Há alguns
anos atrás eu fui vítima de um ataque de Ransomware. Eu estava navegando por
alguns sites suspeitos quando explodiu uma tela de violação de leis americanas
e instruções de pagamento de multa. Como eu não havia perpetrado as violações
mencionadas eu fiquei indignado. Como desligar e ligar o computador não
resolvia nada eu cogitei por alguns instantes pagar as multas e recuperar o
acesso aos meus arquivos. O meu computador era protegido por firewall e
antivírus e isto me levou a acreditar que tinha feito algo errado. Usando um
computador antigo consegui descobrir que não havia infringindo lei alguma e eu
estava sendo vítima de um ataque de Ransomware.
Como
fiquei desesperado eu apertei a esmo sequências de teclas para recuperar o
acesso ao computador. Por um lance de pura sorte descobri com um Ctrl C que
existia uma janela dos executando um script que era a origem do ataque.
Consegui então injetar alguns comandos e interromper a execução do script. Com
isto descobri onde ele estava fisicamente e um simples delete retornou o meu
acesso ao computador. Em 2016 este tipo de ataque perdeu o espírito amador e
virou um negócio. Por isto é muito importante saber o que fazer antes de ataque
assim e identificar o mesmo o mais rápido possível. O ataque de Ransomware
inicia de forma invisível para o usuário. Ele começa com a troca de uma chave
de criptografia e a criptografia dos arquivos durante a ociosidade do
computador. Durante alguns meses o ataque acontece apenas criptografando os
arquivos e liberando o seu acesso. Pessoas mais atentas vão perceber uma
progressiva lentidão do computador.
Por isto
é importante manter em disco externo o backup dos arquivos em base anual, ou
seja, um backup de cada uma das semanas por um ano. No caso de um ataque é
possível restaurar uma cópia não criptografada e continuar o trabalho a partir
deste ponto. Existem perdas que podem ser bem chatas neste estratagema. É
melhor do que nada, mas não é uma solução agradável, pois existirão perdas. Mesmo
com firewall, antivírus e outras ferramentas de proteção é possível ser atacado
pelo Ransomware. Ele pode vir até mesmo de uma rede supostamente segura. Isto
significa que é importante estabelecer medidas preventivas e mitigatórias ao
ataque. É de fundamental relevância que a empresa debata internamente o que
deve fazer em um ataque de Ransomware. Se deve pagar o resgate ou não.
Foi afirmado que o mercado de Ransomware cresceu tão rapidamente que o
ataque é oferecido como um serviço.
Fonte: Ransomware-as-a-service is
exploding: Be ready to pay, http://www.techrepublic.com/article/ransomware-as-a-service-is-exploding-be-ready-to-pay/,
acessado em 22/08/2016.
Como os
ataques de Ransomware estão crescendo no mundo inteiro já existindo inclusive a
modalidade Ransomware as a Service (RaaS) é preciso ter certeza se ele está mesmo
ocorrendo. Os ataques normalmente pedem resgastes em bitcoins, por isto
desconfie quando receber instruções em outras moedas. Alguns ataques são
amadores e parecem ser um Ransomware. Use as combinações para parar os
programas como Ctrl C e Ctrl break para ver ser algo acontece no computador
infectado.
Ao ter
certeza do ataque desconecte imediatamente este computador da rede com e sem
fio. Verifique as instruções contra o Ransomware nos sites dos fabricantes de
antivírus, pois em 30% dos casos as chaves de criptografia usadas pelo ataque
já foram quebradas e é possível recuperar os arquivos. Se nada funcionar é
importante acionar a polícia e reportar o caso. Nesta situação existem poucas
alternativas restantes. Uma delas é pagar o resgate. A outra é usar o backup e
assumir algumas perdas. Sempre use o caso para aprender as lições oferecidas.
Mesmo que as lições sejam amargas e dolorosas.
Para prevenir
um ataque de Ransomware a primeira medida é mapear todos os ativos digitais da
empresa. Tenha em local isolado a descrição e data de criação de todos os
ativos digitais. Muitas vezes as pessoas não sabem o que foi atacado e o seu
valor. A segunda medida é manter atualizado todos os sistemas operacionais e de
proteção. Inclua os celulares nesta medida. A terceira ação e fazer backup
semanal de todos os ativos digitais que são relevantes. Mantenha o backup fora
da rede. Lembre-se que backup em nuvem não é backup fora da rede. A nuvem é
parte da sua rede. A quarta medida é segmentar a rede de forma a ter os ativos
digitais importantes em região de rede de acesso restrito e controlado. Muitas
vezes isto salva os seus ativos de ataques.
A quinta
medida é provavelmente a mais importante. Treine permanentemente a sua equipe
de colaboradores em relação a segurança digital. Só contrate pessoas para
qualquer setor da empresa com histórico de preocupação com segurança.
Normalmente o ataque de Ransomware começa com a abertura de um simples anexo de
e-mail. Muitas vezes os atacantes ligam para a empresa se identificando como
funcionário e pedem para a pessoa abrir o anexo de um e-mail que parece ser
legítimo. Treine muito a sua equipe. Tenha situações de controle interno ativas
permanentemente. A sexta medida é
ignorada em diversas situações. Avise sempre a sua equipe que a rede e
computadores estão sendo atacados e informe o que deve ser feito.
Leituras
recomendadas:
http://www.techrepublic.com/article/10-tips-to-avoid-ransomware-attacks/?ftag=TREa988f1c&bhid=20826003731419366201607380150567,
How to avoid ransomware attacks: 10 tips, acessado em 22/08/2016.
The 7
best ransomware removal tools - how to clean up Cryptolocker, CryptoWall and
extortion malware, http://www.techworld.com/security/7-best-ransomware-removal-tools-how-clean-up-cryptolocker-cryptowall-extortion-malware-3626974/,
acessão em 22/08/2016.
Nenhum comentário:
Postar um comentário