ESTRATÉGIAS DE RECUPERAÇÃO CONTRA RANSOMWARE / 01
INTRODUÇÃO Um dos assuntos mais comuns nas conversas dos CIOs e CISOs nestes últimos anos são os ransomwares. Estamos em uma maré implacável de malwares que criptografam dados críticos e solicitam um resgate em troca da devolução de informações importantes para muitos departamentos de TI. A principal preocupação é que, atualmente, há cerca de 15 mil variantes de ransomware em circulação. Durante o ano de 2017, esse número não parece ter reduzido e, como consequência, o tempo de resposta dos provedores de segurança é maior do que o de liberação de uma nova variante do ransomware. Isso gera uma lacuna no tempo de proteção que é explorado pelos cibercriminosos. Se uma das preocupações é a maneira de se proteger, outra preocupação é o quanto deste tipo de ameaça está focado nas empresas. Muitos ransomwares foram desenvolvidos para atacar certos tipos de mercados verticais, como o setor de saúde, gerando perdas econômicas graves. Quando o ransomware atinge nosso perímetro, independentemente da forma de infecção, é praticamente impossível não perder informação. O pagamento do resgate não garante a recuperação dos dados. Então, uma das primeiras estratégias é um plano de backup adequado e uma recuperação que forneça à empresa tempos de recuperação baixos para evitar a perda da produtividade. Tempo é dinheiro, ou melhor, dados e tempo são dinheiro. / 02
O FAMOSO RANSOMWARE Os ataques de ransomware estão ficando cada vez mais frequentes devido às novas tendências tecnológicas, como o aumento do poder de processamento dos computadores e dos sistemas de pagamento anônimos, como as Bitcoins. Os últimos relatórios deixam claro: em 2016, houve um total de 638,2 milhões de tentativas apenas de ransomware, um aumento de mais de 16.000% em comparação aos 3,8 milhões em 2015. Em geral, os ataques de ransomware começam instigando os usuários a clicar nos links de e-mail ou abrir os anexos infectados. Uma mensagem aparece na tela e pede às vítimas que paguem um resgate em moeda virtual (bitcoin). Os dias de ataques de phishing em massa gramaticalmente incorretos estão contados, afirma James Scott, membro principal e cofundador do Instituto de Tecnologia de Infraestrutura Crítica. Agora os hackers podem checar contas das redes sociais da vítima e criar um endereço de e-mail falso como contato para que a vítima clique em um link ou anexo infectado. Está muito mais dirigido e explora uma vulnerabilidade particular em um dispositivo, aplicativo, servidor ou software, acrescenta Scott Para uma empresa, o dano inesperado pode ser grave e paralisar o crescimento, já que o negócio perde benefícios, registros insubstituíveis, confiança do cliente, produtividade e muito mais. É necessário dar atenção especial à definição de estratégias mais adequadas para recuperação contra ransomware, já que pagar o resgate não é uma opção, embora um estudo de dezembro de 2016 da IBM garante que 70% das empresas infectadas com ransomware pagaram para recuperar o acesso aos seus sistemas. O pagamento do montante não garante o recebimento da chave para desbloquear os dados criptografados. Portanto, além de ceder à chantagem, você não terá a garantia de que conseguirá restabelecer o acesso aos dados. O malware que criptografa os dados e exige um pagamento financeiro por sua liberação é mais do que apenas uma dor de cabeça e não pode ser resolvido simplesmente apagando o arquivo. Há muito mais risco do que apenas dados. Então, como podemos evitar os ataques de ransomware na segurança dos sistemas de informação? / 03
A PROPAGAÇÃO MAIS COMUM Como qualquer malware, para combater o ransomware é fundamental entender as táticas que os atacantes usam para fazer a ameaça. No entanto, atualmente existem diferentes variantes de ransomware em uso, as quais englobam vários vetores de ataque, inclusive através da rede, aplicativos baseados em SaaS e diretamente ao ponto final. Os três métodos mais comuns de ataque são: 1 2 3 Kits de exploração: É um conjunto de ferramentas que exploram vulnerabilidades de aplicativos com a finalidade de propagar malwares. É preciso notar que, na maioria das vezes, este método de propagação tende a apontar para sites comprometidos que foram vinculados por anúncios, sites de terceiros ou aplicativos web. Uma vez executada a web mal-intencionada, o malware atua fazendo o download no navegador de um arquivo que infecta o sistema. Anexos em e-mails: Nesta metodologia, o atacante envia um e-mail, geralmente de uma fonte confiável, e anexa um arquivo malicioso, como um executável portátil (PE), um documento do Word ou um arquivo.js. O destinatário abre o anexo pensando que o e-mail foi enviado de uma fonte de confiança e baixa o ransomware sem saber, infectando o sistema. Links maliciosos em e-mails: Assim como os anexos, os links maliciosos em e-mails são enviados de uma pessoa ou empresa que o destinatário acredita ser de confiança. São URLs no corpo do e-mail que, quando clicadas, redirecionam para sites ou aplicativos da web que baixam arquivos maliciosos. / 04
É óbvio que a dificuldade para evitar esses ataques é alta, já que abrir arquivos ou links em e-mails ou sites aparentemente confiáveis é um processo habitual no dia a dia de um funcionário. / 05
MÉTODOS PARA EVITAR ATAQUES DE RANSOMWARE Como o ransomware atinge cada vez mais instituições de saúde, escolas e agências governamentais, os especialistas em segurança oferecem conselhos para ajudar os líderes de TI a se preparar e se proteger. O significado é claro: definir uma estratégia de proteção contra esse tipo de ataque tem de ser uma prioridade absoluta em qualquer departamento de TI, uma vez que, tendo em conta a generalização e padronização do ransomware, é cada vez mais provável que uma empresa sofra um ataque desses. Mas, infelizmente, ainda há muitas empresas que, seja por falta de orçamento ou conhecimento, não têm uma segurança ideal que impede malware avançado. Por isso, aqui estão algumas das dicas mais eficazes para tornar o ransomware menos prejudicial: Parar de estabelecer comunicação com a rede: Caso seja executado um arquivo suspeito que possa conter uma ameaça que se propague nos sistemas do computador, é importante interromper a comunicação com a rede a fim de reduzir possíveis danos. No entanto, se o arquivo for realmente uma ameaça, é preciso ser mais rápido que o malware e se desconectar da rede antes que o ransomware comece a criptografar os arquivos. Desativar os arquivos que são executados a partir da pasta App Data: Os softwares de prevenção de intrusões permitem criar regras para remediar possíveis ameaças de segurança. Com a aplicação de uma norma que bloqueie a execução de um arquivo executável das pastas App Data ou Local App Data (um comportamento bastante típico de ransomware), é possível evitar propagação desse tipo de malware em cerca de 10% dos casos. É claro que tudo depende do método de ação do ataque. / 06
Desativar o RDP: Assim como no caso anterior, outro comportamento típico dos ransomwares é o ataque através do Remote Desktop Protocol (RDP), um protocolo que dá acesso remoto a terceiros. Se a empresa não faz uso desse protocolo, é importante desativá-lo para proteger o sistema de Filecoder e exploits. Utilizar sistemas de segurança confiáveis: Ter um software antimalware e um firewall é imprescindível em todas as empresas. Atualmente, a maioria dos malwares precisa receber instruções remotas. É extremamente importante contar com ambos os sistemas de segurança, pois se uma variante de ransomware nova o suficiente para passar despercebida contra softwares antimalware se espalhar, o firewall pode bloqueá-la. Usar ferramentas específicas para ataques de ransomware: Independentemente do firewall e do software antimalware, é importante avaliar a aquisição de algum software adicional que seja especializado na abolição e estabelecimento de ataques de ransomware. Em geral, são ferramentas atualizadas conforme aparecem novas variantes do ataque. Elas permitem que você enfrente o malware, um a um. Filtrar os arquivos executáveis do e-mail: Pode ser muito útil contar com ferramentas que permitem a filtragem de arquivos anexos em e-mails com nomes ou extensões específicas (como.exe) e com extensão dupla, permitindo identificar mais facilmente um possível arquivo malicioso. Fazer backup de todos os dados: A maneira mais simples de evitar os ataques de ransomware é fazer backups periódicos de todo o conteúdo importante no sistema. O software de backup dedicado faz cópias completas dos discos rígidos e armazena em alguma fonte externa, geralmente uma unidade de armazenamento que é desconectada e deliberadamente mantida offline após o backup. Portanto, podemos chegar à conclusão que a prevenção é a melhor maneira de evitar ataques de ransomware. Antecipar possíveis eventos permite estar preparado para qualquer ameaça de segurança. Mas, de todas as dicas acima, apenas uma nos permite ter certeza de que não vamos sofrer as consequências dos ataques de ransomware: a criação de backups. Para isso, é preciso ter um software de backup especializado que permita restaurar o sistema para um backup anterior sem que os arquivos do software também sejam criptografados pelo ataque e desabilitem a ferramenta de recuperação. / 07
A ESCOLHA DE UM SOFTWARE DE BACKUP Dispor de uma forte defesa de recuperação de ataques de ransomware torna possível mitigar os danos causados pela criptografia de arquivos. É evidente que esses problemas existem no mercado, e, sem a solução adequada de proteção de dados, as empresas continuarão sendo alvos vulneráveis da perda de dados. Uma solução de proteção de dados implantada em toda a organização, que protege os dados em servidores físicos e virtuais, desktops, laptops, smartphones, tablets e aplicativos baseados no SaaS (como o Office 365, Google Apps ou Amazon Web Services) fornece garantia de recuperação dos dados. No entanto, fazer backup é apenas um aspecto da solução. O resultado ideal é conseguir recuperar os dados quando necessário. Se uma organização se vê afetada por um malware como ransomware, ela precisa ter a segurança de que os dados podem ser recuperados. As soluções de proteção viáveis devem incluir recursos como a cura autônoma para verificar a integridade lógica e física dos dados escritos nos sistemas de armazenamento e a validação, para assim garantir que os dados sejam realmente restauráveis por simulação de recuperação real. / 08
ARCSERVE 6.5: A MELHOR OPÇÃO Todas as funções expostas acima são praticamente imprescindíveis para garantir a segurança correta dos sistemas de informação que combatem qualquer tipo de infecção de ransomware. No entanto, é preciso dar ênfase es pecial para a solução de backup, já que é um dos pilares fundamentais da segurança de uma empresa. Depois de um processo de investigação sobre técnicas de recuperação mais eficazes para combater ataques por ransomware, foi determinado que a versão mais recente do software UDP da Arcserve é o recurso mais eficaz. O provedor de software de proteção de dados, replicação e recuperação para empresas da Arcserve atualizou sua proposta de segurança com a versão 6.5. Ela é caracterizada pela facilidade de integração com os principais ambientes de nuvem pública em uma simplificação de operações em ambientes híbridos. Em particular, agora é possível manter backups no Amazon AWS com uma disponibilidade de dados fortificada, além de poder fazer backups dos ambientes de Office 365 para um servidor local. É uma versão compatível com Windows Server 2016 e vsphere 6.5, bem como com diferentes distribuições de Linux e soluções NAS, contendo todas as funcionalidades essenciais expostas anteriormente, como a verificação e validação dos dados usando a tecnologia Arcserve Assured Recovery e a integração com os principais serviços da nuvem. Além disso, é uma ferramenta que se destaca da concorrência por sua facilidade de uso e funções que permitem combinar os benefícios da granularidade com desempenho e flexibilidade. A aposta do Arcserve 6.5 foi optar por uma solução que combine as tecnologias de backups, replicação, alta disponibilidade e deduplicação com o intuito de proporcionar uma integração mais profunda de recuperação de desastres (DR). A solução também oferece ferramentas de análises que permitem que as equipes de TI vejam o status dos pontos de recuperação de testes automáticos sem interrupções para os sistemas operacionais Microsoft Windows e Linux, fornecendo relatórios detalhados e sofisticados, a fim de aplicar e automatizar as funções que considerem necessárias. / 09
ARCSERVE UDP 6.5: MAIS QUE UMA ATUALIZAÇÃO Devido às mudanças nas necessidades de negócios, as equipes de TI precisam de uma solução altamente confiável que otimiza o uso de recursos e garante completamente dados e disponibilidade máxima sem a necessidade de contratar serviços caros. Com o lançamento do Arcserve UDP 6.5, este é o melhor momento para descobrir como é possível obter uma recuperação abrangente e segura para a organização tanto em ambientes virtuais quanto físicos, já que se trata de uma arquitetura unificada de última geração com uma facilidade de uso incomparável. Como já foi explicado, o Arcserve UDP 6.5 traz recursos novos e inovadores de proteção de dados, incluindo maior integração em ambientes de nuvem e orquestração de recuperação de desastres. Como as soluções anteriores da Arcserve já cumpriram sua missão, detalhamos a seguir apenas os recursos e as funções adicionadas na última atualização do Arcserve UDP: 1 Restauração 2 direta para a nuvem pública do AWS: Permitir que os usuários executem cargas de trabalho locais e restaurem ou migrem para plataformas na nuvem pública possibilita a estratégia de recuperação de desastres. O Arcserve UDP 6.5 é compatível com a conversão dos pontos de recuperação no AWS EC2 com a ajuda de instantâneos para restaurar facilmente os dados. Esse recurso garante a maior capacidade disponível por meio do uso de nuvem pública e ajuda a alterar os ambientes de suporte a AWS EC2 de maneira fácil e rápida. Backups para Microsoft Office 365: O aplicativo Exchange Online do Office 365 oferece às empresas a opção de usar os serviços de Exchange Mail através da plataforma de nuvem pública da Microsoft em forma de assinatura. O desafio aqui sempre foi proteger e garantir a recuperação desses dados da troca de nuvem pública no Office 365. A nova atualização do UDP tem um recurso que oferece suporte ao Exchange a fim de ajudar as organizações a proteger os e-mails do Office 365 hospedados na nuvem pública ou privada da Microsoft. Ao usar essa função, os usuários podem proteger e manter um / 10
backup local dos seus dados de e-mail do Office 365, o que elimina o risco de perda devido a interrupção ou exclusão acidental. Além disso, ao usar a função de filtro inteligente, os administradores podem escolher fazer backup apenas de maneira seletiva em pastas importantes. 3 4 5 6 7 Proteção automática de máquinas virtuais recém-adicionadas aos hosts: A capacidade de proteger um conjunto de recursos permite que as máquinas virtuais recém-criadas no hipervisor se juntem à política de backups existente, garantindo assim uma proteção automática e instantânea. Compatibilidade com snapshots instantâneos para Nimble Storage e HPE 3Par: A Arcserve agora é compatível com instantâneos para arrays de armazenamento de HPE 3PAR StoreServ e Nimble Storage, o que significa disponibilidade de dados fortificada. Realização de testes de pontos de recuperação: Esse recurso permitirá que o software de backup teste o ponto de recuperação que um servidor de produção acaba de fazer para garantir sua integridade. Isso vai evitar complicações durante um processo de restauração. Além disso, com a versão 6.5, um novo recurso chamado Assured Recovery foi adicionado, permitindo ver o status de integridade dos pontos de recuperação. A integridade e a recuperação dos pontos de recuperação são comprovadas de forma programada mediante a criação automática de cópias instantâneas de máquinas virtuais ou discos virtuais. Novas certificações: A atualização oferece novas certificações, especificamente para Windows Server 2016, vsphere 6.5 e para as últimas versões e bifurcações da Red Hat, além do Unbreakable Enterprise Kernel (UEK) da Oracle. Relatórios de SLA para RTO e RPO: Os relatórios de SLA em RTO e RPO permitem que o software de backup gerencie e informe sobre servidores protegidos e determine se eles cumprem os RPOs (as janelas de backup) e os RTOs (os tempos de restauração necessários). / 11
Sem dúvida, o Arcserve 6.5 é a melhor solução para redução de todos os tipos de ataque de ransomware, pois as ferramentas incluídas na nova versão do UDP da Arcserve permitem ter uma ótima estratégia de recuperação e ignorar qualquer ameaça. É mais do que apenas um backup e recuperação de desastres, é a solução que garante a continuidade dos negócios e combate qualquer ataque. / 12
CONCLUSÃO Vamos imaginar que chegamos ao escritório pela manhã e descobrimos que nossos dados têm extensões e nomes estranhos e, pior que isso, uma janela é aberta exigindo um pagamento para que nossos dados voltem ao normal. É possível que isso já tenha acontecido ou que tenhamos conhecimento de algum caso desse tipo. O malware não apenas afetou nossa equipe, mas mapeou as unidades de rede, outras equipes e criptografou todos os dados aos quais havia acesso de gravação. Esse problema, chamado ransomware, é uma ameaça real que pode vir de diversas formas e, como apresentamos neste documento, a melhor estratégia para se proteger é um plano de backup. O Arcserve UDP 6.5 fornece as ferramentas de recuperação granular, recuperação segura, deduplicação e conectores em nuvem para poder projetar diferentes planos de recuperação de dados em caso de incidente. A granularidade do Arcserve UDP permite recuperar apenas a parte afetada e evitar longos tempos de espera para recuperação dos dados. Além disso, sabemos que os dados estão disponíveis e verificados graças à tecnologia do Arcserve Assured Recovery. O Arcserve UDP pode ser incorporado como uma ferramenta prática mediante seus appliances, o que permite criar uma defesa contra ransomware em tempo recorde enquanto melhoramos em muito nossa estratégia de cópia e recuperação de dados. Em resumo, graças ao Arcserve UDP, os dados podem ser recuperados e o trabalho pode ser mantido sem perder tempo nem dinheiro. / 13
Saiba mais em www.arcserve.com Copyright 2018 Arcserve (USA), LLC e suas afiliadas e subsidiárias. Todos os direitos reservados. Todas as marcas registradas, nomes comerciais, marcas de serviço e logotipos aqui mencionados pertencem aos seus respectivos proprietários. Este documento tem apenas caráter informativo. Nem a Arcserve (USA), LLC, nem suas afiliadas, subsidiárias, predecessoras, cessionárias e sucessoras ( Arcserve ) assumem qualquer responsabilidade pela precisão ou integridade destas informações. Dentro dos limites permitidos pelas leis aplicáveis, a Arcserve apresenta este documento "como está", sem garantia de qualquer espécie, incluindo, sem limitações, qualquer garantia implícita de comercialização, adequação a um determinado propósito ou não cumprimento. Em nenhuma circunstância a Arcserve será responsável por danos ou prejuízos, diretos ou indiretos, decorrentes do uso deste documento, incluindo, entre outros, lucro cessante, interrupção dos negócios, valores ou perda de dados, mesmo que a Arcserve tenha sido informada expressamente com antecedência sobre a possibilidade de tais danos.