De acordo com o Relatório de Violação de Dados da Verizon de 2020, o ransomware é o terceiro ataque de malware mais frequente. Uma prova recente deste facto aconteceu a 4 de outubro, quando a Universal Health Services (UHS), um hospital e prestador de serviços de saúde da Fortune 500, alegadamente desligou sistemas em diferentes instalações de saúde nos EUA depois de um ciberataque ter atingido a sua rede interna.
Um ataque aos cuidados de saúde de qualquer tipo pode ser letal, especialmente tendo em conta o estado atual da pandemia. Este é mais um ataque cibernético recente que termina com o encerramento da infraestrutura do IT devido a um ataque de ransomware. Neste caso, o UHS está a redirecionar alguns pacientes para hospitais próximos.
No entanto, muitas pessoas não sabem que a ativação do ransomware é apenas a fase final de um ataque. Antes da execução, existem muitas fases e oportunidades para parar o ataque.
Bem, o que é exatamente o ransomware?
O ransomware é um software malicioso concebido para impedir a utilização de ficheiros do sistema informático com o pedido de pagamento de um resgate. A maioria das variantes de ransomware encripta os ficheiros no dispositivo afetado, tornando-os indisponíveis e exigindo o pagamento de um resgate para restaurar o acesso aos mesmos.
O código do ransomware é muitas vezes sofisticado, mas não tem de o ser, porque, ao contrário de outras formas de malware convencional, geralmente não precisa de passar despercebido durante muito tempo para atingir o seu objetivo. Esta relativa facilidade de implementação versus o elevado potencial de lucro atrai tanto os actores sofisticados do cibercrime como os novatos para a execução de campanhas de ransomware.
"Em 7% dos tópicos de ransomware encontrados em fóruns e mercados criminosos, o "serviço" foi mencionado, sugerindo que os atacantes nem sequer precisam de ser capazes de fazer o trabalho eles próprios." - Relatório de Investigações de Violação de Dados de 2020, pág. 16.
O ransomeware é tão popular que existem serviços que podem ser adquiridos e que tratam da sua implementação em nome do cibercriminoso. Com um mercado tão próspero, espera-se que o ransomeware e os serviços de ransomeware só aumentem.
Como é que o ransomware entra na rede?
A abordagem mais comum para um atacante entregar ficheiros maliciosos é explorar erros humanos comuns, como ataques de phishing, em que o atacante envia uma mensagem de correio eletrónico que parece ser legítima, mas que incentiva a pessoa a clicar em ligações ou a descarregar um anexo. O anexo transporta muitas vezes uma carga útil que entrega o software malicioso. Os atacantes tendem a explorar interfaces expostas, como o RDP ou aplicações Web não corrigidas. O ransomware também é distribuído em sítios Web comprometidos ou maliciosos, através de ataques drive-by-download. Alguns ataques de ransomware foram também enviados através de mensagens nas redes sociais.
Normalmente, o ransomware é utilizado na abordagem "shotgun" - em que os atacantes adquirem listas de correio eletrónico ou sítios Web comprometidos e lançam o ransomware.
Proteger-se contra ransomware
Existem várias fases para travar o malware durante o ciclo de vida do ataque. A primeira fase consiste em impedir a entrada na rede; a segunda fase para travar o ransomware (partindo do princípio de que não é autónomo) consiste em impedir que comunique com o servidor de Comando e Controlo (C2); a terceira fase consiste em travar o ransomware imediatamente após o início da sua execução e antes de efetuar movimentos laterais na rede.
A primeira fase - impedir que o malware entre na rede - é a mais importante. Normalmente, os atacantes tentam utilizar técnicas de phishing ou tirar partido de ligações de acesso remoto não seguras, tais como ligações RDP mal configuradas e através de terminais que não cumprem a política da empresa. Estes dispositivos podem permitir que o ransomware pegue carona na ligação à organização da rede.
A segunda fase - não permitir que o malware comunique com um C2 - é normalmente efectuada através da implementação de um FireWall e de um sistema de deteção baseado na rede para procurar assinaturas de rede.
A terceira fase - impedir que o ransomware seja ativado e se expanda na rede - é, nesta altura, muito mais complicada e consome muitos recursos.
OPSWAT oferece soluções preventivas para que se possa defender de ataques. As nossas soluções ajudam as organizações a impedir a entrada de malware nas redes, como a solução de segurança de gateway de correio eletrónico para impedir o phishing, a solução de acesso seguro para ajudar na validação da conformidade e
segurança de carregamento de ficheiros que executa Deep CDR (Content Disarm and Reconstruction) utilizando MetaDefender Core. Estes são apenas alguns dos muitos produtos que a OPWAST oferece para ajudar a manter as redes de infra-estruturas críticas seguras contra ransomware. Para mais informações, contacte-nos hoje mesmo.
Referências
https://enterprise.verizon.com/resources/reports/dbir/
https://www.blackfog.com/the-state-of-ransomware-in-2020/
https://www.microsoft.com/en-us/download/details.aspx?id=101738
