Boas práticas de proteção contra ransomware

BOAS PRÁTICAS DE PROTEÇÃO CONTRA RANSOMWARE

O QUE É RANSOMWARE?

O ransomware é um malware que encripta arquivos geralmente com criptografia alta e exclui os arquivos originais. Alguns minutos após a infecção você receberá um e-mail informando um valor a ser pago para resgatar seus dados. O valor e o texto da mensagem podem variar e o pagamento é normalmente Bitcoin. A vítima faz o pagamento e o atacante desaparece sem deixar rastros.
Infelizmente, o crescimento de ransomware está sendo impulsionado em mundo todo devido a usuários que arriscam pagar para obter seus dados, entretanto, não foram registrados pelas autoridades e fabricantes de antivírus, usuários que pagaram e que tiveram seus dados restaurados.

É POSSÍVEL RECUPERAR MEUS ARQUIVOS?

As chances são mínimas. Menos de 1% de toda população de ransomware pode ser decriptada. O ransomware encripta seus arquivos usando criptografia alta de nível militar as quais são irreversíveis. A única forma de conseguir recuperar é tendo uma chave privada e senha que estão em posse do atacante. As ferramentas para decriptar arquivos, como o Ransomware Recognition Tool da BitDefender são construídas contendo material aprendido pelas autoridades de segurança e através disto, os fabricantes de antivírus são capazes de fabricar ferramentas para reverter o dano causado. Por este motivo a BitDefender possui uma parceria com a Interpol e Europol de forma a assistir nas investigações. Entretanto, o volume de material aprendido é insignificante quando comparado ao volume de ransomware produzido no mundo todo. Leve em conta que este tipo de ameaça é altamente sofisticada e está em constante aprimoramento.

EXISTEM MUITAS VARIANTES?

Segundo dados da BitDefender do ano de 2017,  400 novos tipos de ransomware são lançados por hora, logo o volume de ameaças ultrapassa a casa dos milhões. Além disto, a cada 40 segundos uma empresa é atacada, perfazendo um volume de 5 milhões de ataques por hora.

O primeiro conhecido foi o Dirty Decrypt, após ele veio o CryptoLocker, PowerLocker, Citroni, CryptoWall, CryptoWall 2, CryptoWall 3, Cryptowall 4, Torrent Locker, Cryptographic Locker, TeslaCrypt que utiliza criptografia simétrica RSA-2048 para criptografar os arquivos e atualmente o número de novas famílias de ransomware prolifera rapidamente.
Segundo a IBM,  o número de ataques em 2017 superou todas as previsões, mas este cenário tornou-se ainda pior após o furto de ciberarmas e pesquisas militares da National Security Agency – NSA. O material obtido pelo grupo Shadow Brokers permitiu a criação de uma nova família de ransomware com capacidades de trojan, as quais permitem a amplas replicação em redes locais, permitindo um amplo espectro de destruição de dados.  Recentemente foi liberada na internet uma versão desta arma cibernética chamada WannaCry e GoldenEye, os quais causaram a interrupção das atividades de empresas públicas e privadas em todo mundo e uma massiva perda de informação. Segundo especialistas, esta versão foi apenas um teste e esperam-se muitas variantes de alta periculosidade nos próximos meses.

COMO O RANSOMWARE SE DISTRIBUI E COMO ELE ATACA

Existem muitas formas de propagação:
92% dos ataques são causados por phishing veiculados via e-mail. Sites fraudulentos com downloads infectados ou iframes ocultos com ransomware embutido, Links em postagens de redes sociais, blogs ou mensageiros instantâneos. Vulnerabilidades de sistema operacional.
Dependendo da variante o ransomware pode atacar:
  • Discos externos e internos.
  • Setor de boot (MBR)
  • Arquivos e pastas do disco local (incluindo arquivos de backup)
  • Partições em disco.
  • Compartilhamentos de rede.
  • Cartões SD.
  • Volumes do Microsoft Shadow Copy. (Normalmente, os dados são deletados.)

QUAIS OS SISTEMAS OPERACIONAIS PODEM SER ATACADOS?

Praticamente todos que existem (Windows, Linux, MAC, Unix, IOS, Android e Windows Phone). Ele ataca todos os tipos de dispositivos também, PCs, servidores, tablets e smartphones.

Estes malwares podem atacar compartilhamentos de rede e muito frequentemente a infecção começa em estações de trabalho.

O QUE AS AUTORIDADES ESTÃO FAZENDO?

As autoridades e os fabricantes de antivírus estão trabalhando em parceira para identificar e punir estes desenvolvedores de malware e suas organizações criminosas em todo mundo. Já foram efetuadas prisões na Alemanha, Holanda, Reino Unido e Espanha. Empresas como BitDefender, Kaspesky, Panda, Sophos, Microsoft e Cisco estão engajadas na investigação. FBI e Interpol estão coordenando os esforços da força tarefa. Atualmente os ataques de ransomware estão sendo tratados como atos de terrorismo e são uma prioridade.
As organizações criminosas  por trás do ransomware são extremamente organizadas, contam com elementos altamente capacitados e excelentemente remunerados, além de uma infra-estrutura de arquitetura distribuída e sofisticada ocultada dentro da Darknet.
A mídia tem veiculado casos de ransomware e procurado conscientizar a população do perigo destas ameaças  e como reagir.

BOAS PRÁTICAS DE PROTEÇÃO CONTRA RANSOMWARE

A proteção contra ransomware se dá em camadas. Você deve estabelecer diversos tipos de segurança em sua empresa a saber:

1. Mantenha tudo atualizado: mantenha os sistemas operacionais, navegadores, extensões, aplicativos e bases de dados atualizados, é de extrema importância. Isto corrige vulnerabilidades que estão sendo usadas por exploits e trojans para infiltrar ransomware.

Dica: você sabia que o BitDefender GravityZone possui um addon chamado BitDefender Patch Management capaz de atualizar sistemas operacionais Microsoft, centenas de aplicativos e utilitários de terceiros (Adobe, Corel, Autodesk, Google e outros)  e vários outros produtos? Saiba mais sobre as aplicações suportadas.

2. Verifique seu antivírus: esteja atento a upgrades de versão e atualizações de vacina do seu antivírus, bem como as funcionalidades de detecção de ameaças, as quais devem estar todas ativadas.

Dica 1: esteja certo de que suas configurações de ativar os recursos Advanced Threat Control, Ransomware Vaccine, IDS, Antivírus web e antiphishing em seu BitDefender GravityZone. Desta forma você estará excelentemente bem protegido.

Dica 2: o BitDefender GravityZone possui agora addons que implementam um alto nível de segurança e uma detecção mais precisa de ameaças furtivas, ataques usando técnicas de ofuscação ou fileless e ainda, tentativas de invasão. O HyperDetect é uma inteligência artificial que oferece 21 novas camadas de proteção e foi concebida para detectar ataques feitos por seres humanos ou inteligências artificiais ou ainda ataques feitos por exploits e trojans altamente sofisticados. Quando o Hyperdetect não comprende um tipo de ataque ele coleta arquivos e envia para o Sandbox Analyser que executa estes arquivos em uma máquina virtual e analisa usando machine learning para determinar o grau de ameaça. Se for um item malicioso, ele é imediatamente bloqueado após o veredito. Você pode adquirir o Sandbox Analyser e o HyperDetect separadamente e seu licenciamento é por máquina.

3. Restrinja o acesso a seus compartilhamento: evite que todos os usuários da empresa possam acessar todos os seus compartilhamentos livremente. Atribua permissões de acesso à eles. Se você tem muitos departamentos ou setores em sua empresa, separe seus compartilhamentos por setor ou departamento e restrinja o acesso aos funcionados que trabalham nele e diretores.

4. Implementar uma estratégia de disaster recovery ou backup: este o meio de defesa mais recomendado e seguro. Você deve realizar imagens de disco ou backup de seus dados diariamente. Servidores, estações de trabalho críticas e dispositivos mobile de uso corporativo devem ser protegidos. Dependendo do volume de alteração de seus dados a frequência do backup poderá ser maior, podendo chegar até a proteção contínua de dados (CDP).

Dica: se você estiver salvando em volumes de rede Microsoft ou NFS esteja atento as permissões do compartilhamento. Não forneça controle total para todos os usuários. Crie um usuário com poderes administrativos e forneça estas credenciais de acesso em seu software de backup.

Dica: oferecemos a nossos clientes a solução Acronis Backup e Acronis Backup Cloud que possuem proteção nativa contra ransomware chamada Acronis Active Protection, a qual monitora, detecta e bloqueia comportamentos suspeitos e intrusivos, bem como tentativas de criptografia ou manipulação de seus backups, arquivos protegidos e agentes.

5. Replicar backups: você precisa estar atento a possibilidade de que o ransomware ataque seus backups. Logo, recomenda-se replicar seus backups para um segundo local seguro. Este segundo local poderá ser uma unidade de fita, armazenamento na nuvem, NAS ou SAN.

Dica: oferecemos a nossos clientes a solução Acronis Backup Advanced e Acronis Backup Cloud que permitem que você replique seus backups para nuvem, garantido que eles estão a salvo de qualquer ameaça. Este modelo, combinado com a proteção do Acronis Active Protection torna-se a solução perfeita.

6. Exportações de bases de dados: malwares do tipo ransomware podem encriptar seus arquivos de banco de dados. Neste contexto, é fundamental realizar exportações regulares de suas bases de dados. Estas exportações geram um arquivo contento toda estrutura do banco de dados e as informações contidas no mesmo.

7. Segurança de gateway de borda: Esta é uma camada de proteção importante e Indispensável. Usar um gateway de borda com firewall, proxy, antivírus integrado e capaz de analisar protocolos HTTP, HTTPS, FTP e P2P é uma linha de defesa muito importante. Bloquear todo tipo de tráfego nocivo e impróprio para o ambiente de trabalho é vital para proteção. Esteja certo de restringir o tráfego dos usuários de acordo com papel que eles desempenham na sua organização.

Dica: oferecemos a nossos clientes a proteção de servidores Exchange do BitDefender GravityZone que conta com várias camadas de proteção contra malware e spam, além de antispoofing, antiphishing, controle de conteúdo e de anexos.

8. Segurança de e-mail: um dos principais meios de distribuição de ransomware é o e-mail. Se sua empresa possui um servidor de correio é importante utilizar um bom antispam, antivírus, antiphishing, antispoof, controle de conteúdo e controle de anexo.

Dica: oferecemos a nossos clientes as soluções de antispam, antiphishing e antimalware para uma proteção extremamente eficaz e o BitDefender GravityZone for Exchange para servidores de correio Microsoft Exchange. Esta solução permite que você estabeleça políticas de controle de anexos para extensões perigosas e eduque diariamente seu software de antispam.

9. Windows Explorer deve mostrar as extensões de arquivos: você pode forçar o Windows Explorer a mostrar a extensão dos arquivos. Oriente seus funcionários a estarem atentos para extensões como: .ZIP.EXE, .EXE, .JS, .VBS, .SCR, .PS1, .BAT. ZIP.EXE e outras. Visite este artigo da Microsoft para saber quais são as extensões perigosas:

10. Segmentação de redes: segmentar redes por departamento ou setor criando VLANs isoladas ajuda a evitar a propagação de infecções e oferece mais controle, proteção, privacidade e segurança. Isto também evita o acesso não autorizado de pessoas a arquivos e aplicações de negócio restrita a determinados departamentos de sua empresa.

11. Educar os usuários: esta é a medida mais importante. Os usuários finais precisam aprender a identificar comportamentos suspeitos. Oriente-os a realizar as seguintes práticas:

  • Identificar se o remetente é confiável e conhecido.
  • Identificar e-mails com assuntos suspeitos de empresas que você não conheçe ou não tem relacionamento comercial.
  • Identificar e-mails com anexos tem uma extensão maliciosa ou não.
  • Identificar e-mails com links maliciosos.
  • Identificar e deletar mensagens contendo fraudes, phishing, malware ou spam.
  • Identificar mensagens suspeitas em mensageiros instantâneos (Whatsapp, Skype e outros).
  • Identificar mensagens e links maliciosos em redes sociais.
  • Identificar sites fraudulentos.
  • Evitar ao máximo acessos à drives na nuvem (Google Drive, Dropbox e outros).
  • Refletir e analizar antes de abrir ou clicar em links.
  • Navegar somente em locais seguros ou conhecidos.
  • Não usar ferramentas P2P na empresa.

12. Bloqueie dispositivos não confiáveis: ransonware e outros malwares podem entrar em sua rede através de pendrives, smartphones, câmeras, mp3 e outros dispositivos. Bloqueie o uso destes dispositivos usando o controle de dispositivos do BitDefender GravityZone.

Dica: em empresas que recebem visitas de fornecedores, colaboradores e parceiros que necessitam de conexão de internet, crie uma VLAN isolada para o atendimento destes visitantes.

13. Bloqueie o autorun: é muito importante desativar a execução automática do Windows em máquinas onde você não está bloqueando dispositivos não confiáveis.

14. Desative o uso de macros no Microsoft Office: documentos do Microsoft Word e Microsoft Excel estão sendo distribuídas com macros maliciosas que fazem o download de ransomware em background e o executam. Por este motivo é altamente recomendado a desativação do suporte a Macro no Microsoft Office.

15. Desative Windows Script Host: se você não estiver usando scripts VBScript ou JScript considere desativar o recurso Windows Script Host. Consulte este artigo da Microsoft.

16. Habite políticas de restrição de software: os administradores de sistema podem implementar uma GPO (Group Policy Objects) para bloquear a execução de softwares a partir de locais especificados. Você poderá criar políticas de restrição de software para bloquear a ação do Cryptowall, uma das variantes mais perigosas de ransomware.

17. Use senhas complexas: senhas fáceis podem ser facilmente exploradas por malwares munidos de capacidades de ataque de força brutal. 

18: Use VPN e corte outros acessos: hackers estão invadindo sistematicamente ambientes Linux via SSH e Microsoft Terminal Server ou Área de trabalho remota do Windows. Geralmente eles exploram contas de usuários com senhas fracas e vulnerabilidades conhecidas. O objetivo destes ataques é coletar informações úteis para venda ou extorsão e infectar equipamentos com ransomware. Estes ataques ocorrem em nuvens públicas, privadas, hibridas e em servidores locais acessíveis através da internet. Recomenda-se fechar todos os acessos públicos no seu firewall, estabelecer um túnel de VPN e fazer as conexões aos serviços através do mesmo.

Tags: , , , ,