O Ransomware está na lista das principais ameaças que mais afetaram as empresas globalmente nos últimos anos, desde as pequenas até as gigantes da Fortune 500.

O que é um Ransomware?

É um tipo de malware que restringe o acesso ao sistema do computador que ele infecta e exige um resgate pago (ransom paid) para o criador(es) do malware para que a restrição seja removida. Algumas formas do ransomware criptografa arquivos no disco rígido do sistema (extorsão cryptoviral, uma ameaça originalmente concebido por Adam Young e Moti Yung), enquanto alguns podem simplesmente bloquear o sistemae exibir mensagens destinadas a persuadir o usuário a pagar.

Porque as empresas continuam sendo atacadas?

Existem vários fatores que podem contribuir para que as empresas continuem sendo atacadas pelo ransomware. Entre eles estão:

  • Falta de Planejamento de Segurança;
  • Falta de Campanhas de Conscientização de Segurança para os Usuários;
  • Falta Gestão de Patches;
  • Falta de Análise de Vulnerabilidades, entre outros.

Nota

Veja o artigo que escrevi recentemente 10 Passos para Tornar sua Empresa Insegura.

Você sabe quando foi criada a primeira versão do ransomware?

Em 2004 vimos a primeira versão do Gpcode, um malware de criptografia. Este foi o início do ransomware e marcou o início de uma nova era no cibercrime. Nos anos seguintes surgiram diversas variantes com criptografia mais forte.

Depois surgiram outras versões de Ransowmare. Veja abaixo alguns exemplos:

  • Cryzip/Mayarchive – Cria arquivos com ZIP protegidos por senha.
  • Krotten – Modifica o registro para limitar ações do usuário e bloquea a tela.
  • MBR Ransomware – Substitui o registro mestre de inicialização e exige um resgate para recuperar uma senha e restaurar o original.
  • OSX Ransomware – Versão criada como prova de conceito, a qual não afeta os dados do usuário, porém criptografa somente os próprios arquivos do ransomware para mostrar que é possível criar uma versão para OSX.
  • Cryptolocker – Um novo método de criptografia utilizando RSA 2048 Bits, a qual criptografa dados em dispositivos USB, disco rígido interno e externo, pastas compartilhadas e dados armazenados em nuvem.
  • CTB-Locker – Nova geração de cripto-malware com C&C com servidores escondidos dentro da rede TOR. O pagamento do resgate é somente aceito por Bitcoin.
  • Coinvault – Oferece suporte ao cliente afetado e faz a descriptografia de um arquivo como um sinal de boa fé, para que o usuário possa pagar o resgate e ter os seus dados descriptografados.
  • Pletor (Simplelocker) – O primeiro malware para Android que realmente criptografa os dados do usuário. Ele infecta o usuário disfarçado com um codec de vídeos pornográficos. Ele também tirá fotos com a câmera do celular do usuário para chantagear os usuários.
  • Linux.Encoder.1 – A primeira variante de ransomware para Linux.
  • Wannacry – Foi o primeiro worm de ransomware. Ele utilizou o vazamento do exploit Equation para auto-propagação.
  • Petya – Também chamado de NotPetya ou ExPtr foi descoberto inicialmente em 2016 e depois evoluiu para um wiper, o qual tem como objetivo provocar a destruição do acesso aos dados mesmo que o resgate seja pago. Segundo os pesquisadores é impossível recuperar os dados criptografados.
  • Mamba – Ele utiliza um software legítimo chamado DiskCryptor para criptografar o disco completo. Teve como alvo empresas localizadas no Brasil e Arábia Saudita.

Como se Proteger do Próximo Ransomware?

  • Faça o backup de todos os dados importantes, tenha uma cópia em um local externo e faça teste de restore;
  • Utilize aplicações baseado em “Whitelisting” para evitar que software maliciosos e programas não autorizados sejam executados;
  • Tenha uma solução de Anti-Malware que realmente consiga detectar o comportamento do ransomware sem depender de assinaturas de vírus e que trabalhe com proteção em camadas;
  • Mantenha seu Sistema Operacional e Softwares atualizados com as últimas atualizações e correções de segurança;
  • Configure um Controle de Acesso efetivo em arquivospastas compartilhamentos de rede;
  • Restrinja a capacidade dos usuários (permissões) de instalarem executarem aplicações de software indesejados, e aplique o princípio de “Privilégios Mínimos” para todos os sistemas e serviços;
  • Desative scripts de macro de arquivos do Office que são trasmitidos por e-mail.

Conclusão

A proteção contra ransomware ou qualquer outra ameaça deve ser feita por camadas, porque caso o atacante consiga passar por uma camada, não terá acesso direto aos dados ou computador do usuário ou servidor, sendo necessário passar pelas demais camadas.

Se você já teve problema com ransomware ou não tem certeza se sua solução de Endpoint atual irá proteger sua empresa contra um novo ataque, faça um teste da solução gratuita da Kaspersky no link abaixo:

https://go.kaspersky.com/kar

Não pague o resgate!

Pagando o resgate você irá incentivar os atacantes a criarem novas ameaças. Por isso faça sempre os backup dos dados e teste de restore para evitar perder acesso aos dados.

Referência

 

Luciano Lima
CISSP]-[CEH]-[CSA+]-[CompTIA Security+]-[MCSA Security]-[MCSE Security]

Você gostou do artigo?
Compartilhe com seus amigos.
Receba a Newsletter por e-mail