quarta-feira, 18 de maio de 2016

Sequestro de dados (Ransomware) é real, previna-se!!

Há algum tempo, poucos anos, eu comecei a escutar histórias de sequestros de dados e de arquivos. Isso tudo me parecia muito distante, história de ficção, sabe? Mas vocês não imaginam como isso está próximo de nós. Vou contar brevemente dois casos que presenciei sobre isso e na sequência transcrevo um artigo muito interessante sobre o assunto escrito por Fernando Cardoso, arquiteto de soluções da empresa de segurança Trend Micro.


Caso 1: cheguei tarde!!

Visitando uma empresa vi que seu servidor se encontrava com todas as pastas aparentemente intactas. Os arquivos pareciam estar normais, mas o conteúdo de cada uma delas irremediavelmente codificado. Uma mensagem na pasta (arquivo texto) continha instruções para obter a chave de abertura dos arquivos (pagar algo como US$ 5000). Backup existe para isso, certo? Não neste caso. A empresa fazia backup com HD externo, que ficava permanentemente conectado ao servidor, que também fora completamente encriptado. A dona da empresa se recusou a negociar com a bandidagem virtual. Eles recuperaram uma razoável parte das informações em cópias nas estações locais e outra parte em anexos de e-mails. Claro que a partir deste funesto incidente toda a segurança da empresa foi revista, servidor oportunamente trocado, novas rotinas de backup etc.

Caso 2: assistindo o ataque ao vivo e a cores!!

Tentando ser breve, a história é longa. Algumas pessoas em outra empresa começaram a sentir falta de arquivos muito usados em pastas bem importantes. Os nomes esperados tinham sido trocados por outros do tipo 1A33B4CF5D670CD26.LOCK (um longa cadeia de caracteres hexadecimais sucedidos por LOCK=trancado). Fora criado um arquivo texto com o pedido de resgate, também US$ 5000, será que o preço é tabelado? Eu estava lá e pude observar ao vivo alguns arquivos desaparecendo e sendo LOCKados, bem ali, na minha frente!!! O ataque estava em progresso naquele momento. Desligamos todas as conexões de Internet e mesmo assim continuava o ataque. Possivelmente um programa malicioso que fora recém instalado em algum lugar estava fazendo isso.


Com muita calma observei todas as evidências possíveis e acabei por perceber que todos os arquivos recém bloqueados tiveram seu “proprietário” alterado para “Maria Aparecida” (nome fictício). Imediatamente esta máquina foi retirada da rede, quase que teve seu cabo Ethernet cortado com um facão. O ataque parou!! Dos quase 900 mil arquivos da rede, quase 29 mil já tinham sido sequestrados!! O usuário do referido computador tinha uma hora antes instalado uma atualização de software do Banco XYZ, por causa do alerta que veio por e-mail. Phishing malicioso, obviamente!

A tal máquina, foi reformatada e assim o mau cortado pela raiz (já estava para ser reinstalada mesmo). Como a empresa tinha uma rotina sólida de backup, apagamos todos os arquivos encriptados e foi o restaurado o backup feito naquela madrugada (horas atrás). Foi rápido porque apenas os arquivos que faltavam foram trazidos de volta (aqueles 29 mil).

Muitas lições aprendidas. Backup robusto em primeiro lugar, orientar usuários a não sair instalando nada sem consulta, ainda mais solicitado por e-mail ou até mesmo proibir usuários de instalar programas. E por fim ter uma abordagem muito focada e calma na hora da crise para ser capaz de lidar com ela, procurando evidências que auxiliem a resolver o problema. UFA!! E o antivírus? Ainda não tinha a vacina para esta ameaça particular. Acontece, pode ter sido o chamado “zero-day attack”.

Rescaldo dos incêndios

Estes dois breves casos ilustram como este tipo de incidente é REAL e está muito perto de nós! Diversas empresas de segurança já estavam avisando que 2015 e 2016 seriam os anos do RANSOMWARE, estes sequestros de dados.

Tive a ideia de escrever este breve preâmbulo (acabou ficando mais longo do que imaginava) para apresentar o ótimo texto do Fernando Cardoso da Trend Micro que detalha um pouco mais isso tudo e apresenta ideias para elevar a segurança de sua empresa ou de sua casa.

Aproveite o texto abaixo.







Como as empresas podem elevar a segurança contra novas ameaças e Ransomware?

*Por Fernando Cardoso

O cibercrime vem crescendo e se profissionalizando assim como a grande quantidade de casos com Ransomware e táticas de engenharia social que afetam milhares de pessoas e empresas pelo mundo inteiro. O que torna o cenário mais crítico como mostrado na figura abaixo, são os diferentes tipos de ataques orquestrados pelos crackers, muitos deles utilizando táticas de engenharia social.


Fonte: Hackmageddon


Desse modo, é exigido das empresas que repensem rapidamente novas soluções e arquiteturas de segurança para que consigam antecipar ameaças e ataques.

Diversas empresas já investiram milhares de reais com soluções de segurança para a proteção de suas informações, considerados seu bem de maior valor. No entanto, ainda se vê necessário aumentar o nível de inteligência, detecção e automação, com tecnologias como sensores de redes que reconhecem ataques avançados e sistemas de Sandbox.

Sendo assim, que tipo de arquitetura ou soluções poderiam ajudar a conter os perigos iminentes?

Nesse artigo, analisamos três arquiteturas que apesar de não serem uma resolução definitiva, elevam consideravelmente a segurança de informação de muitas empresas.

1. Profunda análise dos arquivos que trafegam na rede interna
Sistemas de Sandbox podem ajudar muito na descoberta de malware e ransomware, pois possuem capacidade de realizar uma análise detalhada sobre os arquivos que são testados.
Por meio de Sandbox, podem ser coletadas as seguintes informações:
  • URL
  • Domain
  • IP
  • File Hash


Essas informações são capturadas dos arquivos tidos como suspeitos, por terem comportamentos maliciosos.

Se integradas com os sistemas de segurança das empresas, pode-se criar uma assinatura customizada e uma resposta automatizada a incidentes de segurança.
Abaixo exemplo do funcionamento desse tipo de solução:


    
2. Proteção contra Spear Phishing e ataques direcionados por E-mail
Uma pesquisa realizada pela Trend Micro mostra que 74% das tentativas de ataques direcionados usaram o e-mail como um vetor de ataque*.

Sistemas de Sandbox podem também validar informações de um e-mail como arquivos anexados, link no corpo do e-mail ou dentro de arquivo, além de tentarem abrir arquivos com senha que estejam anexados. Essas funcionalidades podem elevar o nível de proteção consideravelmente sobre os e-mails corporativos, como exemplificado na imagem abaixo:




3. Ampla visibilidade sobre o tráfego de rede e Sistemas de Sandbox integrados
Possuir sensores na rede permite criar uma ampla visibilidade de protocolos como HTTP, TCP, FTP, DNS e diversos outros que trafegam em nossas redes diariamente, além de obter uma análise ainda mais profunda dos arquivos que estão trafegando em nossas redes corporativas.

De maneira resumida, imaginem que o sensor capturou um novo arquivo suspeito e o envia ao sistema de Sandbox, que avalia se o documento é malicioso ou não, gerando um relatório informando o nível de risco do arquivo para o ambiente corporativo.

Baseado nestas informações, esses dados podem ser compartilhados com os antimalware instalados nos notebooks e desktops, e automaticamente é criada uma assinatura customizada para bloquear ou quarentenar os arquivos em seu ambiente a fim de não permitir futuras infecções e identificar as máquinas afetadas pelo novo malware.  Além da integração com o antimalware é possível criar integrações com gateways de E-mail e Web, Firewalls e IPS de rede.

Funcionaria da seguinte forma:
  


As empresas que se mantém atualizadas e se apropriam das novidades no mercado de segurança estão um passo à frente da proteção contra ameaças iminentes.

As três dicas citadas acima e a inserção dos valores de consciência nos colaboradores das empresas, podem auxiliar muito no crescimento do nível de segurança do meio corporativo.

Com diversos malwares sendo criados todos os dias, a consciência e treinamento das empresas e colaboradores é crucial para um ambiente digital seguro.


*Crackers: Pessoas com um profundo conhecimento técnico e que utilizam desse conhecimento para invadir sistemas e realizar roubos e ataques em à pessoas e empresas no mundo inteiro.

Fernando Cardoso é arquiteto de soluções da Trend Micro




25 comentários:

  1. Oi Flavio, aconteceu com um cliente meu a semana passada, os arquivos de dados conhecidos, inclusive o .mdb foram codificados, no diretório ficou um txt ensinando como pagar e receber uma chave para descriptografar os arquivos, como o BKP era remoto, maquina formatada e tudo restaurado, mas a ameaça é real.

    ResponderExcluir
  2. Mobile App Development Company Delhi: We have the Top iPhone Android app developers team, offering custom mobile app development company in delhi.

    ResponderExcluir
  3. Tekniko Global design & App developers for astrology. Call me If you are searching for Astrology App Development Company Delhi, Noida, Gurugram & India.

    ResponderExcluir
  4. I was very happy to find this site. I really enjoyed reading this article today and think it might be one of the best articles I have read so far. I wanted to thank you for this excellent reading !! I really enjoy every part and have bookmarked you to see the new things you post. Well done for this excellent article. Please keep this work of the same quality.
    Data Science Course in Bangalore

    ResponderExcluir
  5. i am glad to discover this page : i have to thank you for the time i spent on this especially great reading !! i really liked each part and also bookmarked you for new information on your site.
    data science courses in hyderabad

    ResponderExcluir
  6. I Want to leave a little comment to support and wish you the best of luck.we wish you the best of luck in all your blogging endeavors.
    cyber security course in bangalore

    ResponderExcluir
  7. I want to leave a little comment to support and wish you the best of luck.we wish you the best of luck in all your blogging enedevors.
    best data science courses in hyderabad

    ResponderExcluir
  8. I Want to leave a little comment to support and wish you the best of luck.we wish you the best of luck in all your blogging endeavors.
    data science in bangalore

    ResponderExcluir
  9. i am glad to discover this page : i have to thank you for the time i spent on this especially great reading !! i really liked each part and also bookmarked you for new information on your site.
    best data science courses in bangalore

    ResponderExcluir
  10. I want to leave a little comment to support and wish you the best of luck.we wish you the best of luck in all your blogging enedevors.
    data science course fees in bangalore

    ResponderExcluir
  11. I Want to leave a little comment to support and wish you the best of luck.we wish you the best of luck in all your blogging endeavors.
    data science certification in banagalore

    ResponderExcluir
  12. Really wonderful blog completely enjoyed reading and learning to gain the vast knowledge. Eventually, this blog helps in developing certain skills which in turn helpful in implementing those skills. Thanking the blogger for delivering such a beautiful content and keep posting the contents in upcoming days.

    data science training institute in bangalore

    ResponderExcluir
  13. Tremendous blog quite easy to grasp the subject since the content is very simple to understand. Obviously, this helps the participants to engage themselves in to the subject without much difficulty. Hope you further educate the readers in the same manner and keep sharing the content as always you do.

    data analytics courses in bangalore with placement

    ResponderExcluir
  14. I Want to leave a little comment to support and wish you the best of luck.we wish you the best of luck in all your blogging endeavors.
    data science course in bangalore with placement

    ResponderExcluir
  15. Your post is up to trend will be loved by readers of decade, get in touch with us to know more at the best mobile app development company. Also visit: iPhone application development company

    ResponderExcluir
  16. Excellent Blog! I would like to thank for the efforts you have made in writing this post. I am hoping the same best work from you in the future as well. I wanted to thank you for this websites! Thanks for sharing. Great websites!
    Data Science Training in Bangalore

    ResponderExcluir
  17. Thanks for posting the best information and the blog is very helpful.data science institutes in hyderabad

    ResponderExcluir
  18. This is an excellent post I seen thanks to share it. It is really what I wanted to see hope in future you will continue for sharing such a excellent post.
    Best Data Science courses in Hyderabad

    ResponderExcluir
  19. Great post i must say and thanks for the information. Education is definitely a sticky subject. However, is still among the leading topics of our time. I appreciate your post and look forward to more.
    Data Science Course in Bangalore

    ResponderExcluir
  20. i am glad to discover this page : i have to thank you for the time i spent on this especially great reading !! i really liked each part and also bookmarked you for new information on your site.
    cyber security training in bangalore

    ResponderExcluir
  21. I think I have never seen such blogs before that have completed things with all the details which I want. So kindly update this ever for us.
    digital marketing courses in hyderabad with placement

    ResponderExcluir
  22. I want to leave a little comment to support and wish you the best of luck.we wish you the best of luck in all your blogging enedevors.
    data analytics courses in bangalore

    ResponderExcluir
  23. Thanks for posting the best information and the blog is very helpful.artificial intelligence course in hyderabad

    ResponderExcluir