Pagar criminosos de ransomware ou restaurar a rede?

Pagar criminosos de ransomware ou restaurar a rede? Cidade no Colorado, EUA e pagou o resgate depois de decidir que o custo de recuperar a rede infectada era muito alto.

Ransomware é um tipo de software malicioso projetado para bloquear (criptografar) o acesso a um sistema de computador ou arquivos até que uma quantia em dinheiro seja paga. 

A cidade de Lafayette – tecnicamente um município autônomo – com uma população de cerca de 30.000, disse que optou por pagar aos criminosos de ransomware uma taxa de $45.000 (£35.000) depois de decidir que era um uso melhor do dinheiro do que gastar tempo e dinheiro limpando e reformatar todas as suas máquinas. Uma investigação preliminar indica que o ransomware entrou na rede da cidade por meio de um golpe de phishing ou força bruta e parece ter sido um ataque aleatório.

O pagamento do resgate não era a direção que a cidade queria seguir e seguiu todos os caminhos para encontrar soluções alternativas”, admitiram as autoridades de Lafayette. “Em um cenário de custo / benefício de reconstruir os dados da cidade versus pagar o resgate, a opção de resgate superou em muito a tentativa de reconstrução. A inconveniência de uma longa interrupção do serviço para os residentes também foi levada em consideração”.

O prefeito da cidade de Lafayette, Jamie Harkins, divulgou um vídeo discutindo o ataque cibernético.

Em 2019 publicamos aqui no blog o artigo Pagar Resgate de Ramsonware: mais contras do que pros onde citamos que o ataque do ransomware March SamSam em Atlanta teria custado à cidade até US $ 17 milhões para ser resolvido. Os agressores pediram um resgate de US $ 51.000 em bitcoins, que a cidade se recusou a pagar. Na ocasião citamos a entrevista de Avivah Litan, vice-presidente e analista da Gartner Research, salienta que pagar resgates tem mais contras do que prós.

Você deve sempre tentar evitar o pagamento de resgates“, diz Litan em entrevista ao Information Security Media Group. “Alguns observadores dizem que até 80% das vezes quando você faz o pagamento, você nem recupera seus arquivos. Uma segunda razão: ele apenas perpetua o crime. Os bandidos continuarão fazendo isso porque sabem que vai fugir disso.”


Ouça a entrevista de Litan ao SMG  – Fonte: SMG

Enquanto outras formas de ataques cibernéticos, como o uso de cryptojacking, que envolvem malware estão crescendo, Litan acredita que os ataques de ransomware persistirão à medida que os criminosos adotarem novas estratégias. “O ransomware não está diminuindo; a quantidade de ataques na verdade está subindo.

Segundo o site CSO Online as perdas com os danos causados por Ransomwares subiram 15x em 2 anos. Os valores de pagamentos dos resgate, segundo o site,  são exagerados, sendo as perdas reais concentradas no tempo de downtime, produtividade perdida, recuperação e outros custos negligenciados.

O enorme surto WannaCry causou cerca de US $ 1 bilhão em custos de danos em apenas quatro primeiros dias, de acordo com Stu Sjouwerman, CEO da KnowBe4.

O cibercrime é um negócio lucrativo. Algumas fontes do setor estimam que os danos ao cibercrime custarão ao mundo incríveis US $ 6 trilhões por ano até 2021, acima dos US $ 3 trilhões em 2015.

 

Pagar não significa ter os arquivos de volta

A ação da prefeitura de Lafayette de ter pago o resgate representa a decisão de quatro de cinco vítimas de ransomware para recuperar seus arquivos. As vítimas dizem que pagariam o resgate novamente para recuperar dados se não houver arquivos de backup disponíveis concluiu o Relatório de Segurança Telstra de 2018 que analisou várias facetas do cenário de segurança cibernética. 

Infelizmente, o risco de ataque cibernético é muito real e pagar pelo resgate não garante que a empresa tenha os dados de volta. Em 2017, os ciberataques não apenas resultaram na perda de Propriedade Intelectual (IP), mas também afetaram os preços das ações e a confiança do cliente, trouxeram a ameaça de litígios e causaram embaraço público às empresas. A violação da Equifax, por exemplo, teve vários desses elementos, com a perda de dados impactando 145,5 milhões de contas de clientes. Essa é uma das maiores violações já relatadas até o momento.

O cibercrime é um negócio lucrativo. Algumas fontes do setor estimam que os danos ao cibercrime custarão ao mundo incríveis US $ 6 trilhões por ano até 2021, acima dos US $ 3 trilhões em 2015.

Há muitos adversários na arena do cibercrime e um número crescente de tipos de ameaças. Estes abrangem desde denúncias de negação de serviço distribuídas (DDoS), vulnerabilidades da Web e de aplicativos, até ameaças persistentes avançadas (APTs) realizadas por meio de explorações de ataques Zero Day, que atacam vulnerabilidades anteriormente desconhecidas. Os motivos vão desde querer conduzir um ataque da forma mais pública possível, ao roubo de propriedade intelectual, espionagem corporativa ou vigilância, entrando silenciosamente e permanecendo dentro de um sistema pelo maior tempo possível.

Ameaças podem vir de dentro também. Ameaças internas podem variar do funcionário que cometeu um erro simples, por exemplo, perder um laptop ou USB; para um funcionário específico que perde credenciais, por meio de engenharia social ou outros meios. O mais prejudicial nesse espectro é a intenção de “malicious insiders” de roubar ou danificar dados corporativos.

 

Menos da Metade que pagaram receberam os arquivos de volta

Menos da metade dos alvos de ransomware que pagaram o resgate obtiveram seus arquivos de volta, por isto pagar uma demanda de resgate é uma ótima maneira de acabar perdendo seu dinheiro e seus arquivos.

De acordo com um estudo da empresa de segurança CyberEdge, a melhor aposta para recuperar-se de um ataque de ransomware provavelmente é apenas restaurar a partir de um backup. A pesquisa, baseada em uma consulta à profissionais de segurança da informação, descobriu que menos de metade daqueles que pagam uma demanda de resgate acabam recebendo seus dados de volta.

  • 77% das redes foram violadas no ano passado – o primeiro declínio em cinco anos!
  • 55% das organizações foram comprometidas por ransomware no ano passado
  • 79% dos orçamentos de segurança de TI estão aumentando
  • 12% de um orçamento típico de TI da empresa é gasto em segurança
  • Malware, ransomware e spear-phishing causam mais dores de cabeça
  • “Aplication Containers” são os alvos mais fraco deste ano
  • A “falta de pessoal qualificado” é o maior inibidor do sucesso da segurança de TI

O relatório diz que 55% das pessoas pesquisadas relataram uma infecção por malware atingindo seus sistemas em 2017. A Espanha apresentou a maior taxa, com 80% dos respondentes informando malware, seguido de empresas na China (74%) e no México ( 71,9%) Nos EUA, 53,8% dos entrevistados foram atingidos por ransomware, enquanto pouco abaixo da metade do Reino Unido, 49,5%, foram atingidos.

“No Brasil 76,5% dos pesquisados foram atacados ao menos uma”

No geral, 72,4% daqueles que foram infectados com ransomware foram capazes de recuperar seus dados. A maioria destes, no entanto, eram empresas que simplesmente ignoravam as demandas de resgate, depois restauraram seus sistemas com cópias de backup não infectadas. O estudo descobriu que 86,9% dos que se recusaram a pagar a demanda acabaram recuperando seus dados.

Daqueles que cederam à demanda e pagaram o resgate, 49,4% disseram que poderiam recuperar seus dados, enquanto 50.6% acabaram perdendo de qualquer maneira. A conclusão não tão chocante é que os criminosos nem sempre ficam fiel à sua palavra. “É como lançar uma moeda duas vezes consecutivamente – uma vez para determinar se a sua organização será vítima de ransomware e, se você decidir pagar o resgate, jogue novamente para determinar se você receberá seus dados de volta“, diz

 

Tipos de ransomware

Os invasores podem usar uma das várias abordagens diferentes para extorquir a moeda digital de suas vítimas. Por exemplo:

  • Scareware :  esse malware se apresenta como software de segurança ou suporte técnico. As vítimas podem receber notificações pop-up dizendo que o malware foi descoberto em seu sistema – o software de segurança que o usuário não possui não teria acesso a essas informações. Não responder a isso não fará nada, exceto levar a mais pop-ups.
  • Screen lockers : também conhecidos simplesmente como armários, são um tipo de ransomware projetado para bloquear completamente os usuários de seus computadores. Ao iniciar o computador, a vítima pode ver o que parece ser um selo oficial do governo, levando a vítima a acreditar que é objeto de uma investigação oficial. Depois de ser informado de que software não licenciado ou conteúdo ilegal da Web foi encontrado no computador, a vítima recebe instruções sobre como pagar uma multa eletrônica. No entanto, organizações oficiais do governo não fariam isso; eles passariam por canais e procedimentos legais adequados.
  • Encrypting ransomware: conhecidos como ataques de sequestro de dados, eles dão ao invasor acesso e criptografam os dados da vítima e solicitam um pagamento para desbloquear os arquivos. Quando isso acontece, não há garantia de que a vítima tenha acesso a seus dados de volta – mesmo que negocie. O invasor também pode criptografar arquivos em dispositivos infectados e ganhar dinheiro com a venda de um produto que promete ajudar a vítima a desbloquear arquivos e impedir futuros ataques de malware.
  • Doxware : com esse malware, um invasor pode ameaçar publicar dados da vítima on-line se a vítima não pagar um resgate.
  • Master boot record (MBR) ransomware: com isso, todo o disco rígido é criptografado, não apenas os arquivos pessoais do usuário, impossibilitando o acesso ao sistema operacional.
  • Mobile Ransomware : este ransomware afeta dispositivos móveis. Um invasor pode usar ransomware móvel para roubar dados de um telefone ou bloqueá-lo e exigir um resgate para retornar os dados ou desbloquear o dispositivo.

Embora as instâncias iniciais desses ataques às vezes limitem o acesso ao navegador da Web ou à área de trabalho do Windows – e o  fazem de maneiras que podem ser facilmente projetadas  e reabertas com facilidade  –  , desde então, os hackers criaram versões de ransomware que usam recursos públicos fortes e  públicos.  criptografia de teclas para negar acesso aos arquivos no computador.

 

Como se proteger contra Ransomware ?

Não há garantia de que as vítimas possam interromper um ataque de ransomware e recuperar seus dados, mesmo que façam o pagamento; no entanto, existem métodos que podem funcionar em alguns casos. Por exemplo, as vítimas podem parar e reiniciar seu sistema no modo de segurança, instalar um   programa antimalware , verificar o computador e restaurar o computador para um estado anterior não infectado. As vítimas também podem restaurar seu sistema a partir de um backup armazenado em um disco separado. Se na nuvem, as vítimas podem reformatar seu disco e restaurar a partir de um backup anterior.

À medida que o cyber e o eletrônico convergem e a indústria se prepara para uma maior variedade e variedade de ataques, as organizações devem começar com o básico. Isso inclui verificar a localização e o valor dos dados; quem tem acesso aos dados; e o nível geral de proteção. Também deve haver propriedade clara desses dados. A partir daqui, a classificação de dados pode ajudar uma organização a entender o valor, enquanto a prevenção contra perda de dados pode ajudar a garantir que os dados não sejam perdidos. Da mesma forma, o IAM está entre as ferramentas disponíveis que podem governar quais funcionários têm acesso a quê e de onde. A localização dos dados, por exemplo, será particularmente importante para fins de conformidade.

Os usuários do Windows especificamente poderiam usar a Restauração do Sistema , que é uma função que reverte os dispositivos Windows (junto com os arquivos do sistema) para um determinado momento marcado – nesse caso, antes de o computador ser infectado. Para que isso funcione, a Restauração do Sistema precisa ser ativada previamente, para que possa marcar um local no tempo para o computador retornar. O Windows ativa a Restauração do sistema por padrão.

Defesa em multi-camadas

Com o número de ameaças que podem penetrar nos sistemas de TI, essa abordagem, também conhecida como defesa em profundidade, depende de várias camadas de controles de segurança em ambientes de TIC e de segurança eletrônica. Sua intenção é fornecer redundância no caso de um ponto falhar ou ser explorado.

Revisão de Arquitetura

As revisões arquiteturais devem ser uma constante para planejar uma atualização do sistema ou considerar maneiras de interconectar físico com eletrônico. Isso também deve incluir varreduras de sistema e de vulnerabilidade, testes de penetração e outros testes para entender os ambientes, descobrir vulnerabilidades e priorizar correções.

Resposta à Incidentes

Com as empresas passando para uma abordagem de presunção de violação, é essencial ter um plano em vigor antes, durante e depois de um ataque. Este plano deve ser documentado e ensaiado. Dependendo do tipo de ataque (por exemplo, roubo de propriedade por um funcionário, perda de dados do cliente por meio de um ataque externo etc.), as organizações devem ter procedimentos de notificação e encaminhamento. Deveria haver chefes de departamento designados que talvez precisassem estar envolvidos (por exemplo, investidor, comunicações corporativas, jurídico, finanças, responsáveis pela conformidade, etc.) Isso é importante para a conformidade, bem como a boa governança.

Antes que você está infectado:

  • Defenda o seu e-mail.

Email de phishing e spam são as principais formas que distribuição de ransomware. Gateways de emails seguro com proteção contra-ataques direcionados são cruciais para detectar e bloquear emails maliciosos que contenham ransomware. Essas soluções protegem contra anexos maliciosos, documentos maliciosos e URLs em emails que levam à aplicações e documentos maliciosos que serão baixados nos computadores dos usuários.

  • Defenda seus dispositivos móveis.

Produtos de proteção de ataque móvel, quando usado em conjunto com ferramentas de gerenciamento de dispositivos móveis (MDM) podem analisar os aplicativos nos dispositivos de usuários e alertar de imediato s usuários e a TI de todas as aplicações que possam comprometer o seu ambiente.

  •  Defender a sua navegação na web.

Web Gateways seguros podem verificar o tráfego de navegação na web para identificar anúncios mal-intencionados que podem conter ransomware.

  • Monitorar o servidor e rede.

Ferramentas de monitoramento pode detectar atividades incomuns de acesso a arquivos, tráfego de rede e consumo de CPU a tempo de bloquear a ativação do ransomware.

  • Fazer backup de sistemas importantes.

Manter uma cópia completa de sistemas cruciais pode reduzir o risco de uma máquina quebrada ou criptografada causar um gargalo operacional importante. Realize cópias de backup regulares e teste várias vezes para ter certeza que os dados importantes estejam corretamente “backupeados” e que podem ser reinstalados se o pior acontecer.

 

Se você já está infectado:

  • Acione a polícia de crimes tecnológicos.

Assim como você chamaria a polícia para o auxílio em um sequestro físico, você precisa chamar a polícia especializada para o tratamento de crimes tecnológicos, pois o ransomware é um sequestro tecnológico. Os técnicos forenses podem garantir que seus sistemas não sejam comprometidos para investigação, reunir informações para melhor protegê-lo daqui para frente e tentar finalmente encontrar os atacantes.

  • restaurar os dados.

Se você seguiu as melhores práticas e manteve backups do sistema, você pode restaurar seus sistemas e retomar as operações normais, possivelmente até mesmo sem o pagamento do resgate solicitado pelo atacante.

 

Fonte: The Register & City of Lafayette & Information Security Media Group & 2018 Cyberthreat Defense Report da empresa CyberEdge & Relatório de Segurança Telstra de 2018
About mindsecblog 2793 Articles
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

1 Comment

  1. Que baita artigo! Concordo plenamente. Aqui na Crowdertech (https”//crowdertech.com.br) somos totalmente contrários ao pagamento do resgate. Já existem soluções para recuperação sem a negociação com criminosos. Parabéns pessoal pelo texto.

1 Trackback / Pingback

  1. É hora de mudar para um provedor que prioriza a privacidade

Deixe sua opinião!