RANSOMWARE: O que é, e como se proteger?

Se fizermos uma retrospectiva dos acontecimentos que movimentaram a comunidade de segurança da informação em todo o mundo entre 2019 e 2021, certamente o assunto de maior destaque será os ataques por ransomware. Segundo relatório da Kaspersky, o crescimento das tentativas desse tipo de ataque chegou a alarmantes 767% somente nos últimos anos.

Pode-se falar numa pandemia de ataques digitais como efeito colateral do caos gerado pela pandemia de COVID-19. Com mais pessoas online, acesso remoto a sistemas empresariais, um assunto de interesse mundial e bastante propício para propagar e-mails de phishing, a pandemia do novo coronavírus criou um quadro de novas condutas com controles de segurança fáceis de serem contornados, ampliando a vulnerabilidade de dados pessoais e corporativos.

No Brasil foram registrados aproximadamente 8,4 bilhões de tentativas de invasões hackers durante o ano de 2020 e aproximadamente 3,2 bilhões somente no primeiro trimestre de 2021, de acordo com relatórios da Fortinet.

O que é ransomware?

O ransomware é um modelo de software malicioso que age criptografando (ransomware cripto) ou bloqueando (locker ransomware) os arquivos da vítima, deixando-os inacessíveis até que o resgate exigido para restaurar o acesso seja pago. Os ladrões cibernéticos exigem que o pagamento pelo resgate dos dados seja feito dentro de um determinado período de tempo, ameaçando excluir os dados definitivamente ou expô-los na rede.

O primeiro ransomware surgiu no final da década de 80, mesma época em que a rede de Internet começou a se popularizar no Brasil. Joseph Popp escreveu o código conhecido mundialmente como PC Cyborg Trojan ou “Aids Info Disk” que consta na história da informática como o primeiro ataque cibernético ransomware com um objetivo financeiro. Não é difícil imaginar que depois disto, as investidas de cibercriminosos através de ransomwares aumentaram em número, proporção e sofisticação.

Pagar o resgate garante que o acesso será restaurado?

Definitivamente a resposta é NÃO! É uma perspectiva intimidadora ter todos os arquivos e dados sequestrados. E, sabendo disso os cibercriminosos passaram a utilizar uma abordagem diferente de ataques onde o objetivo não é mais infectar o maior número possível de vítimas com ataques individuais em massa, mas sim concentrar o ataque em um alvo por vez, com ataques direcionados principalmente a organizações específicas, aumentado assim a probabilidade de serem pagos.     Contudo, a recomendação é sempre que o resgate não seja pago, uma vez que, nesta situação, a vítima está lidando com criminosos que têm o poder de escolher se devolvem ou não o acesso aos arquivos. Mas, os cibercriminosos não seguem um código de ética, logo podem receber pelo resgate dos dados e ainda mantê-los criptografados/bloqueados, destruí-los permanentemente ou manter cópias dos mesmos para novas extorsões.

Ataques recentes

A lista de negócios mundiais fortemente afetados por ataques de ransomwares cresce mais a cada dia. O foco dos ataques tem sido principalmente as grandes organizações que podem se reverter em maiores recompensas. E se você ainda faz parte do grupo que acha que nunca será atingido por um ataque ransomware, precisa tomar conhecimento dos incidentes de segurança mais recentes. Nem mesmo gigantes da TI como Apple e mais recentemente a multinacional Accenture, ficaram completamente imunes a ataques do tipo. A empresa Accenture, que é considerada uma das líderes mundiais em consultoria e outsourcing na área de tecnologia da informação foi uma das últimas vítimas de um ataque assumido pelo grupo de ransomware LockBit, um malware que se auto propaga, infectando outros hosts acessíveis sem que haja a necessidade de intervenção humana.  Tido como um dos ransomwares atuais mais precisos em ataques direcionados, o LockBit atua basicamente em três estágios, de acordo com especialistas da Kaspersky:

1. Estágio de Exploração: o ransomware encontra os pontos fracos da rede, explorando métodos conhecidos de engenharia social tais como e-mail phishing.
2. Estágio de Infiltração: uma vez que o ransomware já tem acesso ao sistema, ele desabilita softwares de segurança e configura as infraestruturas de recuperação do sistema para ficarem inoperantes ou lentas.
3. Estágio de implantação: o ransomware começa a se espalhar por conta própria em qualquer host acessível.

Embora a Accenture tenha tentando minimizar o impacto real do ataque, o caso se tornou notável especialmente porque trata-se de uma empresa especializada em segurança cibernética que foi vítima de violações, o que acende o alerta de que os grupos criminosos da internet estão cada vez mais ousados, engenhosos e organizados.

Como faço para me proteger do ransomware?

As empresas fabricantes de softwares de segurança estão sempre tentando antever futuras ameaças para dificultar ações criminosas, mas os ataques sofrem variações constantes. Por isso, a melhor estratégia de proteção é sempre manter-se vigilante. Para garantir uma proteção proativa o recomendado é

• Fazer backups dos seus dados regularmente

• Executar softwares anti–malwares

• Manter os softwares atualizados, inclusive sistemas operacionais

• Usar uma rede particular virtual (VPN)

• Revisar as configurações de firewall e políticas para tráfego entre rede interna e externa de internet

• Restringir o uso de protocolo de desktop remoto (RDP) de fora da rede ou permitir autenticação no nível da rede.

• E acima de tudo, orientar regularmente os usuários para reconhecer e não clicar em links suspeitos.

Quer saber como aumentar a segurança da sua empresa? A Tecnews.NET é parceira de soluções de segurança lideres do mercado como: Kaspersky, Barracuda, Fortinet e Acronis. Contamos com um time de Suporte Especializado atuando até 24horas no Monitoramento NOC / SOC e Gerenciamento de ambientes.