Fale com um consultor

(11) 9 8991-8174

vendas@tps.com.br

Como funciona o ransomware?

Ransomware usa criptografia assimétrica. Esta é a criptografia que usa um par de chaves para criptografar e descriptografar um arquivo. O par de chaves público-privado é gerado exclusivamente pelo invasor para a vítima, com a chave privada para descriptografar os arquivos armazenados no servidor do invasor. O invasor disponibiliza a chave privada para a vítima somente após o resgate ser pago, embora, como visto em campanhas recentes de ransomware, nem sempre seja esse o caso. Sem acesso à chave privada, é quase impossível descriptografar os arquivos que estão sendo mantidos para resgate.

Existem muitas variações de ransomware. Freqüentemente, o ransomware (e outro malware) é distribuído por meio de campanhas de spam por e-mail ou por meio de ataques direcionados. O malware precisa de um vetor de ataque para estabelecer sua presença em um endpoint. Depois que a presença é estabelecida, o malware permanece no sistema até que sua tarefa seja concluída.

Após uma exploração bem-sucedida, o ransomware descarta e executa um binário malicioso no sistema infectado. Esse binário então pesquisa e criptografa arquivos valiosos, como documentos do Microsoft Word, imagens, bancos de dados e assim por diante. O ransomware também pode explorar vulnerabilidades do sistema e da rede para se espalhar para outros sistemas e, possivelmente, para organizações inteiras.

Depois que os arquivos são criptografados, o ransomware solicita ao usuário um resgate a ser pago em 24 a 48 horas para descriptografar os arquivos, ou eles serão perdidos para sempre. Se um backup de dados não estiver disponível ou esses backups forem criptografados, a vítima terá de pagar o resgate para recuperar arquivos pessoais.

Por que o ransomware está se espalhando?

Os ataques de ransomware e suas variantes estão evoluindo rapidamente para combater as tecnologias preventivas por vários motivos:

  • Fácil disponibilidade de kits de malware que podem ser usados ​​para criar novas amostras de malware sob demanda
  • Uso de bons intérpretes genéricos conhecidos para criar ransomware de plataforma cruzada (por exemplo, Ransom32 usa Node.js com uma carga útil de JavaScript)
  • Uso de novas técnicas, como criptografar o disco completo em vez de arquivos selecionados

Os ladrões de hoje nem precisam ser conhecedores de tecnologia. Os mercados de ransomware surgiram online, oferecendo cepas de malware para qualquer suposto cibercriminoso e gerando lucro extra para os autores de malware, que muitas vezes pedem uma redução na receita do resgate.

Por que é tão difícil encontrar perpetradores de ransomware?

O uso de criptomoeda anônima para pagamento, como bitcoin, torna difícil seguir o rastro de dinheiro e rastrear criminosos. Cada vez mais, os grupos de crimes cibernéticos estão criando esquemas de ransomware para obter lucros rápidos. A fácil disponibilidade de código-fonte aberto e plataformas de arrastar e soltar para desenvolver ransomware acelerou a criação de novas variantes de ransomware e ajuda os novatos a criar seus próprios ransomware. Normalmente, malwares de última geração, como ransomware, são polimórficos por design, o que permite que os cibercriminosos contornem facilmente a segurança tradicional baseada em assinatura com base no hash de arquivo.

O que é ransomware-as-a-service (RaaS)?

Ransomware-as-a-service é um modelo econômico de cibercrime que permite aos desenvolvedores de malware ganhar dinheiro por suas criações sem a necessidade de distribuir suas ameaças. Criminosos não técnicos compram seus produtos e lançam as infecções, enquanto pagam aos desenvolvedores uma porcentagem de sua participação. Os desenvolvedores correm relativamente poucos riscos e seus clientes fazem a maior parte do trabalho. Algumas instâncias de ransomware como serviço usam assinaturas, enquanto outras exigem registro para obter acesso ao ransomware. Saiba mais sobre ransomware-as-a-service .

Como se defender contra ransomware

Para evitar ransomware e mitigar danos se você for atacado, siga estas dicas:

  • Faça backup de seus dados. A melhor maneira de evitar a ameaça de seus arquivos críticos serem bloqueados é garantir que você sempre tenha cópias de backup deles, de preferência na nuvem e em um disco rígido externo. Dessa forma, se você pegar uma infecção de ransomware, pode limpar seu computador ou dispositivo e reinstalar seus arquivos do backup. Isso protege seus dados e você não ficará tentado a recompensar os autores do malware pagando um resgate. Os backups não impedem o ransomware, mas podem atenuar os riscos.
  • Proteja seus backups. Certifique-se de que seus dados de backup não estejam acessíveis para modificação ou exclusão dos sistemas onde os dados residem. O ransomware procura backups de dados e os criptografa ou exclui para que não possam ser recuperados, portanto, use sistemas de backup que não permitem acesso direto aos arquivos de backup.
  • Use software de segurança e mantenha-o atualizado. Certifique-se de que todos os seus computadores e dispositivos estão protegidos com um software de segurança abrangente e mantenha todos os seus softwares atualizados. Certifique-se de atualizar o software dos seus dispositivos o quanto antes e com frequência, pois os patches para falhas são normalmente incluídos em cada atualização.
  • Pratique surf seguro. Tenha cuidado onde você clica. Não responda a e-mails e mensagens de texto de pessoas que você não conhece e apenas baixe aplicativos de fontes confiáveis. Isso é importante, pois os autores de malware costumam usar a engenharia social para tentar fazer com que você instale arquivos perigosos.
  • Use apenas redes seguras. Evite usar redes Wi-Fi públicas, já que muitas delas não são seguras e os cibercriminosos podem espionar seu uso da Internet. Em vez disso, considere instalar uma VPN, que fornece uma conexão segura com a Internet, não importa aonde você vá.
  • Fique informado. Mantenha-se atualizado sobre as ameaças de ransomwares mais recentes para saber o que procurar. No caso de você pegar uma infecção de ransomware e não tiver feito backup de todos os seus arquivos, saiba que algumas ferramentas de descriptografia são disponibilizadas por empresas de tecnologia para ajudar as vítimas.
  • Implemente um programa de conscientização de segurança. Forneça treinamento regular de conscientização de segurança para todos os membros de sua organização para que eles possam evitar phishing e outros ataques de engenharia social. Conduza exercícios e testes regulares para se certificar de que o treinamento está sendo observado.

9 etapas para responder a um ataque de ransomware

Se você suspeitar que foi atingido por um ataque de ransomware, é importante agir rapidamente. Felizmente, existem várias etapas que você pode seguir para ter a melhor chance possível de minimizar os danos e retornar rapidamente aos negócios normalmente.

  1. Isole o dispositivo infectado: ransomware que afeta um dispositivo é um inconveniente moderado. O ransomware que pode infectar todos os dispositivos da sua empresa é uma grande catástrofe e pode colocá-lo fora do mercado para sempre. A diferença entre os dois geralmente se resume ao tempo de reação. Para garantir a segurança da sua rede, compartilhe drives e outros dispositivos, é essencial que você desconecte o dispositivo afetado da rede, da Internet e de outros dispositivos o mais rápido possível. Quanto mais cedo você fizer isso, menos provável será que outros dispositivos sejam infectados.
  2. Pare a propagação: Como o ransomware se move rapidamente – e o dispositivo com ransomware não é necessariamente o Paciente Zero – o isolamento imediato do dispositivo infectado não garante que o ransomware não exista em nenhum outro lugar da rede. Para limitar efetivamente seu escopo, você precisará desconectar da rede todos os dispositivos que estão se comportando de forma suspeita, incluindo aqueles operando fora das instalações – se eles estiverem conectados à rede, eles representam um risco, não importa onde estejam. Desligar a conectividade sem fio (Wi-Fi, Bluetooth, etc.) neste ponto também é uma boa ideia.
  3. Avalie os danos: Para determinar quais dispositivos foram infectados, verifique se há arquivos criptografados recentemente com nomes de extensão de arquivo estranhos e procure relatórios de nomes de arquivo estranhos ou usuários com problemas para abrir arquivos. Se você descobrir quaisquer dispositivos que não foram completamente criptografados, eles devem ser isolados e desligados para ajudar a conter o ataque e evitar mais danos e perda de dados. Seu objetivo é criar uma lista abrangente de todos os sistemas afetados, incluindo dispositivos de armazenamento de rede, armazenamento em nuvem, armazenamento em disco rígido externo (incluindo pen drives USB), laptops, smartphones e quaisquer outros vetores possíveis. Nesse ponto, é prudente bloquear os compartilhamentos. Todos eles devem ser restritos, se possível; se não, restrinja o máximo que puder. Isso interromperá todos os processos de criptografia em andamento e também impedirá que compartilhamentos adicionais sejam infectados enquanto ocorre a correção. Mas antes de fazer isso, você vai querer dar uma olhada nos compartilhamentos criptografados. Isso pode fornecer uma informação útil: Se um dispositivo tiver um número muito maior de arquivos abertos do que o normal, você pode ter encontrado apenas seu Paciente Zero. De outra forma…
  4. Localize o paciente zero: rastrear a infecção torna-se consideravelmente mais fácil depois que você identifica a origem. Para fazer isso, verifique se há alertas que possam ter vindo de seu antivírus / antimalware, EDR ou qualquer plataforma de monitoramento ativa. E como a maioria dos ransomware entra nas redes por meio de links e anexos de e-mail maliciosos, que exigem uma ação do usuário final, perguntar às pessoas sobre suas atividades (como abrir e-mails suspeitos) e o que elas notaram também pode ser útil. Finalmente, dar uma olhada nas propriedades dos próprios arquivos também pode fornecer uma pista – a pessoa listada como o proprietário é provavelmente o ponto de entrada. (Lembre-se, no entanto, de que pode haver mais de um Paciente Zero!)
  5. Identifique o ransomware: antes de prosseguir, é importante descobrir com qual variante de ransomware você está lidando. Uma maneira é visitar No More Ransom , uma iniciativa mundial da qual a McAfee faz parte. O site possui um conjunto de ferramentas para ajudá-lo a liberar seus dados, incluindo a ferramenta Crypto Sheriff: Basta fazer o upload de um de seus arquivos criptografados e ele fará a varredura para encontrar uma correspondência. Você também pode usar as informações incluídas na nota de resgate: Se a variante de ransomware não aparecer diretamente, usar um mecanismo de pesquisa para consultar o endereço de e-mail ou a própria nota pode ajudar. Depois de identificar o ransomware e fazer uma pequena pesquisa rápida sobre seu comportamento, você deve alertar todos os funcionários não afetados o mais rápido possível para que eles saibam como detectar os sinais de que foram infectados.
  6. Denuncie o ransomware às autoridades: Assim que o ransomware for contido, você deverá entrar em contato com as autoridades legais, por vários motivos. Em primeiro lugar, o ransomware é contra a lei e, como qualquer outro crime, deve ser relatado às autoridades competentes. Em segundo lugar, de acordo com o Federal Bureau of Investigation dos Estados Unidos, “A aplicação da lei pode ser capaz de usar autoridades legais e ferramentas que não estão disponíveis para a maioria das organizações”. As parcerias com a aplicação da lei internacional podem ser aproveitadas para ajudar a encontrar os dados roubados ou criptografados e levar os criminosos à justiça. Finalmente, o ataque pode ter implicações de conformidade: De acordo com os termos do GDPR, se você não notificar a ICO dentro de 72 horas sobre uma violação envolvendo dados de cidadãos da UE, sua empresa pode incorrer em multas pesadas.
  7. Avalie seus backups: Agora é hora de iniciar o processo de resposta. A maneira mais rápida e fácil de fazer isso é restaurar seus sistemas a partir de um backup. O ideal é que você tenha um backup completo e não infectado criado recentemente o suficiente para ser benéfico. Nesse caso, a próxima etapa é empregar uma solução antivírus / antimalware para garantir que todos os sistemas e dispositivos infectados sejam eliminados do ransomware – caso contrário, ele continuará a bloquear seu sistema e criptografar seus arquivos, potencialmente corrompendo seu backup. Assim que todos os vestígios de malware forem eliminados, você poderá restaurar seus sistemas a partir desse backup e – depois de confirmar que todos os dados foram restaurados e todos os aplicativos e processos estão funcionando normalmente – voltar ao normal . Infelizmente, muitas organizações não percebem a importância de criar e manter backups até que precisem deles e eles não estejam lá.
  8. Pesquise suas opções de descriptografia: se você não tiver um backup viável, ainda há uma chance de obter seus dados de volta. Um número crescente de chaves de descriptografia gratuitas pode ser encontrado em No More Ransom . Se houver um disponível para a variante de ransomware com o qual você está lidando (e supondo que você já tenha apagado todos os vestígios de malware do seu sistema), você poderá usar a chave de descriptografia para desbloquear seus dados. Mesmo que você tenha a sorte de encontrar um descriptografador, no entanto, ainda não terminou – você ainda pode esperar horas ou dias de inatividade enquanto trabalha na correção.
  9. Siga em frente: Infelizmente, se você não tem backups viáveis ​​e não consegue localizar uma chave de descriptografia, sua única opção pode ser cortar suas perdas e começar do zero. A reconstrução não será um processo rápido ou barato, mas uma vez que você tenha esgotado todas as suas outras opções, é o melhor que você pode fazer.

Por que não deveria simplesmente pagar o resgate?

Ransomware como funciona

Quando confrontado com a possibilidade de semanas ou meses de recuperação, pode ser tentador ceder a um pedido de resgate. Mas há vários motivos pelos quais isso é uma má ideia:

  • Você nunca pode obter uma chave de descriptografia. Quando você paga uma demanda de ransomware, deve obter uma chave de descriptografia em troca. Mas quando você conduz uma transação de ransomware, você depende da integridade dos criminosos. Muitas pessoas e organizações pagaram o resgate apenas para não receberem nada em troca – eles ficam sem dezenas, centenas ou milhares de dólares e ainda têm que reconstruir seus sistemas do zero.
  • Você pode receber pedidos de resgate repetidos. Assim que você paga o resgate, os cibercriminosos que implantaram o ransomware sabem que você está à mercê deles. Eles podem lhe dar uma chave de trabalho se você estiver disposto a pagar um pouco (ou muito) mais.
  • Você pode receber uma chave de descriptografia que funciona – mais ou menos Os criadores do ransomware não estão no negócio de recuperação de arquivos; eles estão no negócio de fazer dinheiro. Em outras palavras, o descriptografador que você recebe pode ser bom o suficiente para que os criminosos digam que cumpriram sua parte no negócio. Além disso, não é incomum que o próprio processo de criptografia corrompa alguns arquivos além do reparo. Se isso acontecer, mesmo uma boa chave de descriptografia não conseguirá desbloquear seus arquivos – eles se foram para sempre.
  • Você pode estar pintando um alvo nas costas. Depois de pagar o resgate, os criminosos sabem que você é um bom investimento. Uma organização com histórico comprovado de pagamento de resgate é um alvo mais atraente do que um novo alvo que pode ou não pagar. O que impedirá o mesmo grupo de criminosos de atacar novamente em um ou dois anos ou de entrar em um fórum e anunciar a outros cibercriminosos que você é um alvo fácil?
  • Mesmo que tudo acabe bem, você ainda está financiando atividades criminosas. Digamos que você pague o resgate, receba uma boa chave de descriptografia e coloque tudo de volta em funcionamento. Este é apenas o pior cenário possível (e não apenas porque você está sem muito dinheiro). Quando você paga o resgate, está financiando atividades criminosas. Deixando de lado as implicações morais óbvias, você está reforçando a ideia de que o ransomware é um modelo de negócios que funciona. (Pense nisso – se ninguém nunca pagou o resgate, você acha que eles continuariam distribuindo ransomware?) Amparados por seu sucesso e seu dia de pagamento exagerado, esses criminosos continuarão causando estragos em empresas desavisadas e continuarão a investir tempo e dinheiro para desenvolver variedades mais novas e ainda mais nefastas de ransomware – uma das quais pode chegar aos seus dispositivos no futuro.

Soluções para lidar com a ameaça de ransomware

Com ameaças cada vez mais sofisticadas, as empresas precisam buscar novas Soluções de cibersegurança, mais completas e integradas.

Conheça a linha de Firewall Whatchguard e implemente sua rede na nuvem com mais rapidez. Além da implementação automática, gerencie toda a rede de qualquer parte do mundo, de forma simples e segura. Com o painel de controle , o seu time de TI consegue ter acesso às informações de conexão de todas as filiais, em qualquer lugar que estiver:

  • WatchGuard Firebox T15: Pequenas empresas e locais remotos sempre foram considerados como alvos fáceis para ataques. Os firewall WatchGuard Firebox T15 trazem segurança de rede de nível empresarial a esses pequenos escritórios/filiais e ambientes pequenos que correspondem à realidade do estilo de trabalho distribuído de hoje em dia..
  • WatchGuard Firebox T35 & T55: Pequenas empresas e locais remotos sempre foram considerados como alvos fáceis para ataques. Os firewall WatchGuard Firebox T35 e T55 trazem segurança de rede de nível empresarial a esses pequenos escritórios/filiais e ambientes pequenos que correspondem à realidade do estilo de trabalho distribuído de hoje em dia.
  • WatchGuard Firebox T70: O aparelho de hardware mais novo do firewall WatchGuard define o padrão de desempenho de aparelhos de mesa, aumentando os maiores níveis de desempenho das referências mais críticas. O Firebox T70 da WatchGuard tornará suas preocupações com lentidão coisa do passado, com um desempenho incrível capaz de fornecer proteção total de UTM a mais de 1 gigabit por segundo
  • WatchGuard Firebox M270 & M370: As soluções de gerenciamento unificado de ameaças (UTM) do Firebox M270 e M370 são até 3 vezes mais rápidas do que produtos concorrentes com todas as camadas de segurança ativadas e até 94% mais rápidas ao realizar inspeção de HTTPS, segundo o laboratório de testes independentes Miercom.
  • WatchGuard Firebox M440: A autenticação, apesar de ser importante, não garante que você não será invadido. As empresas gastam milhões com invasões de segurança e rede todos os anos, mesmo com a autenticação implementada corretamente. Se os invasores ganham acesso à rede física, podem explorar as falhas de software para burlar as fraquezas da autenticação para acessar seus dados.
  • WatchGuard Firebox M470, M570 & M670: As soluções de gerenciamento unificado de ameaças (UTM) do Firebox M270 e M370 são até 3 vezes mais rápidas do que produtos concorrentes com todas as camadas de segurança ativadas e até 94% mais rápidas ao realizar inspeção de HTTPS, segundo o laboratório de testes independentes Miercom.

Post tags :

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Mais Recentes

Categoria