Ransomware e sequestro de dados: como se proteger seu ambiente de rede Ransomware é um tipo de ameaça digital que bloqueia o acesso aos seus arquivos e dados, exigindo o pagamento de um resgate para o desbloqueio.

É uma forma de extorsão por meio do sequestro de dados.

Considerando o crescimento do número de incidentes relacionados a ransomware, é importante que colaboradores e gestores das empresas mantenham-se informados em relação aos impactos provocados por esse tipo de ameaça, valorizando de forma efetiva os dados e informações da organização.

Como ocorre o ataque

O ataque ransomware normalmente inicia através de um e-mail falso, que induz o usuário a clicar em um link e ocasiona o download de um software nocivo. Esse download também pode ocorrer a partir de um site de phishing, que simula um site real e conhecido, mas é falso e visa distribuir a ameaça digital.

O ransomware, após baixado e instalado sem que o usuário perceba, criptografa os arquivos presentes no computador e na rede, desde que o usuário possua acesso aos mesmos. Esse processo de criptografia irá embaralhar o conteúdo dos arquivos, tornando-os inúteis, e somente possuindo a chave correta você poderá reverter os arquivos ao estado original. Em determinado momento o ransomware irá deixar alguma indicação de como você deve entrar em contato com o atacante. Um arquivo de texto na área de trabalho ou um papel de parede com uma mensagem, por exemplo, poderão conter um endereço de e-mail e instruções para contato, visando a negociação do resgate.

Uma maneira de proteger os computadores da rede, prevenindo o acesso a esse tipo de conteúdo nocivo, é implantar um filtro para controlar o acesso à internet. Pode-se bloquear o acesso a sites nocivos, ou então liberar o acesso somente a sites reconhecidos e com alta segurança.

Em 2015 houve um aumento dos ataques do tipo ransomware. Porém, de acordo com o FBI, se as pessoas e organizações não se prepararem com antecedência, o número de incidentes envolvendo ransomware crescerá ainda mais em 2016.

Medidas preventivas – como prevenir e evitar o ransomware

As principais formas de evitar o ataque de ransomware são relacionadas a alguns tópicos básicos da segurança da informação.

Cuidado com e-mails e sites falsos: os usuários devem ser educados quanto a sua responsabilidade para com os dados e informações da empresa. Isso inclui orientá-los sobre o risco a que podem expor os dados quando clicam em um link de um e-mail ou visitam um site sem ter prestado atenção sobre a origem do e-mail, o endereço do site e a sua veracidade.

Controle do acesso à internet: o uso de mecanismos de proteção contra o acesso a sites maliciosos é cada vez mais importante. Através deste tipo de controle, é possível definir quais grupos de usuários terão acesso a quais tipos de sites, evitando assim o uso de sites indevidos ao escopo do trabalho e também o acesso a endereços com conteúdo nocivo. Por meio dessa ferramenta, o gestor protege a rede contra os sites utilizados em ataques de phishing, propagação de malware e ransomware.

Antivírus: especialmente nos computadores e servidores com sistema operacional Windows, é imprescindível o uso de um bom software antivírus, atualizado e configurado para realizar varreduras periódicas.
Atualizações de software: é importante manter atualizados o sistema operacional e os demais pacotes de software. As atualizações incluem diversas correções e melhorias relacionadas à segurança da informação.

Permissões de acesso: em muitas pequenas e médias empresas, é um item deixado de lado. No entanto, é relevante checar o nível de acesso que cada usuário ou grupo de usuários necessita em relação aos arquivos compartilhados na rede, por exemplo, no sentido de não fornecer acesso além do necessário. Se um grupo de usuários necessita apenas visualizar determinados arquivos, e não modificar, que tenha acesso somente leitura.

Contas de usuário de nível administrativo: deve-se evitar o uso generalizado de contas de usuário de nível administrativo, como administrador ou root, nos computadores. Da mesma forma que o cuidado em relação às permissões de acesso a arquivos, essa medida limita a extensão do dano que um usuário, mesmo sem intenção, poderia provocar aos dados.
Medidas de continuidade do negócio – como proceder após o ataque

Alguns tipos de ransomware já foram decodificados e os arquivos comprometidos podem ser recuperados com ferramentas próprias para isso, como as disponibilizadas pela Kaspersky na iniciativa Ransomware Decryptor. No entanto, há também outros ransomware cuja criptografia continua sendo impossível de reverter sem a colaboração do sequestrador.

O principal esforço que irá solucionar o problema e garantir a continuidade do negócio após o ataque ransomware, é algo que deve ser implementado e estar funcionando antes do ataque: o backup.

Nunca é demais relembrar a importância de ter um backup confiável, a partir do qual possam ser recuperados os dados importantes após qualquer incidente. A principal maneira de solucionar o problema após ter ocorrido o bloqueio dos dados por ransomware, é restaurar os dados a partir de backup.

A estratégia de backup deve ser implementada de maneira que haja uma cópia de segurança mantida em um local desconectado do local original dos dados. Ou seja, não se deve manter o único backup em um disco adicional ligado ao mesmo servidor.

Se a cópia de segurança for feita em um disco adicional constantemente conectado ao servidor ou à rede onde ficam os dados originais, no caso específico do ransomware, é possível que os arquivos do backup também sejam bloqueados no momento do ataque, tornando o backup inútil. É importante ter uma cópia se segurança em local separado física e logicamente do local original.

A equipe da Lumiun Tecnologia já auxiliou empresas, que à época não eram clientes Lumiun, na análise de casos de ataque ransomware em que não havia um controle de acesso à internet – que poderia ter evitado o download do software nocivo – e também não havia um backup válido dos dados, armazenado em local diferente do servidor original. Quando se percebe o dano, é normal que ocorra um pequeno pânico e uma enorme preocupação com “o que vamos fazer agora, sem os dados dos nossos sistemas”.

Os grupos criminosos que realizam ataques ransomware sugerem que, após o bloqueio dos seus arquivos, você entre em contato com eles para o pagamento do resgate e posterior liberação dos dados.

No entanto, é necessário avaliar o risco de negociar ou pagar o resgate, tendo em vista que não há garantia da recuperação dos dados. Esse aspecto ressalta ainda mais o quanto é importante prevenir-se contra o ataque e preparar-se com antecedência para a continuidade do negócio após um incidente.



Thursday, June 9, 2016







« Voltar