Ransomware

Empresas, grandes, médias ou pequenas, estão ameaçadas por ataques de ransomware cada vez mais agressivos. A restrição de acesso a arquivos críticos, seguida de uma demanda por pagamento, pode causar, além da indisponibilidade do acesso a informações importantes e de danos a sua reputação, uma interrupção enorme na produtividade.

Embora com algumas ocorrências esparsas registradas desde 1989, o mundo foi “oficialmente” apresentado ao ransomware pelo CryptoLocker em 2013. Um estudo da Dell estima que entre 200.000 e 250.000 sistemas foram infectados em todo mundo. Especialistas do setor, indicam que houve um pagamento de mais de 3 milhões de dólares nos primeiros meses do ataque. A variante CyptoWall que veio em seguida levou a prejuízos de 328 milhões de dólares em 18 meses.

Mas afinal de contas: o que é ransomware, como ele age e o que podemos fazer para evitar?

O que é Ransomware?

O ransomware é um malware que restringe o acesso do usuário ao sistema e criptografa arquivos ou mesmo todo o seu sistema. Em seguida, o proprietário dos dados é informado que, para recuperar o acesso, é necessário pagar um “resgate” ao hacker, normalmente em criptomoedas como Bitcoin, para que este envie uma chave que, supostamente, permitirá descriptografar e recuperar o acesso aos arquivos.

A descrição acima é a clássica de ransomware. Mas tudo evolui. Com o advento da GDPR (General Data Protection Regulation, lei de proteção de dados que entrou em vigor na Europa em 2018) e a eminência da entrada em vigor da LGPD (Lei Geral de Proteção de Dados brasileira) os hackers enxergaram mais um nicho de mercado: a exploração do medo de vazamento de dados e dos consequentes pagamentos de multas, conforme descrito nas regulamentações, bem como da perda de reputação com a divulgação deste vazamento.

O Maze, anteriormente denominado ChaCha, é um exemplo desta nova modalidade de ransomware. Os hackers realizam ataques direcionados e oferecem duas razões para que as empresas concordem com o valor pedido na extorsão: obtenção da chave de descriptografia e a não-liberação das cópias de seus arquivos feitas antes de serem criptografados.

Como o ransomware se propaga?

O ransomware normalmente se propaga de uma forma distribuída, atacando um número alto de usuários e colhendo os frutos dos ataques bem sucedidos. Entretanto, com a evolução e especialização, os ataques direcionados e individuais a organizações específicas tem se tornado bem mais comuns.

Ataques distribuídos

A forma mais comum de propagação de um ransomware é por e-mail. O leque é amplo, com mensagens que vão de simulação de uma mensagem enviada por seu chefe ou amigo sugerindo o download de uma planilha ou arquivo para execução de um trabalho, a elaboradas mensagens baseadas em engenharia social.

Arquivos recebidos via programas de redes sociais, como Facebook Messenger, de atacantes que se fazem passar por conhecidos são também potenciais vetores para estes ataques. Download de arquivos em websites comprometidos, ou até mesmo navegação em sites maliciosos com navegadores e/ou plugins desatualizados é uma forma de propagação.

Outra porta de ataque é o acesso a sessões remotas via RDP em computadores desatualizados ou com uma política de segurança fraca. A execução de arquivos em pen-drives e outras mídias como uma forma de propagação, não pode deixar de ser considerada.

Pela característica do software e sua constante evolução, basta que um usuário de sua rede esteja infectado para que ataques a arquivos espalhados pela rede corporativa sejam possíveis.

Ataques direcionados

Normalmente este tipo de ataque tem como alvo uma organização específica, e se aproveita de alguma vulnerabilidade ou má configuração. O hacker ganha acesso à rede via uma ferramenta de compartilhamento ou gerenciamento remoto - como RDP ou VPN -, ou pela execução de um arquivo infectado na rede, que entrou por uma das formas citadas anteriormente.

Em seguida o hacker busca elevar seu privilégio para administrador e se desviar das ferramentas de segurança. Utilizando-se de vulnerabilidades nos servidores ou nos sistemas de compartilhamento de arquivos, ele se propaga pela rede.

A partir daí os administradores da rede são notificados que os arquivos foram criptografados e que será preciso o pagamento do “resgate” para retomar acesso a eles.

Qual é o cenário atual?

O estudo da Sophos “The State of Ransomware 2020”, conduzido pela Vanson Bourne, analisou 5.000 gerentes de TI em 26 países, e apresenta alguns dados de 2019:

• 51% dos entrevistados foram atacados por ransomware, sendo que os atacantes tiveram sucesso em criptografar os dados em 73% dos ataques;

• destes 73% comprometidos, 41% tinham os dados em servidores locais e 59% em clouds públicas;

• a diferença entre os ataques referentes ao tamanho das organizações foi pequena: 54% das organizações com 1001-5000 funcionários foram atacadas enquanto nas organizações com 100-1000, 47% reportaram ter sido vítimas;

• 29% dos ataques foram realizados pelo download de arquivo ou com link malicioso em um e-mail, 21% por ataque remoto a servidor, 16% por e-mail com arquivos anexos, 9% por instâncias clouds mal configuradas, 9% por RDP e 9% via fornecedores.

O relatório “Data Breach Investigations Report 2020”, da Verizon, informa que 27% dos incidentes de malware registrados foram ransomware. O relatório apresenta uma preocupação com o fato de que os ransomwares estão capturando as informações antes de criptografá-las, com o objetivo de expô-las caso não recebam o “resgate”. Um comentário importante do relatório é que os números de ataques ransomware podem estar subestimados uma vez que, ao interromper um ataque malware, o ransomware é bloqueado antes de se manifestar.

E o futuro?

Um relatório do UK’s National Cyber Security Centre (NCSC) e do National Crime Agency (NCA) alerta para o crescimento do ransomware como serviço e ataques a dispositivos móveis.

Independente do nome, Ransomware as a Service (RaaS) ou Exploit as a Service (EaaS), um hacker pode contratar kits por um valor fixo ou um percentual do resultado. O RIG Exploit KIT v3 por exemplo é oferecido na Deep web por valores desde US$ 499.

A divisão de resultados também é um cenário existente e que gera grandes volumes. O Nemty, que atuava em um esquema de divisão de resultados no qual ele ficava com 30% do resgate pago enquanto o distribuidor ficava com 70%, anunciou no início de abril que estava fechando sua operação pública e se tornando privado com o objetivo de focar em ataques direcionados. Se tornar privado é um jargão para atuar com um número restrito de parceiros.

A tendência é o crescimento no ataque especializado a redes corporativas e de infraestrutura pública, vide o caso do Maze citado anteriormente, mas não se pode descartar o ataque ao indivíduo pois além do RaaS trazer mais atores ao mercado, ainda temos a cauda longa das antigas versões.

Como se proteger?

Como apresentado até agora, estar seguro contra o ransomware – e contra outras ameaças de segurança – não é apenas ter a solução mais recente. Uma política de segurança de TI baseada em boas práticas e a conscientização de todos na organização obtido com o treinamento regular e consistente aos funcionários é essencial.

Algumas ações que devem ser observadas:

Treine e eduque – O treinamento e conscientização dos funcionários são críticos. Os profissionais, independentemente de serem da área de TI, devem saber o que fazer – e o que não fazer –, como evitar o ransomware e como denunciá-lo.

Presuma que você será atacado – Construa sua política de segurança baseado no fato que você é um alvo em potencial. Não confie no fato de que você não será um alvo, seja porque sua empresa é pequena, seja porque você não teria dados interessantes. Para o atacante o que importa é quanto ele pode obter com o ataque e não apenas quão importante os dados são para o mercado.

Mantenha seus produtos atualizados – Mantenha seus sistemas operacionais, navegadores e outros softwares atualizados com os patches mais recentes dos fabricantes. Lembre-se que os ataques acontecem não apenas pela execução de um arquivo infectado, mas pela exploração da vulnerabilidade nos softwares utilizados.

Backup, backup e backup – Faça backups constantes. Mantenha cópias de seus arquivos off-line e também fora de sua empresa. Se possível siga a regra 3-2-1: no mínimo três cópias dos dados, em no mínimo dois tipos diferentes de mídia e com ao menos 1 cópia fora da empresa. Ferramentas de backup que utilizam sistemas de arquivos locais podem ser comprometidos da mesma forma que os arquivos originais; daí quando você for precisar do backup, ele não estará disponível. E não deixe de testar a restauração de seus backups em períodos regulares.

Habilite as extensões de seus arquivos – O Windows normalmente vem configurado para não exibir as extensões de arquivos conhecidos. Um arquivo como Orçamento202006.pdf neste caso pode ser um executável de nome Orçamento202006.pdf.exe, uma vez que a extensão .exe não é exibida.

Extensões .JS devem ser abertas no Notepad – Altere a configuração de seu sistema operacional para abrir arquivos .js no notepad, evitando que macros maliciosas sejam executadas pelo usuário com um duplo clique no arquivo.

Mantenha a execução automática de macros desabilitada no Office – A Microsoft alterou esta configuração, desabilitando a execução automática, em versões anteriores. Mantenha assim.

Suspeite dos anexos recebidos – Tenha certeza de que o arquivo que recebeu é realmente necessário e foi realmente enviado de forma intencional pelo remetente. Os atacantes contam com sua curiosidade em abrir o arquivo.

Use com critério e monitore o uso dos direitos de administrador – Revise constantemente quem tem o direito de administrador e se não for necessário remova. Mantenha-se conectado como administrador o mínimo possível.

Controle o acesso externo à rede – Mantenha o mínimo de portas abertas para acesso público. Dê preferência ao acesso exclusivo via VPN (vide artigo VPN – como utilizar de forma segura?) e sempre que possível com autenticação de dois fatores. Bloqueie o acesso direto via RDP.

Monitore seus logs – Nos primeiros momentos dos ataques de ransomware, os hackers roubam uma grande quantidade de dados e executam ações para identificar como contornar a segurança de sua rede. Estas movimentações normalmente deixam sinais de que algo diferente está acontecendo e que deve ser analisado.

Use senhas fortes – Embora esta seja uma recomendação de 10 em cada 10 profissionais de segurança, ela precisa ser repetida aqui. Configure seus sistemas de autenticação para exigir senhas com maior grau de complexidade e, se possível, autenticação de múltiplo fator. Alguns usuários irão reclamar, mas o treinamento mostrará a eles que é necessário.

Utilize ferramentas de proteção anti-ransomware – Anti-vírus que trabalham com base em assinatura, embora sejam eficientes em muitas situações, não conseguem acompanhar a velocidade do ransomware. Como parâmetro, o SophosLabs, laboratório de análises da Sophos, recebe e processa aproximadamente 400.000 amostras de malware não vistas anteriormente por dia. Faça uso de uma ferramenta que utilize inteligência artificial para monitoramento de seu endpoint. Se essa ferramenta puder combinar assinatura com inteligência artificial e se trabalhar em conjunto com outras ferramentas de segurança em sua rede, como seu firewall, certamente você terá ganhos expressivos em seu cenário.