BOAS PRÁTICAS DE PROTEÇÃO CONTRA RANSOMWARE
O QUE É RANSOMWARE?
É POSSÍVEL RECUPERAR MEUS ARQUIVOS?
As chances são mínimas. Menos de 1% de toda população de ransomware pode ser decriptada. O ransomware encripta seus arquivos usando criptografia alta de nível militar as quais são irreversíveis. A única forma de conseguir recuperar é tendo uma chave privada e senha que estão em posse do atacante. As ferramentas para decriptar arquivos, como o Ransomware Recognition Tool da BitDefender são construídas contendo material aprendido pelas autoridades de segurança e através disto, os fabricantes de antivírus são capazes de fabricar ferramentas para reverter o dano causado. Por este motivo a BitDefender possui uma parceria com a Interpol e Europol de forma a assistir nas investigações. Entretanto, o volume de material aprendido é insignificante quando comparado ao volume de ransomware produzido no mundo todo. Leve em conta que este tipo de ameaça é altamente sofisticada e está em constante aprimoramento.
EXISTEM MUITAS VARIANTES?
Segundo dados da BitDefender do ano de 2017, 400 novos tipos de ransomware são lançados por hora, logo o volume de ameaças ultrapassa a casa dos milhões. Além disto, a cada 40 segundos uma empresa é atacada, perfazendo um volume de 5 milhões de ataques por hora.
COMO O RANSOMWARE SE DISTRIBUI E COMO ELE ATACA
- Discos externos e internos.
- Setor de boot (MBR)
- Arquivos e pastas do disco local (incluindo arquivos de backup)
- Partições em disco.
- Compartilhamentos de rede.
- Cartões SD.
- Volumes do Microsoft Shadow Copy. (Normalmente, os dados são deletados.)
QUAIS OS SISTEMAS OPERACIONAIS PODEM SER ATACADOS?
Praticamente todos que existem (Windows, Linux, MAC, Unix, IOS, Android e Windows Phone). Ele ataca todos os tipos de dispositivos também, PCs, servidores, tablets e smartphones.
Estes malwares podem atacar compartilhamentos de rede e muito frequentemente a infecção começa em estações de trabalho.
O QUE AS AUTORIDADES ESTÃO FAZENDO?
BOAS PRÁTICAS DE PROTEÇÃO CONTRA RANSOMWARE
1. Mantenha tudo atualizado: mantenha os sistemas operacionais, navegadores, extensões, aplicativos e bases de dados atualizados, é de extrema importância. Isto corrige vulnerabilidades que estão sendo usadas por exploits e trojans para infiltrar ransomware.
Dica: você sabia que o BitDefender GravityZone possui um addon chamado BitDefender Patch Management capaz de atualizar sistemas operacionais Microsoft, centenas de aplicativos e utilitários de terceiros (Adobe, Corel, Autodesk, Google e outros) e vários outros produtos? Saiba mais sobre as aplicações suportadas.
2. Verifique seu antivírus: esteja atento a upgrades de versão e atualizações de vacina do seu antivírus, bem como as funcionalidades de detecção de ameaças, as quais devem estar todas ativadas.
Dica 1: esteja certo de que suas configurações de ativar os recursos Advanced Threat Control, Ransomware Vaccine, IDS, Antivírus web e antiphishing em seu BitDefender GravityZone. Desta forma você estará excelentemente bem protegido.
Dica 2: o BitDefender GravityZone possui agora addons que implementam um alto nível de segurança e uma detecção mais precisa de ameaças furtivas, ataques usando técnicas de ofuscação ou fileless e ainda, tentativas de invasão. O HyperDetect é uma inteligência artificial que oferece 21 novas camadas de proteção e foi concebida para detectar ataques feitos por seres humanos ou inteligências artificiais ou ainda ataques feitos por exploits e trojans altamente sofisticados. Quando o Hyperdetect não comprende um tipo de ataque ele coleta arquivos e envia para o Sandbox Analyser que executa estes arquivos em uma máquina virtual e analisa usando machine learning para determinar o grau de ameaça. Se for um item malicioso, ele é imediatamente bloqueado após o veredito. Você pode adquirir o Sandbox Analyser e o HyperDetect separadamente e seu licenciamento é por máquina.
3. Restrinja o acesso a seus compartilhamento: evite que todos os usuários da empresa possam acessar todos os seus compartilhamentos livremente. Atribua permissões de acesso à eles. Se você tem muitos departamentos ou setores em sua empresa, separe seus compartilhamentos por setor ou departamento e restrinja o acesso aos funcionados que trabalham nele e diretores.
4. Implementar uma estratégia de disaster recovery ou backup: este o meio de defesa mais recomendado e seguro. Você deve realizar imagens de disco ou backup de seus dados diariamente. Servidores, estações de trabalho críticas e dispositivos mobile de uso corporativo devem ser protegidos. Dependendo do volume de alteração de seus dados a frequência do backup poderá ser maior, podendo chegar até a proteção contínua de dados (CDP).
Dica: oferecemos a nossos clientes a solução Acronis Backup e Acronis Backup Cloud que possuem proteção nativa contra ransomware chamada Acronis Active Protection, a qual monitora, detecta e bloqueia comportamentos suspeitos e intrusivos, bem como tentativas de criptografia ou manipulação de seus backups, arquivos protegidos e agentes.
5. Replicar backups: você precisa estar atento a possibilidade de que o ransomware ataque seus backups. Logo, recomenda-se replicar seus backups para um segundo local seguro. Este segundo local poderá ser uma unidade de fita, armazenamento na nuvem, NAS ou SAN.
Dica: oferecemos a nossos clientes a solução Acronis Backup Advanced e Acronis Backup Cloud que permitem que você replique seus backups para nuvem, garantido que eles estão a salvo de qualquer ameaça. Este modelo, combinado com a proteção do Acronis Active Protection torna-se a solução perfeita.
7. Segurança de gateway de borda: Esta é uma camada de proteção importante e Indispensável. Usar um gateway de borda com firewall, proxy, antivírus integrado e capaz de analisar protocolos HTTP, HTTPS, FTP e P2P é uma linha de defesa muito importante. Bloquear todo tipo de tráfego nocivo e impróprio para o ambiente de trabalho é vital para proteção. Esteja certo de restringir o tráfego dos usuários de acordo com papel que eles desempenham na sua organização.
Dica: oferecemos a nossos clientes a proteção de servidores Exchange do BitDefender GravityZone que conta com várias camadas de proteção contra malware e spam, além de antispoofing, antiphishing, controle de conteúdo e de anexos.
8. Segurança de e-mail: um dos principais meios de distribuição de ransomware é o e-mail. Se sua empresa possui um servidor de correio é importante utilizar um bom antispam, antivírus, antiphishing, antispoof, controle de conteúdo e controle de anexo.
Dica: oferecemos a nossos clientes as soluções de antispam, antiphishing e antimalware para uma proteção extremamente eficaz e o BitDefender GravityZone for Exchange para servidores de correio Microsoft Exchange. Esta solução permite que você estabeleça políticas de controle de anexos para extensões perigosas e eduque diariamente seu software de antispam.
9. Windows Explorer deve mostrar as extensões de arquivos: você pode forçar o Windows Explorer a mostrar a extensão dos arquivos. Oriente seus funcionários a estarem atentos para extensões como: .ZIP.EXE, .EXE, .JS, .VBS, .SCR, .PS1, .BAT. ZIP.EXE e outras. Visite este artigo da Microsoft para saber quais são as extensões perigosas:
10. Segmentação de redes: segmentar redes por departamento ou setor criando VLANs isoladas ajuda a evitar a propagação de infecções e oferece mais controle, proteção, privacidade e segurança. Isto também evita o acesso não autorizado de pessoas a arquivos e aplicações de negócio restrita a determinados departamentos de sua empresa.
11. Educar os usuários: esta é a medida mais importante. Os usuários finais precisam aprender a identificar comportamentos suspeitos. Oriente-os a realizar as seguintes práticas:
- Identificar se o remetente é confiável e conhecido.
- Identificar e-mails com assuntos suspeitos de empresas que você não conheçe ou não tem relacionamento comercial.
- Identificar e-mails com anexos tem uma extensão maliciosa ou não.
- Identificar e-mails com links maliciosos.
- Identificar e deletar mensagens contendo fraudes, phishing, malware ou spam.
- Identificar mensagens suspeitas em mensageiros instantâneos (Whatsapp, Skype e outros).
- Identificar mensagens e links maliciosos em redes sociais.
- Identificar sites fraudulentos.
- Evitar ao máximo acessos à drives na nuvem (Google Drive, Dropbox e outros).
- Refletir e analizar antes de abrir ou clicar em links.
- Navegar somente em locais seguros ou conhecidos.
- Não usar ferramentas P2P na empresa.
12. Bloqueie dispositivos não confiáveis: ransonware e outros malwares podem entrar em sua rede através de pendrives, smartphones, câmeras, mp3 e outros dispositivos. Bloqueie o uso destes dispositivos usando o controle de dispositivos do BitDefender GravityZone.
Dica: em empresas que recebem visitas de fornecedores, colaboradores e parceiros que necessitam de conexão de internet, crie uma VLAN isolada para o atendimento destes visitantes.
13. Bloqueie o autorun: é muito importante desativar a execução automática do Windows em máquinas onde você não está bloqueando dispositivos não confiáveis.
14. Desative o uso de macros no Microsoft Office: documentos do Microsoft Word e Microsoft Excel estão sendo distribuídas com macros maliciosas que fazem o download de ransomware em background e o executam. Por este motivo é altamente recomendado a desativação do suporte a Macro no Microsoft Office.
15. Desative Windows Script Host: se você não estiver usando scripts VBScript ou JScript considere desativar o recurso Windows Script Host. Consulte este artigo da Microsoft.
16. Habite políticas de restrição de software: os administradores de sistema podem implementar uma GPO (Group Policy Objects) para bloquear a execução de softwares a partir de locais especificados. Você poderá criar políticas de restrição de software para bloquear a ação do Cryptowall, uma das variantes mais perigosas de ransomware.
17. Use senhas complexas: senhas fáceis podem ser facilmente exploradas por malwares munidos de capacidades de ataque de força brutal.
18: Use VPN e corte outros acessos: hackers estão invadindo sistematicamente ambientes Linux via SSH e Microsoft Terminal Server ou Área de trabalho remota do Windows. Geralmente eles exploram contas de usuários com senhas fracas e vulnerabilidades conhecidas. O objetivo destes ataques é coletar informações úteis para venda ou extorsão e infectar equipamentos com ransomware. Estes ataques ocorrem em nuvens públicas, privadas, hibridas e em servidores locais acessíveis através da internet. Recomenda-se fechar todos os acessos públicos no seu firewall, estabelecer um túnel de VPN e fazer as conexões aos serviços através do mesmo.