apoio de empresas que simulam ataques de phishing para medir a susceptibilidade dos funcionários em clicar em links ou baixar arquivos. É uma ideia que a sua empresa pode considerar.

Conclusão

Proteger-se contra invasões e ataques requer garantir a proteção das principais camadas de defesa. Se considerarmos uma rede de computadores em uma série de camadas em que o ransomware precisa ultrapassar para penetrar, a camada mais externa seria aquela dos usuários. Afinal, é preciso a interação do usuário a fim de iniciar ou permitir a intrusão de rede. Só depois que um usuário clica em um link malicioso a camada de proteção envolvendo controles técnicos (firewalls, antivírus, IPS etc) entra em jogo. Desta forma, a primeira camada de segurança, que é a do operador humano, precisa ser fortalecida.

Somente em últimos anos que a importância desta camada de segurança tem sido reconhecida. Tempos atrás, acredita-se que o software resolveria todos os problemas. Por si só, não é mais suficiente. É necessário para a proteção, mas não suficiente.  Os usuários, agora,  devem ser treinados para prevenir que tais ataques aconteçam.

E por fim, usuários domésticos e empresas não podem mais negligenciar políticas de backup. Atualmente, é a única forma efetiva de recuperação dos danos causados por uma infecção, desde que sejam seguidas algumas práticas.

Referências

  1. Lucrative Ransomware Attacks: Analysis of the CryptoWall Version 3 Threat – http://cyberthreatalliance.org/cryptowall-report.pdf
  2. McAfee Labs 2016 Threats Predictions: http://www.mcafee.com/us/resources/misc/infographic-threats-predictions-2016.pdf
  3. Kaspersky descobre 2900 variantes de ransomware no Q1: http://www.nolicorp.com.br/kaspersky-descobre-2900-variantes-de-ransomware-no-q1/
  4. Controles técnicos servem para reduzir as vulnerabilidades do sistema. Um administrador instala e configura um controle técnico, o qual protegerá automaticamente o sistema, a fim de prevenir ataques.
  5. Golpes combinam phishing e ransomware para sequestrar dados: https://www.elpescador.com.br/blog/index.php/golpes-combinam-phishing-e-ransomware-para-sequestrar-dados/
  6. Estima-se que algo em torno de 80% de todas violações de segurança sejam causadas por usuários maliciosos (funcionários desonestos, funcionários terceirizados, estagiários ou outros usuários que abusam dos seus privilégios).
ASSINE NOSSO BOLETIM
Concordo em informar meus dados pessoais para recebimento da newsletter.
Junte-se a mais de 8.000 visitantes que estão recebendo nossa newsletter sobre cibersegurança.
Seu endereço de email não será vendido ou compartilhado com mais ninguém.