Como nos podemos proteger? Atualmente é uma das maiores ameaças à indústria TI. Mas não podemos render-nos! Medidas preventivas e formação aos utilizadores são os primeiros passos mas uma abordagem por camadas irá ajudá-lo a minimizar o risco de ataque Ransomware! O Ransomware chegou para ficar e não escolhe negócio ou dimensão! Você pode ajudar a mitigar o risco de disrupção do seu negócio, perda de produtividade, evitar danos na imagem da sua empresa e complicações legais! Um mundo mais complexo, mais global! A infraestrutura TI replica-se entre postos de trabalho, dispositivos móveis, Cloud Os dados podem estar no PC, no smartphone, no OneDrive, DropBox, Office365, Azure, Amazon, em casa, no Provedor de Serviços O Ransomware já não é apenas um bilhete premiado de lotaria que nos promete a fortuna e escrito num inglês incompreensível! As organizações criminosas investem milhares de euros em equipas de tradução e conteúdo para tornar mais credível a mensagem! Mas afinal o que é o Ransomware? É um tipo de malware que torna inacessível os dados e sistemas da sua organização. Como funciona? Bloqueia o acesso dos seus PCs ou, mais comum, encripta os seus ficheiros duma forma quase irrecuperável forçando o utilizador ou empresa a pagar um resgate, normalmente em BitCoins, para poder aceder aos dados novamente! 1
Começou como uma experiencia direcionada essencialmente a utilizadores domésticos, mais ou menos famosos, cujo objetivo era o suborno! O atacante enviava um mail com um assunto sugestivo onde escondia um pequeno código malicioso Ao executa-lo, o malware procurava ficheiros por extensão e nome, especificamente fotografias, vídeos e ficheiros que pudessem conter dados bancários, depois encriptava-os! No fim lançava uma janela de mensagem com a ameaça de apagar os ficheiros ou, em alguns casos, publicar essa mesma informação! Atualmente existe uma indústria lucrativa e em forte crescimento à volta deste tipo de ataques! É a idade moderna das organizações criminosas que recorrendo à DarkWeb acabam por acrescentar à sua fonte de rendimento a venda dos seus serviços sob a forma de aplicações intuitivas e customizadas. Aplicações que qualquer utilizador comum pode usar fácil e rapidamente! 2
4 Maneiras de proteger a sua organização contra esta ameaça 1. Gateway de Email e Web Estudos recentes indicam que 99% dos ataques que envolvem ransomware têm origem em vetores de email ou web! Como primeira linha de defesa contra o ransomware é essencial proteger as gateways de email e web. A filtragem a este nível irá proteger a parte mais vulnerável da sua empresa os utilizadores! 99% dos ataques são bloqueados ao nível das gateways! Estejam as gateways alojadas onpremises ou na cloud (por exemplo, Office365)! 2. Proteção no Endpoint Embora 99% dos ataques possam ser bloqueados nas gateways ainda resta 1% que pode entrar. As soluções XGen Endpoint Security são a nova geração de proteção para postos de trabalho. Funcionalidades como a monitorização de comportamentos, controlo de aplicações, escudo contra vulnerabilidades, reputação web e proteção contra exploits dos browsers, trabalham em conjunto na proteção avançada contra a ameaça Ransomware! 3. Defesa de Perímetro Embora o Ransomware tenha sido tradicionalmente um problema relacionado com o utilizador, as organizações criminosas têm dedicado a sua atenção em ataques à rede que expõem todos os sistemas, bases de dados, partilha de ficheiros, etc.! O Ransomware pode entrar por qualquer ponto da sua organização sem ser detetado, razão pela qual é essencial uma estratégia de defesa ao nível da rede que complemente as firewalls tradicionais que abordam apenas um dos níveis, sejam eles portos, protocolos, em segmentos físicos ou virtuais. 4. Proteção de servidores Mesmo protegendo as gateways de email e web, por onde surgem a maioria dos ataques de ransomware, os cibercriminosos voltaram-se agora diretamente para os servidores tendo como porta de entrada sistemas descontinuados ou vulnerabilidades não corrigidas (unpatched). É essencial uma estratégia específica que aborde tanto ambientes físicos como virtuais, no sentido de integrar múltiplos controlos de anti-malware e reputação web, Prevenção de Intrusões (IPS), Monitorização de Integridade, deteção de comunicação C&C (Command and Control) e deteção e prevenção de atividade suspeita. 3
Controlo e visibilidade centralizados Como parte da estratégia de defesa contra o Ransomware, as empresas devem implementar múltiplos controlos de segurança, interligando-os num ponto central que garanta visibilidade global! Só desta forma é possível perceber o caminho que o Ransomware tenta, incluindo o quê e como foi detetado! E agora? Caso tenha sido infetado dificilmente conseguirá recuperar os seus dados! A opção de pagamento tem vindo a ser desaconselhada uma vez que não há garantia que o atacante cumpra depois do resgate estima-se que 20% das vítimas que pagaram nunca receberam os seus ficheiros de volta! Na realidade, estes atacantes já o enganaram ao infetar o seu sistema e a roubar os seus ficheiros! Que garantias tem que o atacante vai honrar o compromisso depois de receber o dinheiro? Por outro lado, ao pagar estamos a incentivar os criadores de malware a continuar a sua operação Procura e oferta! Mais pessoas a pagar, aumenta-se o volume de mercado, que leva à criação de mais malware, mais sofisticado e mais problemas para todos! Prevenir não é remediar! Assegure-se que o sistema operativo e aplicações estão sempre atualizadas! Invista na educação dos seus utilizadores sobre o que são as principais técnicas de phishing e como evita-las não abra emails de origem desconhecida, anexos ou links suspeitos! Mantenha os navegadores web atualizados e utilize as definições avançadas para desabilitar a execução automática de plug-ins vulneráveis como por exemplo: Java, Flash, Silverlight! Implemente rotinas de revisão de políticas de segurança de modo a limitar o acesso a infraestrutura critica tanto para utilizadores como para sistemas que de facto não necessitem! Salvaguarde ficheiros importantes usando a regra 3/2/1 3 cópias de backup em 2 tipos diferentes de suporte com 1 backup numa localização separada! Invista em soluções de segurança eficazes e reconhecidas! Siga os 4 passos identificados neste documento! Não seja mais uma vítima! 4
Se entretanto já foi infetado, não entre em pânico! Existem cada vez mais ferramentas de limpeza e desencriptação de ficheiros! Gratuitos! Alguns Links recomendados: https://www.nomoreransom.org/ http://www.trendmicro.co.uk/vinfo/uk/security/news/cybercrime-and-digital-threats/ransomwarerecap-oct-21-2016 https://success.trendmicro.com/solution/1114221-downloading-and-using-the-trend-microransomware-file-decryptor https://business.kaspersky.com/anti-ransomware/5866/ https://blog.kaspersky.com/tag/ransomware/ Fale connosco! A A2IT Tecnologia tem feito um forte investimento na formação dos seus quadros e na sensibilização dos seus clientes relativamente a esta ameaça! Verticalizamos a nossa área de Segurança/Redes e temos uma equipa com vasta experiencia em soluções de segurança e sistemas incluindo projetos de referência com recursos dedicados em grandes organizações como é o caso, por exemplo, da Portugal Telecom e do Ministério da Administração Interna! Juntos podemos parar o Ransomware! Apresentamos os melhores cumprimentos. Atentamente, Luis Rosa Business Unit Manager Network & Security lrosa@pt.a2it.com 5