whitepaper-ransomware-se-voce-esta-pensando-em-resgate-ja-e-tarde-demais

RANSOMWARE, SE VOCÊ ESTÁ PENSANDO EM RESGATE,JÁ É TARDE DEMAIS

1 - VISÃO GERAL

Ransomware é um tipo de ameaça cibernética que vem ganhando cada vez mais atenção dos profissionaisresponsáveis por tecnologia nas empresas e por usuários que tenham um mínimo de percepção sobre os riscos de segurança da informação. Com a explosão do uso de computação pessoal e um número cada vez maior de dispositivos conectados, cibercriminosos encontram mais pontos de falha de segurança e possibilidades de ataque.

O termo ransomware foi cunhado a partir do inglês "ransom" ou resgate; nesse tipo de ataque o usuário tem suas informações sequestradas e é alvo de um pedido de resgate para obter novamente o acesso aos seus dados .

Organizações43% Consumidores

57%

Relatório Especial "Ransonware e Business 2016", Symantec

2 - TIPOS DE RANSOMWARE

A premissa básica de qualquer ataque do tipo ransomware é restringir o acesso legítimo do usuário aos seus arquivos e sistemas, estas ameaças podem ser classificadas em dois grandes grupos: os do tipo "locker" simplesmente bloqueiam o acesso à recursos dos dispositivos infectados, normalmente por meio da restrição de uso da interface do usuário, teclado e mouse. Muitos deles permitem acesso somente à recursos suficientes para que o usuário possa pagar o resgate.

Esse tipo de ameaça, normalmente, mantém a integridade dos arquivos armazenados no dispositivo, assim restaurar o sistema operacional para um estágio prévio à infecçãopode eliminar sua atuação, limitando a efetividade doataque.

O ransomware do tipo "crypto" é mais complexo. Após infectar um dispositivo, esse tipo de ameaça consegue obter nível de acesso avançado ao sistema, sendo capazde injetar linhas de código em componentes do sistema operacional se tornando persistente (permanece ativa mesmo após um reinício do dispositivo). A ameaça passa a“encriptar” os arquivos e pastas armazenados em disco que só poderão ser acessados caso o usuário tenha a chave de decriptação.

we secure your business

Whitepaper

01Ransonware, se você está pensando em resgate, já é tarde demais

Infecções de Ransomware Empresas vs. UsuáriosJan-15 a Abr-16

À medida que nossa vida se torna cada vez mais digital, armazenamos mais informação sensível em dispositivos pessoais e se a maioria dos usuários não é consciente da necessidade de se manter um backup de suasinformações para se proteger contra falhas de discos ou perda de dispositivos, por exemplo, quem dirá pensar em uma ameaça cibernética. O usuário não percebe o valor das informações que tem armazenadas, até o momento em que as perde.

Após a instalação, o ransomware do tipo “crypto” funciona sem chamar a atenção, buscando por arquivos em modo silencioso e permitindo que o dispositivo seja utilizado até que a encriptação de dados esteja concluída e o usuário receba, então, a mensagem de que seus dados foram sequestrados e serão liberados mediante pagamento de resgate.


3 - FORMAS DE PROPAGAÇÃO

Definir com exatidão como a infecção com ransomware é difícil já que os usuários, via de regra, não têm consciência dos vetores e de comportamentos de risco que possam ter levado à contaminação de seus sistemas.Os cibercriminosos vêm adotando ferramentas cada vez mais avançadas para conseguir comprometer sistemas, já que soluções de defesa estão cada vez mais eficientes, o que dificulta a ação de atacantes amadores. Por outro lado, a evolução das ferramentas de segurança levou à criação de um ecossistema de cibercrime com diferentes grupos especializados em etapas específicas de atuação, como a distribuição de malware paga. Algumas estratégiasutilizadas são:

• Sistema de distribuição de tráfego - um métodocomum é a compra de tráfego advindo de serviços dedistribuição de anúncios e cliques, normalmenteencontrados em sites de conteúdo adulto. Esses usuários,advindos de sites legítimos, podem ser direcionados aodomínio malicioso que tenta injetar o malware no sistemaa partir do acesso.

• Anúncios - inseridos em sites legítimos, os anúnciosquando clicados redirecionam o usuário para domíniosmaliciosos com kits de infecção. Nessa estratégia se usamconhecimentos de SEO (Search Engine Optimization) eAdsense (serviço de publicidade e recompensa oferecidopelo Google inc.) para que se possa endereçar um perfilespecífico de usuários independente de sua localização.

• SPAM - essa é uma tática de ataque utilizada há muitotempo, mas que ainda é efetiva já que utiliza estratégiassofisticadas de engenharia social tornando o usuárioincauto em uma vítima fácil. As mensagens maliciosaspodem conter o ransomware anexado ou então conter umlink para domínio malicioso. Mensagens normalmentetrazem temas como:

- Notificações de entrega de e-mail;- Contas de serviços públicos;- Avisos de fraude bancária;- Notificações sobre multas.

• Downloaders e Botnets - a infecção com ransomware éconsequência de uma primeira infecção com software quefaz o download da ameaça propriamente dita.Cibercriminosos podem infectar múltiplos computadores(criando uma botnet) e vender infecção para outrosautores de ameaças.

• Engenharia Social - alguns ransomware já carregam acapacidade de se espalhar através da infecção de arquivosque são enviados em nome do usuário para seus contatosvia e-mail ou mensagens; o conteúdo é desenvolvido paraque o terceiro seja impulsionado a acessar o link malicioso

LOCKS SYSTEM

SOCIAL ENGINEERING

VOUCHER PAYMENT

US$200 “FINE”

ENCRYPTS FILES

FAVORS TOR

BITCOIN PAYMENT

US$300 “FEE”

LOCKERRANSOMWARE

CRYPTORANSOMWARE

TRAFIFIC DISTRIBUTION SYSTEM

EXPLOIT KITS

MALVERTISEMENT

DATA BREACH

BOT INFECTION

SMS MESSAGE

SOCIAL ENGINEERING

SPAM EMAIL

DOWNLOADER

Diferenças entre Ransomware do Tipo Locker e Crypto

Fonte: Relatório Especial "Ransonware e Business 2016", Symantec

Vetores de Infecção para Ransomware



4 - QUANTO PODE CUSTAR UM ATAQUE

Relatórios de ameaças globais definiram o preço médio do resgate em US$ 679 em 2016, um crescimento expressivo se comparado aos US$ 294 cobrados em 2015. É difícil dimensionar os custos de um ataque já que esse impacto depende do quão críticos são os dados bloqueados pela ameaça.

5 - UMA AMEAÇA EM EVOLUÇÃO

Com o passar do tempo, as estratégias de ataques do tipo ransomware estão evoluindo.

Deve-se levar em consideração, no entanto, que não são só custos financeiros os decorrentes de ataques do tipo ransomware. A contenção da ameaça em sistemascorporativos pode levar a um downtime de sistemas e do próprio negócio, para scan de contaminação em outros dispositivos da rede ou limpeza daqueles que foraminfectados. Sistemas off-line significam empresa parada e zero faturamento.

A perda de dados financeiros da companhia, propriedade intelectual, dados pessoais de clientes, podem fazer o prejuízo crescer exponencialmente. Vale lembrar que o pagamento do resgate não garante que os prejuízos vão parar de acontecer, sem contar que o cibercriminoso pode utilizar os dados copiados do dispositivo infectado eextorquir ainda mais dinheiro sob ameaças de divulgação pública de informações sensíveis de empresas e pessoas.

Os ataques do tipo ransomware cresceram de maneira notável nos últimos anos, mas suas origens remontam, pelo menos, ao final da década de 80 quando se descobriu a primeira família de ransomware capaz de bloquear arquivos.

Com o passar do tempo, as estratégias de ataques do tipo ransomware estão evoluindo e se preparando para o novo cenário de digitalização cada vez maior na vida de pessoas e organizações. Muito mais além de infectarcomputadores, servidores e dispositivos móveisinteligentes como smartphones e tablets, já se notaatuação cada vez maior de ransomware em smart TVs e dispositivos IoT, como controladores de temperatura e iluminação, além de wearables como smartwatches.

Os cibercriminosos também desenvolveram táticas para tornar mais difícil o desbloqueio de dados sem que se pague o resgate, usando encriptação assimétrica por exemplo, em que diferentes chaves são utilizadas para encriptar e desencriptar arquivos. Estas chaves, jáarmazenadas no próprio dispositivo infectado são, agora, armazenadas na nuvem com acesso restrito.

$800

700

600

500

400

300

200

100

2014 2015 2016

$294

$372

$679

Fonte: Reprodução. Uma smart TV bloqueada por ransomware.


Valor Médio de Resgate em Dólares por Ano

Fonte: Reprodução. Uma trava inteligente (IoT) hackeada.


5 - COMO SE PROTEGER

Como falamos no início, se você está pensando em resgate, já é tarde demais. Se o seu dispositivo foi infectado por um crypto ransomware sofisticado será muito difícil retomar acesso aos dados encriptados sem o pagamento do resgate e, mesmo pagando, não há garantias de que o atacante desbloqueará suas informações.

A melhor estratégia é aquela que conta com a prevenção como tática mais importante, utilizar ferramentas que monitorem os vetores de entrega de software malicioso, como filtros de e-mail, sistemas de prevenção de intrusões,

Não é raro também o mesmo ransomware adaptar seus valores de resgate de acordo com a localização geográfica em que a vítima se encontra, já que o poder aquisitivo é variável de acordo com o país. A consolidação do Bitcoin e do Litecoin como moedas alternativas, também permite que o cibercriminoso monetize seus ataques sem passar pelos meios de pagamento legais e tradicionais, que podem ser rastreados por operações policiaisinternacionais.

políticas de bloqueio de URLs e detecção de malware vão impedir que se faça o download da ameaça e, se odownload for feito, sua execução. O usuário é uma parte crítica na prevenção, eles devem ser conscientes do que é seguro e do que não é, quais são os vetores maisutilizados, a norma é não executar ou clicar em links e anexos suspeitos.

A contenção é uma segunda tática que pode evitarmaiores danos uma vez que o sistema ou dispositivo seja infectado, utilizar inteligência de ameaças e endpointsecurity é uma maneira eficaz de impedir a execução de um pacote malicioso que possa, por ventura, ter passado pelas camadas de proteção de perímetro das redes. Fazer um scan completo de redes e dispositivos conectados é algo importante para se determinar se há qualquer ponto comprometido dentro de sua rede.

Para evitar danos adote uma tática de defesa que pode ser até prosaica para alguns, mas que é esquecida por muitos. Faça backups, tenha redundância de dados. Seja na nuvem ou na própria estrutura interna da empresa. Poder contar com uma cópia atualizada de dados é o que pode livrar sua companhia dos prejuízos do ransomware.

AMÉRICA DO NORTE1450 Brickell Avenue14th floor - MiamiFL 33131 - USA+1 305 373 4660

EUROPA2 Kingdom Street6th floor - PaddingtonLondon W2 6JP - UK+44 203 580 4321

AMÉRICA LATINAR. Alexandre Dumas 16582º andar - São PauloSP 04717-004 - BR+55 11 4501 6600

www.cipher.com.br

whitepaper-ransomware-se-voce-esta-pensando-em-resgate-ja-e-tarde-demais

Documents

Transcript of whitepaper-ransomware-se-voce-esta-pensando-em-resgate-ja-e-tarde-demais