segunda-feira, 22 de agosto de 2016

Ransomware

Há alguns anos atrás eu fui vítima de um ataque de Ransomware. Eu estava navegando por alguns sites suspeitos quando explodiu uma tela de violação de leis americanas e instruções de pagamento de multa. Como eu não havia perpetrado as violações mencionadas eu fiquei indignado. Como desligar e ligar o computador não resolvia nada eu cogitei por alguns instantes pagar as multas e recuperar o acesso aos meus arquivos. O meu computador era protegido por firewall e antivírus e isto me levou a acreditar que tinha feito algo errado. Usando um computador antigo consegui descobrir que não havia infringindo lei alguma e eu estava sendo vítima de um ataque de Ransomware.

Como fiquei desesperado eu apertei a esmo sequências de teclas para recuperar o acesso ao computador. Por um lance de pura sorte descobri com um Ctrl C que existia uma janela dos executando um script que era a origem do ataque. Consegui então injetar alguns comandos e interromper a execução do script. Com isto descobri onde ele estava fisicamente e um simples delete retornou o meu acesso ao computador. Em 2016 este tipo de ataque perdeu o espírito amador e virou um negócio. Por isto é muito importante saber o que fazer antes de ataque assim e identificar o mesmo o mais rápido possível. O ataque de Ransomware inicia de forma invisível para o usuário. Ele começa com a troca de uma chave de criptografia e a criptografia dos arquivos durante a ociosidade do computador. Durante alguns meses o ataque acontece apenas criptografando os arquivos e liberando o seu acesso. Pessoas mais atentas vão perceber uma progressiva lentidão do computador.

Por isto é importante manter em disco externo o backup dos arquivos em base anual, ou seja, um backup de cada uma das semanas por um ano. No caso de um ataque é possível restaurar uma cópia não criptografada e continuar o trabalho a partir deste ponto. Existem perdas que podem ser bem chatas neste estratagema. É melhor do que nada, mas não é uma solução agradável, pois existirão perdas. Mesmo com firewall, antivírus e outras ferramentas de proteção é possível ser atacado pelo Ransomware. Ele pode vir até mesmo de uma rede supostamente segura. Isto significa que é importante estabelecer medidas preventivas e mitigatórias ao ataque. É de fundamental relevância que a empresa debata internamente o que deve fazer em um ataque de Ransomware. Se deve pagar o resgate ou não.

Foi afirmado que o mercado de Ransomware cresceu tão rapidamente que o ataque é oferecido como um serviço.
Fonte: Ransomware-as-a-service is exploding: Be ready to pay, http://www.techrepublic.com/article/ransomware-as-a-service-is-exploding-be-ready-to-pay/, acessado em 22/08/2016.

Como os ataques de Ransomware estão crescendo no mundo inteiro já existindo inclusive a modalidade Ransomware as a Service (RaaS) é preciso ter certeza se ele está mesmo ocorrendo. Os ataques normalmente pedem resgastes em bitcoins, por isto desconfie quando receber instruções em outras moedas. Alguns ataques são amadores e parecem ser um Ransomware. Use as combinações para parar os programas como Ctrl C e Ctrl break para ver ser algo acontece no computador infectado.

Ao ter certeza do ataque desconecte imediatamente este computador da rede com e sem fio. Verifique as instruções contra o Ransomware nos sites dos fabricantes de antivírus, pois em 30% dos casos as chaves de criptografia usadas pelo ataque já foram quebradas e é possível recuperar os arquivos. Se nada funcionar é importante acionar a polícia e reportar o caso. Nesta situação existem poucas alternativas restantes. Uma delas é pagar o resgate. A outra é usar o backup e assumir algumas perdas. Sempre use o caso para aprender as lições oferecidas. Mesmo que as lições sejam amargas e dolorosas.

Para prevenir um ataque de Ransomware a primeira medida é mapear todos os ativos digitais da empresa. Tenha em local isolado a descrição e data de criação de todos os ativos digitais. Muitas vezes as pessoas não sabem o que foi atacado e o seu valor. A segunda medida é manter atualizado todos os sistemas operacionais e de proteção. Inclua os celulares nesta medida. A terceira ação e fazer backup semanal de todos os ativos digitais que são relevantes. Mantenha o backup fora da rede. Lembre-se que backup em nuvem não é backup fora da rede. A nuvem é parte da sua rede. A quarta medida é segmentar a rede de forma a ter os ativos digitais importantes em região de rede de acesso restrito e controlado. Muitas vezes isto salva os seus ativos de ataques.

A quinta medida é provavelmente a mais importante. Treine permanentemente a sua equipe de colaboradores em relação a segurança digital. Só contrate pessoas para qualquer setor da empresa com histórico de preocupação com segurança. Normalmente o ataque de Ransomware começa com a abertura de um simples anexo de e-mail. Muitas vezes os atacantes ligam para a empresa se identificando como funcionário e pedem para a pessoa abrir o anexo de um e-mail que parece ser legítimo. Treine muito a sua equipe. Tenha situações de controle interno ativas permanentemente.  A sexta medida é ignorada em diversas situações. Avise sempre a sua equipe que a rede e computadores estão sendo atacados e informe o que deve ser feito.

Leituras recomendadas:


The 7 best ransomware removal tools - how to clean up Cryptolocker, CryptoWall and extortion malware, http://www.techworld.com/security/7-best-ransomware-removal-tools-how-clean-up-cryptolocker-cryptowall-extortion-malware-3626974/, acessão em 22/08/2016.

Nenhum comentário:

Postar um comentário