PROTEÇÃO CONTRA CYBERCRIMINOSOS E OS VÍRUS DE SEQUESTRO DE DADOS (RANSOMWARE) E OS ATAQUES DO WANNACRY Nivaldo Cleto 11/10/2017
Ransomware Nivaldo Cleto Comitê Gestor da Internet CGI.br ncleto@cgi.br
Agenda Ransomware Wanacry Como se prevenir Outros cuidados a serem tomados Créditos Mantenha-se informado
Evolução dos ataques de virus nas últimas décadas
Hoje é um Batalhão de Códigos Maliciosos
Ransomware (1/4) Programa que torna inacessíveis os dados armazenados em um equipamento, geralmente usando criptografia, e que exige pagamento de resgate (ransom) para restabelecer o acesso ao usuário
Ransomware (2/4) É um tipo de código malicioso assim como vírus, trojan, backdoor, worm, bot e spyware Pode infectar: computadores (desktop, notebook, servidores, etc.) equipamentos de rede (modems, switches, roteadores, etc.) dispositivos móveis (tablets, celulares, smartphones, etc.)
Ransomware: smartphones Android
Fonte Kaspersky Lab O Brasil hoje: Ransomware Aumento dos ataques entre 2014 a 2016: +60%
Número de usuários atacados entre 2014 a 2016: de 2,56% a 31%
Ransomware (3/4) Ações mais comuns impede o acesso ao equipamento (Locker ransomware) impede o acesso aos dados armazenados no equipamento, geralmente usando criptografia (Crypto ransomware) Extorsão é o principal objetivo dos atacantes pagamento feito geralmente via bitcoins não há garantias de que o acesso será restabelecido mesmo que o resgate seja pago normalmente usa criptografia forte Costuma buscar outros dispositivos conectados, locais ou em rede, e criptografá-los também
Novembro de 2016 Valorização 596 % Um ano
Novembro de 2017
Ransomware (4/4) Infecção pode ocorrer pela execução de arquivo infectado: recebido: via links em e-mails, redes sociais e mensagens instantâneas anexado a e-mails baixado de sites na Internet acessado: via arquivos compartilhados via páginas Web maliciosas, usando navegadores vulneráveis Não se propaga sozinho
Wannacry de 2017 Atingiram centenas de milhares de computadores, em mais de 150 países. Além de pequenas e médias empresas, atingiram o Serviço Nacional de Saúde Britânico, grandes operadoras de telecomunicações, bancos, empresas de transporte, entre outras. A previsão é de que estes ataques continuem aumentando nos próximos anos, sendo baseadas em vulnerabilidades tanto do Sistema Operacional Windows, quanto de aplicações e sites comprometidos
Wannacry de 2017 O WannaCry explora uma falha do Windows que foi divulgada em abril de 2017, num vazamento sobre as armas digitais da NSA, agência de segurança norte-americana. A Microsoft criou uma correção, mas muitas empresas e governos não atualizaram seus sistemas operacionais. Entre as vítimas do WannaCry, estavam a Telefônica, tanto na Espanha quanto no Brasil, e o sistema de saúde do Reino Unido. No Brasil, empresas públicas, como a Dataprev e TJ-SP desligaram seus computadores preventivamente. Segundo a Avast, o Brasil foi o quinto país mais atingido pelo WannaCry, com a detecção de 2.114 máquinas contaminadas. A Rússia ficou em primeiro lugar (113.692 detecções), seguida da Ucrânia (26.658), Taiwan (22.736) e Índia (4.108).
Wannacry de 2017 Na sexta-feira (12/5), mais de 200 mil computadores em mais de 100 países foram infectados pelo ransomware WannaCry. Segundo a auditoria Grant Thornton, os ataques virtuais causaram prejuízo a empresas de US$ 280 bilhões nos últimos 12 meses. Esse número inclui outros tipos de golpes virtuais além do ransomware.
Cinco Razões para vocês não pagarem o resgate 1. Pagar não é garantia de ter os arquivos de volta Algumas versões de ransomware possuem criptografia irreversível, é impossível recuperar os arquivos, mesmo pagando.
http://g1.globo.com/tecnologia/blog/segurancadigital/post/novo-virus-de-resgate-nao-devolvearquivos-apos-o-pagamento.html
Cinco Razões para vocês não pagarem o resgate 2. Você estará negociando com bandidos alguns deles iniciam o processo de chantagem e pedem mais dinheiro para liberar os arquivos baixado de sites na Internet 3. Incentivo a vida criminosa Assim eles continuam os ataques a outras empresas e pessoas. Ao fazê-lo você torna real o ditado o crime compensa.
Centro Médico Presbiteriano de Hollywood
Fonte: Inova.jor Em junho/2017, um ataque de ransomware à empresa de hospedagem de sites Nayana, na Coreia do Sul, infectou 153 servidores de Linux e tornou inacessíveis mais de 3,4 mil sites de empresas hospedados pela companhia. A Nayana concordou em enviar cerca de US$ 1 milhão em bitcoins aos criminosos, depois de oito dias de operações paralisadas, no maior pagamento de resgate num caso de ransomware que se tem notícia.
5 Razões para vocês não pagarem o resgate 4. Nada garante que você não será atacado novamente Pagar o resgate não te livra de sofrer um novo ataque. Eles não possuem nenhum registro, caderninho ou memória para te livrar de um novo ataque. 5. Em alguns casos é possível recuperar os arquivos Algumas versões possuem falhas na implementação da criptografia e a recuperação pode ser feita.
Como se prevenir
Não deixe que a infecção ocorra A melhor prevenção é impedir a infecção inicial Nem sempre é possível reverter as ações danosas já feitas ou recuperar totalmente os dados
Faça backups regularmente (1/3) Backup é a solução mais efetiva contra ransomware
Faça backups regularmente (2/3) Mantenha os backups atualizados de acordo com a frequência de alteração dos dados Configure para que seus backups sejam realizados automaticamente Certifique-se: de que eles estejam realmente sendo feitos de conseguir recuperá-los
Faça backups regularmente (3/3) Nunca recupere um backup se desconfiar que ele contém dados não confiáveis Mantenha os backups desconectados do sistema para que eles não sejam também criptografados pelo ransomware Faça cópias redundantes para evitar perder seus dados: em incêndio, inundação, furto ou pelo uso de mídias defeituosas caso uma das cópias seja infectada
Outros cuidados a serem tomados
Mantenha os equipamentos atualizados Tenha sempre as versões mais recentes dos programas Remova os programas que você não utiliza mais, pois eles tendem a: ser esquecidos ficar com versões antigas e potencialmente vulneráveis Configure a atualização automática dos programas atualizações devem ser baixadas e aplicadas em horários em que o equipamento esteja ligado e conectado à Internet Cheque periodicamente por novas atualizações usando as opções disponíveis nos programas Use apenas programas originais
Use mecanismos de proteção (1/2) Instale um antivírus (antimalware) mantenha-o atualizado incluindo o arquivo de assinaturas atualize o arquivo de assinaturas pela rede de preferência diariamente configure-o para verificar automaticamente: toda e qualquer extensão de arquivo arquivos anexados aos e-mails e obtidos pela Internet discos rígidos e unidades removíveis verifique sempre os arquivos recebidos antes de abri-los ou executá-los
Use mecanismos de proteção (2/2) Crie um disco de emergência de seu antivírus use-o se desconfiar que: o antivírus instalado está desabilitado ou comprometido o comportamento do equipamento está estranho mais lento gravando ou lendo o disco rígido com muita frequência, etc. Assegure-se de ter um firewall pessoal instalado e ativo Utilize antispam para filtrar as mensagens indesejadas Desabilite a auto-execução de: mídias removíveis arquivos anexados
Ao instalar aplicativos de terceiros Verifique se as permissões de instalação e execução são coerentes Selecione os aplicativos, escolhendo aqueles: bem avaliados com grande quantidade de usuários
Seja cuidadoso ao clicar em links Antes de clicar em um link curto: use complementos que permitam visualizar o link de destino Mensagens de conhecidos nem sempre são confiáveis o campo de remetente do e-mail pode ter sido falsificado, ou podem ter sido enviadas de contas falsas ou invadidas
Restrinja o acesso Use a conta de administrador do sistema apenas quando necessário a ação do ransomware será limitada às permissões de acesso do usuário que estiver acessando o sistema
Revista.br última edição http://cgi.br/media/docs/publicac oes/3/revista-br-ano-08-2017- edicao12.pdf
Créditos Fascículo Códigos Maliciosos http://cartilha.cert.br/fasciculos/ Cartilha de Segurança para Internet http://cartilha.cert.br/
Mantenha-se informado (1/2) Cartilha de Segurança para Internet http://cartilha.cert.br/ RSS http://cartilha.cert.br/rss/cartilha-rss.xml Twitter http://twitter.com/certbr
Mantenha-se informado (2/2) Portal Internet Segura http://www.internetsegura.br/ Campanha Antispam.br http://www.antispam.br/
Nivaldo Cleto Conselheiro CGI.br - Representante Setor Empresarial Usuários de Internet Skype ncleto Twitter - @nivaldocleto www.facebook.com/ncleto