O que é o ransomware?
No caso improvável de nunca ter ouvido falar da ameaça que mais cresce atualmente na cibersegurança, o ransomware é um tipo de malware que é instalado secretamente num sistema, bloqueia ou encripta os dados nele contidos e exige um resgate para os libertar ou desencriptar.
O ransomware floresceu em 2016, em parte devido a políticas de segurança mal definidas (incluindo a falta de cópias de segurança regulares) por parte dos consumidores e das PME, e em parte devido a tácticas engenhosas de engenharia social utilizadas pelos cibercriminosos.
Como mostra este vídeo da Cisco, a imagem do hacker de capuz está há muito desactualizada - o advento do"ransomware como serviço" permitiu que pessoas com conhecimentos de programação limitados, ou mesmo nulos, utilizassem kits de ransomware bem embalados para lançar cargas de malware e extorquir dinheiro a empresas incautas. Os kits de ransomware podem ser comprados por apenas 100 dólares na dark web.
As empresas precisam de estar muito preocupadas com o ransomware
A natureza lucrativa do modelo de ransomware torna-o aliciante para os cibercriminosos. Com a crescente rentabilidade do ransomware como serviço, o ransomware deixou de ser uma preocupação apenas para as pequenas e médias empresas e para os consumidores.
Infelizmente, a perceção geral entre as empresas continua a ser a de que o ransomware é um problema do consumidor ou das PME e não é realmente motivo de preocupação. Trata-se de um pressuposto perigoso por várias razões:
- O facto é que as empresas são de facto afectadas pelo ransomware - em 2016, 40% das empresas inquiridas foram atingidas por ele, de acordo com a investigação da Malwarebytes(via ZDNet).
- Mesmo que o modelo de segurança da sua organização seja maduro e tenha modelos de recuperação de desastres bem definidos, é necessário ter em conta o custo de cópias de segurança incompletas, mecanismos de recuperação limitados para dados críticos e o tempo necessário para uma recuperação completa.
- O ransomware está a evoluir rapidamente - as novas variantes estão a utilizar uma abordagem sem ficheiros, tornando mais difícil a sua deteção pelas análises de ficheiros. Ainda mais desconcertante é o nível de sofisticação crescente das variantes de ransomware - uma variante recente chamada Locky emprega uma encriptação RSA e AES extremamente forte, encripta ficheiros não só no sistema infetado, mas também em unidades de rede não mapeadas ligadas ao ponto de infeção, e elimina instantâneos de sombra de volume. Por outras palavras, antecipa as acções correctivas e é especificamente concebido para impedir o restauro dos ficheiros através da eliminação de cópias sombra.
Vectores de ataque
2016, de acordo com a maioria dos investigadores de cibersegurança, foi o ano da extorsão. Alguns dos métodos mais populares empregues em 2016 para descarregar o payload de malware incluem:
E-mails de phishing direccionados com anexos ou links maliciosos (Locky, Torrentlocker, CTB-Locker)
Um método de ataque comum em 2016 foi o seguinte: Um funcionário da empresa recebe o que parece ser um e-mail legítimo com um anexo (por exemplo, uma fatura). Quando o anexo é aberto, a codificação do documento parece estar distorcida (cheia de caracteres de lixo). Poderá ser apresentada uma mensagem semelhante a esta: "Se vir uma codificação de dados incorrecta, active as macros". Assim que o utilizador ativa as macros, o ransomware é descarregado e o payload é executado.
Esquemas de engenharia social
Os cibercriminosos sabem que, na maioria das empresas modernas, o elo de segurança mais fraco é o utilizador. Os esquemas de engenharia social envolvem normalmente enganar funcionários incautos para que entreguem informações pessoais ou dados como palavras-passe do sistema.
Utilização de kits de exploração
Os kits de exploração são conjuntos de ferramentas de malware que exploram vulnerabilidades conhecidas ou desconhecidas quando um potencial alvo visita um sítio Web comprometido. Estes ataques são frequentemente efectuados através de malvertising. Um dos kits de exploração mais notórios que existe atualmente é o Angler exploit kit. De acordo com o Midyear Security Report da Cisco, em 2015, o Angler foi responsável por 36% da penetração de utilizadores nos ciberataques observados até então.
Como pode evitar ser vítima de ransomware?
1. Utilize uma solução anti-malware forte; idealmente, utilize várias soluções. Como demonstra o gráfico comparativo de OPSWAT, a probabilidade de apanhar um surto de malware aumenta exponencialmente com o poder do multi-scanning. OPSWAT's MetaDefender Core utiliza mais de 100 mecanismos anti-malware, de sanitização de dados, de vulnerabilidade e outros mecanismos de segurança para a melhor proteção contra ameaças conhecidas e desconhecidas. A análise múltipla ajuda-o não só a melhorar significativamente as taxas de deteção, mas também a reduzir o tempo de exposição ao surto. Além disso, as APIs do MetaDefender permitem uma fácil integração com as soluções existentes. Leia mais sobre MetaDefender Core .
2. Ter uma política de segurança empresarial bem definida bem definida que seja aplicada a todos os níveis da organização.
3. Fazer cópias de segurança, fazer cópias de segurança e fazer cópias de segurança! Certifique-se de que as cópias de segurança dos ficheiros são feitas regularmente e que a sua organização tem um plano bem definido de cópia de segurança e recuperação de desastres. Certifique-se de que verifica antecipadamente com o seu fornecedor os custos e o tempo necessário para uma recuperação total em caso de ataque a uma infraestrutura crítica.
4. Investir num bom proxy Web ou em gateways Web seguros que acrescentem uma camada adicional de defesa e protejam os seus servidores da exposição a infecções. MetaDefender ICAP Server O ICAP expõe uma interface que permite aos administradores de sistemas integrar facilmente a tecnologia de multi-digitalização e higienização de dados do OPSWAT num proxy Web existente para a análise anti-malware de todos os downloads e uploads HTTP. Leia mais sobre o assunto aqui.
5. Abordar as vulnerabilidades. A redução ou eliminação das vulnerabilidades resulta em menos opções para os utilizadores maliciosos obterem acesso a informações seguras. As vulnerabilidades não corrigidas são um problema grave. Mesmo que a sua política de segurança exija actualizações regulares, alguns funcionários podem ficar irritados com as constantes notificações de atualização e desativar as actualizações automáticas.
Com MetaDefender Core's Vulnerability Engine, você pode:
- Analisar sistemas para detetar vulnerabilidades conhecidas em repouso, sem ter de os ligar
- Verificar se o software tem vulnerabilidades conhecidas antes de ser instalado
- Analise rapidamente sistemas inteiros e aplicações em execução para detetar vulnerabilidades
Descarregue uma ferramenta de avaliação de vulnerabilidades gratuita para obter um relatório rápido de vulnerabilidades dos seus pontos terminais aqui.
6. Aumentar a sensibilização para a segurança dentro da organização. Certifique-se de que os seus funcionários estão cientes dos vectores de ataque mais comuns: phishing e engenharia social. Investir em soluções poderosas de segurança de correio eletrónico - um gateway de correio eletrónico seguro nem sempre é suficiente. MetaDefender Email Security O sistema de segurança de correio eletrónico adiciona uma camada de proteção mais forte aos seus actuais gateways de correio eletrónico seguros.
7. Para as organizações que têm uma política de Bring Your Own Device (BYOD), garantir que os utilizadores não instalam aplicações não assinadas ou de terceiros. Investir em soluções de mobilidade empresarial que permitam práticas BYOD mais seguras, tais como ambientes virtuais, classificação de dados e soluções de verificação da integridade dos dispositivos.
E se já estiver infetado?
- Isolar o dispositivo infetado da rede o mais rapidamente possível. Isto ajuda a evitar a propagação do ransomware.
- Verifique se tem pontos de restauro do sistema saudáveis que possam ser utilizados para recuperar ficheiros.
- Se tiver investido numa solução de cópia de segurança e recuperação de desastres, verifique com a sua equipa de apoio se os dados são recuperáveis.
- Em alguns casos, pode ser possível desencriptar os seus ficheiros. Aqui estão algumas ferramentas de desencriptação de ransomware disponíveis gratuitamente fornecidas por empresas anti-malware:
Uma lista completa de ferramentas gratuitas de desencriptação de ransomware para desbloquear ficheiros é mantida pela boa gente do Windows Club. Além disso, consulte o projeto No More Ransom para verificar se pode recuperar os seus ficheiros encriptados.
Como nota final, OPSWAT não recomenda o pagamento do resgate. Não há garantia de que, depois de receber o resgate, os atacantes irão desencriptar os ficheiros, e poderá ficar exposto a pedidos de resgate adicionais.
Para saber mais sobre como o OPSWAT pode proteger a sua organização contra ransomware, contacte-nos hoje mesmo.
