Uma pesquisa recente da Wombat Security Technologies com mais de 2.000 profissionais em ambiente corporativo, trás 63% dos diversos profissionais pesquisados não sabem o que significa Ransomware e 30% nem mesmo sabem o que é um phishing, por isto resolvemos escrever e publicar este artigo para que o leitor possa levar e divulgar à suas diversas área de negócios como forma de conscientização, assim como usar as informações da melhor forma possível em seus planos de proteção.
Ransomware é um tipo de software malicioso que bloqueia o acesso a um sistema de computador ou dados, geralmente, criptografando-o, até que a vítima pague uma “taxa de resgate” para o atacante. Em muitos casos, o pedido de resgate vem com um prazo e se a vítima não paga a tempo, os dados são perdidos para sempre. Outros ataques instalam malwares no sistema do computador, onde deixa a máquina infectada mesmo após o resgate pago e os dados liberados.
Embora inicialmente focado em sua maioria em computadores pessoais, cifragem por ransomware tem usuários target cada vez mais nas operações de negócios, pois as empresas muitas vezes, pagam mais para desbloquear os sistemas críticos e retomar as operações diárias da empresa e de seus funcionários.
As infecções em empresas por ransomware geralmente começam com um e-mail malicioso. Um usuário desavisado abre um anexo ou clica em uma URL de um site que contém códigos maliciosos ou que foi comprometido.
Nesse ponto, um agente de ransomware é instalado e começa a criptografia de arquivos importantes no PC da vítima e quaisquer compartilhamentos de arquivos disponível. Depois de criptografar os dados, o ransomware exibe uma mensagem no dispositivo infectado. A mensagem explica o que ocorreu e como pagar os atacantes. Se as vítimas pagarem, a promessa de ransomware é que a vítima vai receber um código para desbloquear seus dados.
Ransomware pode ser caro e disruptivo. Além do próprio resgate – que resgate pode variar de centenas a dezenas de milhares de dólares para um único sistema infectados – recuperar os dados perdidos e desinfetar o equipamento consome tempo e recursos.
Variantes populares de criptografia de ransomware incluem Cryptolocker, Cryptowall, e até recentemente TeslaCrypt. A Proofpoint também descobriu duas variantes, em 2016 – Locky e CryptXXX, este último parece ter substituído TeslaCrypt em maio 2016. WannaCry e Petya em Maio e Junho de 2017 respectivamente.
Como proteger contra Ransomware?
Antes que você está infectado:
- Defenda o seu e-mail.
embora tenhamos ransomwares que se propaguem por meio de vulnerabilidades de rede (caso do WannaCry que usou uma vulnerabilidade do protocolo SMB para se propagar), o e-mail de phishing e spam são as principais formas que distribuição de ransomware. Gateways de emails seguro com proteção contra-ataques direcionados são cruciais para detectar e bloquear emails maliciosos que contenham ransomware. Essas soluções protegem contra anexos maliciosos, documentos maliciosos e URLs em emails que levam à aplicações e documentos maliciosos que serão baixados nos computadores dos usuários.
- Defenda seus dispositivos móveis.
Produtos de proteção de ataque móvel, quando usado em conjunto com ferramentas de gerenciamento de dispositivos móveis (MDM) podem analisar os aplicativos nos dispositivos de usuários e alertar de imediato s usuários e a TI de todas as aplicações que possam comprometer o seu ambiente.
- Defender a sua navegação na web.
Web Gateways seguros podem verificar o tráfego de navegação na web para identificar anúncios mal-intencionados que podem conter ransomware.
- Monitorar o servidor e rede.
Ferramentas de monitoramento pode detectar atividades incomuns de acesso a arquivos, tráfego de rede e consumo de CPU a tempo de bloquear a ativação do ransomware.
- Fazer backup de sistemas importantes.
Manter uma cópia completa de sistemas cruciais pode reduzir o risco de uma máquina quebrada ou criptografada causar um gargalo operacional importante. Realize cópias de backup regulares e teste várias vezes para ter certeza que os dados importantes estejam corretamente “backupeados” e que podem ser reinstalados se o pior acontecer.
- Mantenha seus sistemas atualizados
Embora pareça um clichê dizer isto, mas manter o sistema com os patches atualizados e aplicados ainda é uma excelente opção, pois a maioria dos ransomwares exploram vulnerabilidades conhecidas para se espalharem e infectarem suas vítimas.
Gerir a aplicação de patches nem sempre é fácil e demanda tempo e cuidados, no entanto implementar uma política de patching adequada e eficiente é um excelente meio de combater as principais ameaças nos dias de hoje.
Se você já está infectado:
- Acione a polícia de crimes tecnológicos.
Assim como você chamaria a polícia para o auxílio em um sequestro físico, você precisa chamar a polícia especializada para o tratamento de crimes tecnológicos, pois o ransomware é um sequestro tecnológico. Os técnicos forenses podem garantir que seus sistemas não sejam comprometidos para investigação, reunir informações para melhor protegê-lo daqui para frente e tentar finalmente encontrar os atacantes.
- restaurar os dados.
Se você seguiu as melhores práticas e manteve backups do sistema, você pode restaurar seus sistemas e retomar as operações normais, possivelmente até mesmo sem o pagamento do resgate solicitado pelo atacante.
Solução para proteção contra Ransomware
Para proteção contra ameaças avançadas em arquivos anexados e URLs maliciosas a Proofpoint oferece a Solução de Target Attack Protection (TAP) integrada com a solução de eMail Gateway Protection.
Leia mais nos links:
- Targeted Attack Protection
- Defend Against Ransonware with Proofpoint Email Protection
- Ransomware Survival Guide
- The Human Factor White Paper
- Threat Reference
A MindSec é representante Proffpoint no Brasil, fale com nossos representantes contato@mindsec.com.br
por MindSec 06/07/2017
Deixe sua opinião!