quarta-feira, 18 de maio de 2016

Sequestro de dados (Ransomware) é real, previna-se!!

Há algum tempo, poucos anos, eu comecei a escutar histórias de sequestros de dados e de arquivos. Isso tudo me parecia muito distante, história de ficção, sabe? Mas vocês não imaginam como isso está próximo de nós. Vou contar brevemente dois casos que presenciei sobre isso e na sequência transcrevo um artigo muito interessante sobre o assunto escrito por Fernando Cardoso, arquiteto de soluções da empresa de segurança Trend Micro.


Caso 1: cheguei tarde!!

Visitando uma empresa vi que seu servidor se encontrava com todas as pastas aparentemente intactas. Os arquivos pareciam estar normais, mas o conteúdo de cada uma delas irremediavelmente codificado. Uma mensagem na pasta (arquivo texto) continha instruções para obter a chave de abertura dos arquivos (pagar algo como US$ 5000). Backup existe para isso, certo? Não neste caso. A empresa fazia backup com HD externo, que ficava permanentemente conectado ao servidor, que também fora completamente encriptado. A dona da empresa se recusou a negociar com a bandidagem virtual. Eles recuperaram uma razoável parte das informações em cópias nas estações locais e outra parte em anexos de e-mails. Claro que a partir deste funesto incidente toda a segurança da empresa foi revista, servidor oportunamente trocado, novas rotinas de backup etc.

Caso 2: assistindo o ataque ao vivo e a cores!!

Tentando ser breve, a história é longa. Algumas pessoas em outra empresa começaram a sentir falta de arquivos muito usados em pastas bem importantes. Os nomes esperados tinham sido trocados por outros do tipo 1A33B4CF5D670CD26.LOCK (um longa cadeia de caracteres hexadecimais sucedidos por LOCK=trancado). Fora criado um arquivo texto com o pedido de resgate, também US$ 5000, será que o preço é tabelado? Eu estava lá e pude observar ao vivo alguns arquivos desaparecendo e sendo LOCKados, bem ali, na minha frente!!! O ataque estava em progresso naquele momento. Desligamos todas as conexões de Internet e mesmo assim continuava o ataque. Possivelmente um programa malicioso que fora recém instalado em algum lugar estava fazendo isso.


Com muita calma observei todas as evidências possíveis e acabei por perceber que todos os arquivos recém bloqueados tiveram seu “proprietário” alterado para “Maria Aparecida” (nome fictício). Imediatamente esta máquina foi retirada da rede, quase que teve seu cabo Ethernet cortado com um facão. O ataque parou!! Dos quase 900 mil arquivos da rede, quase 29 mil já tinham sido sequestrados!! O usuário do referido computador tinha uma hora antes instalado uma atualização de software do Banco XYZ, por causa do alerta que veio por e-mail. Phishing malicioso, obviamente!

A tal máquina, foi reformatada e assim o mau cortado pela raiz (já estava para ser reinstalada mesmo). Como a empresa tinha uma rotina sólida de backup, apagamos todos os arquivos encriptados e foi o restaurado o backup feito naquela madrugada (horas atrás). Foi rápido porque apenas os arquivos que faltavam foram trazidos de volta (aqueles 29 mil).

Muitas lições aprendidas. Backup robusto em primeiro lugar, orientar usuários a não sair instalando nada sem consulta, ainda mais solicitado por e-mail ou até mesmo proibir usuários de instalar programas. E por fim ter uma abordagem muito focada e calma na hora da crise para ser capaz de lidar com ela, procurando evidências que auxiliem a resolver o problema. UFA!! E o antivírus? Ainda não tinha a vacina para esta ameaça particular. Acontece, pode ter sido o chamado “zero-day attack”.

Rescaldo dos incêndios

Estes dois breves casos ilustram como este tipo de incidente é REAL e está muito perto de nós! Diversas empresas de segurança já estavam avisando que 2015 e 2016 seriam os anos do RANSOMWARE, estes sequestros de dados.

Tive a ideia de escrever este breve preâmbulo (acabou ficando mais longo do que imaginava) para apresentar o ótimo texto do Fernando Cardoso da Trend Micro que detalha um pouco mais isso tudo e apresenta ideias para elevar a segurança de sua empresa ou de sua casa.

Aproveite o texto abaixo.







Como as empresas podem elevar a segurança contra novas ameaças e Ransomware?

*Por Fernando Cardoso

O cibercrime vem crescendo e se profissionalizando assim como a grande quantidade de casos com Ransomware e táticas de engenharia social que afetam milhares de pessoas e empresas pelo mundo inteiro. O que torna o cenário mais crítico como mostrado na figura abaixo, são os diferentes tipos de ataques orquestrados pelos crackers, muitos deles utilizando táticas de engenharia social.


Fonte: Hackmageddon


Desse modo, é exigido das empresas que repensem rapidamente novas soluções e arquiteturas de segurança para que consigam antecipar ameaças e ataques.

Diversas empresas já investiram milhares de reais com soluções de segurança para a proteção de suas informações, considerados seu bem de maior valor. No entanto, ainda se vê necessário aumentar o nível de inteligência, detecção e automação, com tecnologias como sensores de redes que reconhecem ataques avançados e sistemas de Sandbox.

Sendo assim, que tipo de arquitetura ou soluções poderiam ajudar a conter os perigos iminentes?

Nesse artigo, analisamos três arquiteturas que apesar de não serem uma resolução definitiva, elevam consideravelmente a segurança de informação de muitas empresas.

1. Profunda análise dos arquivos que trafegam na rede interna
Sistemas de Sandbox podem ajudar muito na descoberta de malware e ransomware, pois possuem capacidade de realizar uma análise detalhada sobre os arquivos que são testados.
Por meio de Sandbox, podem ser coletadas as seguintes informações:
  • URL
  • Domain
  • IP
  • File Hash


Essas informações são capturadas dos arquivos tidos como suspeitos, por terem comportamentos maliciosos.

Se integradas com os sistemas de segurança das empresas, pode-se criar uma assinatura customizada e uma resposta automatizada a incidentes de segurança.
Abaixo exemplo do funcionamento desse tipo de solução:


    
2. Proteção contra Spear Phishing e ataques direcionados por E-mail
Uma pesquisa realizada pela Trend Micro mostra que 74% das tentativas de ataques direcionados usaram o e-mail como um vetor de ataque*.

Sistemas de Sandbox podem também validar informações de um e-mail como arquivos anexados, link no corpo do e-mail ou dentro de arquivo, além de tentarem abrir arquivos com senha que estejam anexados. Essas funcionalidades podem elevar o nível de proteção consideravelmente sobre os e-mails corporativos, como exemplificado na imagem abaixo:




3. Ampla visibilidade sobre o tráfego de rede e Sistemas de Sandbox integrados
Possuir sensores na rede permite criar uma ampla visibilidade de protocolos como HTTP, TCP, FTP, DNS e diversos outros que trafegam em nossas redes diariamente, além de obter uma análise ainda mais profunda dos arquivos que estão trafegando em nossas redes corporativas.

De maneira resumida, imaginem que o sensor capturou um novo arquivo suspeito e o envia ao sistema de Sandbox, que avalia se o documento é malicioso ou não, gerando um relatório informando o nível de risco do arquivo para o ambiente corporativo.

Baseado nestas informações, esses dados podem ser compartilhados com os antimalware instalados nos notebooks e desktops, e automaticamente é criada uma assinatura customizada para bloquear ou quarentenar os arquivos em seu ambiente a fim de não permitir futuras infecções e identificar as máquinas afetadas pelo novo malware.  Além da integração com o antimalware é possível criar integrações com gateways de E-mail e Web, Firewalls e IPS de rede.

Funcionaria da seguinte forma:
  


As empresas que se mantém atualizadas e se apropriam das novidades no mercado de segurança estão um passo à frente da proteção contra ameaças iminentes.

As três dicas citadas acima e a inserção dos valores de consciência nos colaboradores das empresas, podem auxiliar muito no crescimento do nível de segurança do meio corporativo.

Com diversos malwares sendo criados todos os dias, a consciência e treinamento das empresas e colaboradores é crucial para um ambiente digital seguro.


*Crackers: Pessoas com um profundo conhecimento técnico e que utilizam desse conhecimento para invadir sistemas e realizar roubos e ataques em à pessoas e empresas no mundo inteiro.

Fernando Cardoso é arquiteto de soluções da Trend Micro




29 comentários:

  1. Oi Flavio, aconteceu com um cliente meu a semana passada, os arquivos de dados conhecidos, inclusive o .mdb foram codificados, no diretório ficou um txt ensinando como pagar e receber uma chave para descriptografar os arquivos, como o BKP era remoto, maquina formatada e tudo restaurado, mas a ameaça é real.

    ResponderExcluir
  2. This is an excellent post I seen thanks to share it. It is really what I wanted to see hope in future you will continue for sharing such a excellent post.
    Best Data Science courses in Hyderabad

    ResponderExcluir
  3. it is a dangerous threat on our privacy and data. thanks for sharing all these valuable information informing us about it.

    ResponderExcluir
  4. Great & nice article with a lot of information to read...great people keep posting and keep updating people..thank you If you want to get a Tourist visa to Turkey, you can fill out the Turkey eVisa application form in minutes, & then You must give permission to enter Turkey legally.

    ResponderExcluir
  5. I was very happy to find this site. I really enjoyed reading this article today and think it might be one of the best articles I have read so far. I wanted to thank you for this excellent reading !! I really enjoy every part and have bookmarked you to see the new things you post. Well done for this excellent article. Please keep this work of the same quality. Kinemaster Gold

    ResponderExcluir
  6. Super site! I am Loving it!! Will return once more, Im taking your food likewise, Thanks. data science training institute in gurgaon

    ResponderExcluir
  7. Thank you for this. The international tourist who wish to travel to Kenya should apply for Kenya visa application online. Applying online saves time and provide you the best services where you can check the Kenya visa documents requirement and other information very easily.

    ResponderExcluir
  8. Thanks for sharing excellent information. Keep sharing such useful information.. You can read about info related to FRRO through India evisa website. And apply for an efrro India.

    ResponderExcluir
  9. Aw, this was an extremely nice post. Taking a few minutes and actual effort to generate a top notch article… but what can I say… I procrastinate a lot and never manage to get anything done. Feel free to visit my website; 배트맨토토

    ResponderExcluir
  10. what's up colleagues, nice article and nice urging commented at this place, I am truly enjoying by these. Feel free to visit my website; 카지노사이트

    ResponderExcluir
  11. It looks like I have been to this site before, but after reading some of the post I realized it is new to me. Regardless, I'm glad I found it and I will be returning soon. COVID-19: Guidelines regarding air suvidha self declaration form for India, You can read all info about air suvidha self reporting form via online Indian eVisa website.

    ResponderExcluir
  12. After checking through a few posts, I realized this was a new site for me. I'm definitely glad I found it and I will be bookmarking and checking back often. COVID-19: Guidelines regarding air suvidha self declaration form for India. You can read all of the information regarding air suvidha self reporting form via the online Indian evisa website.

    ResponderExcluir
  13. I am working as a SEO Analyst.My blog gives information about latest technologies and IT Courses.

    tech blogs write for us

    ResponderExcluir
  14. I have bookmarked your site since this site contains significant data in it. You rock for keeping incredible stuff. I am a lot of appreciative of this site.

    ResponderExcluir
  15. 360DigiTMG, the top-rated organisation among the most prestigious industries around the world, is an educational destination for those looking to pursue their dreams around the globe. The company is changing careers of many people through constant improvement, 360DigiTMG provides an outstanding learning experience and distinguishes itself from the pack. 360DigiTMG is a prominent global presence by offering world-class training. Its main office is in India and subsidiaries across Malaysia, USA, East Asia, Australia, Uk, Netherlands, and the Middle East.

    ResponderExcluir
  16. Thanks for the great post. Planning a holiday in India, but without a visa you can never enter India. So first of all apply for an India Visa. Learn about how to apply for Indian e tourist visa on our website.

    ResponderExcluir
  17. I read your blog and found many interesting metrics in this material. Thanks for sharing it on the Internet. Person who is willing to visit Turkey can apply for a Turkey evisa which is a totally online process. Fill the application form, make payment & receive it in email. As simple as that.

    ResponderExcluir
  18. Enter to Roads Less Travelled Competition 2022 and win over $12000 in prizes up for garb at Roadslesstravelled.com.au/competitions.

    ResponderExcluir
  19. You are sharing a wonderful article with your audience. Readers are already enjoying it. I am here to inform the travelers who are willing to visit Turkey that they need a Turkey e visa to enter Turkey. Online process makes makes easy to get evisa.

    ResponderExcluir
  20. Data hijacking through ransomware attacks represents a critical and ever-growing threat in our digital landscape. These malicious incursions hold businesses, organizations, and individuals hostage, locking away vital data until a ransom is paid. Preventing such attacks requires proactive measures: robust cybersecurity protocols, regular software updates, employee training on recognizing phishing attempts, and the implementation of reliable backup systems. Vigilance is paramount, as is the need for a comprehensive defense strategy to safeguard sensitive information and mitigate the devastating impact of potential breaches. By prioritizing preventive measures and staying informed about evolving cyber threats, individuals and entities can fortify their defenses against data hijacking, preserving the integrity and security of valuable digital assets.
    flsa lawyer
    personal injury lawyer virginia

    ResponderExcluir
  21. It seems to me all of them are really brilliant!

    ResponderExcluir
  22. Good write-up, I’m regular visitor of one’s blog, maintain up the excellent operate

    ResponderExcluir
  23. This information provided by you is very practical for good planning.

    ResponderExcluir
  24. Look forward to finding out about your web page again.

    ResponderExcluir
  25. Thank you for giving the information. Please keep it updated.dui lawyer prince william county va

    ResponderExcluir
  26. Detailed explanation of the title which is interesting to read. Keep sharing more good informative blogs. DUI Lawyer in Fairfax

    ResponderExcluir
  27. Your contributions are nothing short of exceptional. I've been following your work closely, and I must say, it's been a pleasure to engage with. Your ability to blend entertainment with profound insights is truly commendable. I eagerly anticipate delving deeper into your offerings and continuing to learn from your expertise. Your website is a beacon of knowledge.

    ResponderExcluir
  28. I need to acknowledge you for this fantastic read!! I loved everything about it. I've bookmarked you to check out the new items you post. contractor salary

    ResponderExcluir