Ransomware: Como se Proteger

 

Muito tem se discutido acerca desta praga que tem assolado inúmeras empresas e volta e meia retorna sob uma variante nova, atingindo milhares de empresas por vez.

Contudo, um efeito colateral positivo que tais episódios têm provocado é uma reflexão acerca de estratégias de segurança mais eficazes, envolvendo a educação, ainda que forçada, de gestores e de segurança e administradores acerca das boas práticas que devem ser necessariamente adotadas.

Como frequentemente ocorre, os alvos mais expostos e vulneráveis são empresas de pequeno e médio porte, assim como aquelas que possuem um quadro flutuante, em que um dos melhores exemplos são os Hospitais, com centenas, às vezes milhares de médicos, enfermeiros e prestadores de serviços.

Mas, o que é o Ransomware ? Em verdade, nada mais é do que uma família de softwares perniciosos cujo objetivo é tão somente tornar os dados dos usuários indisponíveis. O objetivo do Ransomware não é o roubo de dados, penetrar nas defesas do sistema de segurança para obter alguma informação sigilosa e tão pouco levar a cabo transações financeiras fraudulentas pela Internet.

O objetivo é bem mais simples. Trata-se de tornar os seus dados indisponíveis de forma indiscriminada. Esta indisponibilidade pode ser realizada por meio da criptografia forte de seus arquivos. Uma vez criptografados com uma chave pública, é imprescindível ter acesso à chave privada para desfazer a ação. Sem esta chave, é muito pouco provável que sejamos capazes de reverter esta ação.

Este tipo de ação pode empregar diferentes estratégias, mas o fim é sempre o mesmo: criptografar os arquivos, tornando-os indisponíveis.

O problema aqui embutido é que esta ação pode ser facilmente induzida aos usuários desatentos para que eles mesmos executem o mal feito. Basta um momento de desatenção para que a praga seja introduzida no sistema, sem que o sistema de firewall perceba.

Evidentemente, um bom sistema de filtragem de URLs, bem configurado, assim como um escaneamento de e-mails criterioso e políticas de restrição podem reduzir ao máximo o problema, mas os usuários atuais dispõem de um grau de liberdade que muitas vezes torna impossível evitar que algum deles seja contaminado e traga o malware para dentro da rede.

A proteção dos sistemas centrais, como servidores pode e deve ser obtida através de uma boa estruturação da rede, segmentação de VLANs, através de implementação de boas práticas na configuração de switches e definições de políticas efetivas de acesso aos bancos de dados.

Porém, tais práticas nem sempre são seguidas, principalmente por parte daquelas empresas que não possuem o conhecimento necessário e a capacitação/recursos para implementar uma estrutura segura.

Em decorrência destas vulnerabilidades, temos observado que a verdadeira, derradeira e fundamental linha de defesa reside em uma estratégia de Backup eficaz.  Muitas empresas começam a perceber que o seu principal patrimônio são, afinal, os seus dados, logo a proteção dos mesmos deve ser perseguida de forma obsessiva.

Toda política de segurança de qualquer empresa deve partir, portanto, do Backup dos dados. Esta é a única forma de garantir que, mesmo em caso de desastre possa ocorrer o retorno operacional.

Prosseguindo com a questão do Ransomware, e partindo do princípio de que Backup consistente e implementado de maneira sólida existe, passaremos então aos pontos de atenção que devemos observar na proteção contra o Ransomware.

E aqui cabe mais uma pergunta: Existem sistemas anti-ransomware ? A pergunta para esta resposta é positiva. Atualmente existem sistemas que combatem o Ransomware pela análise de operações anômalas. Diferentemente dos anti-vírus, anti-ransomwares analisam atividades anômolas e são capazes de interrompê-las, podendo inclusive reverter o todo ou parte do mal feito.

A esta altura já nos atentamos para algumas linhas de defesa: Backup eficiente, boas práticas na segmentação de redes e determinação de níveis de acesso e a instalação de anti-ransomwares nas estações e servidores.

Por fim, podemos considerar ainda outras boas práticas que podem ajudar a reduzir ainda mais os riscos, e que vamos elencar a seguir:

  • Atualização de Sistemas Operacionais e Aplicações

  • Segregação de Sistemas muito antigos, e.g., baseados em Windows XP

  • Educação do usuário quanto aos documentos que podem trazer ameaças (o que abrir e não abrir): “O que é um documento suspeito ?”

  • Educação do usuário quanto à natureza do phishing. Devemos lembrar que em home-office o usuário pode ser afetado...  E que depois ele próprio pode trazer este computador para o escritório e completar o ciclo.

  • Implementar um sistema completo anti-vírus e anti-ransomware. Eles existem e estão disponíveis, para todos os usuários.

  • Cuidado com macros em arquivos trazidos da Internet, mesmo que a origem seja conhecida.

Em geral o usuário é atraído por alguma forma de atratividade, seja por um comunicado “urgente e importante” no e-mail, seja por pousar em um site aparentemente legítimo, criado especificamente para introduzir o Ransomware.

E Como funciona o Ransomware ?

Após a infecção, o programa do ransomware contata um “Comando e Controle” externo, localizado no perpetrador, envia informações sobre este computador para esta localidade externa e de lá baixa uma chave de criptografia pública.

Em seguida todos os arquivos significantes, sejam eles Word, PDF, Excel, banco de dados, etc, são criptografados com esta chave. Frequentemente as “shadow copies” - backups automáticos do Windows, são deletadas.

Por fim, uma mensagem cobrando um resgate (o ransom) é exibida. Ao causar a indisponibilidade do acesso a ideia é cobrar pelo envio da chave privada que irá reverter o processo de criptografia. Trata-se portanto de um business.

Algumas variantes ainda mais nefastas têm sido adotadas. Além de se valerem da eventual distração do usuário, de tempos em tempos são utilizadas vulnerabilidades de sistemas operacionais não atualizados e que vêm à tona.

Um exemplo mais recente foi o WannaCry. Uma vulnerabilidade no protocolo da Microsoft, denominado “Server Message Block” permitia que fosse iniciada a execução remota de programas, mesmo que o usuário não tivesse iniciado qualquer ação.

A Microsoft liberou uma correção em Março de 2017 e o malware se manifestou em Maio de 2017, cerca de dois meses após a divulgação de sua vulnerabilidade e disponibilização da correção.

Este exemplo demonstra o quão importante é cuidar e levar a sério os Updates de sistemas, principalmente os que estão relacionados a questões de segurança.

A título de exemplo, sabemos que muitas empresas mantêm máquinas Windows XP porque uma determinada aplicação somente funciona naquele sistema, está ali há anos e está “dando conta do recado”. Este é o tipo de vulnerabilidade que tem que ser tratada por meio de segregação como, por exemplo, restrições de acesso e isolamento deste tipo de equipamento das demais redes virtuais (VLANs).

A seguir apresentamos nove boas práticas de segurança de aplicação imediatas, conforme sugeridas pela própria Sophos, uma das principais empresas de segurança do mundo:

   1. Patch early, pacth often

Em outras palavras, atualize sempre os seus aplicativos e o browser, pois falhas bem conhecidas e presentes nestas aplicações, com patches            disponibilizados gratuitamente, são frequentemente utilizadas pelos atacantes.

  2. Backup com regularidade, manter uma cópia recente off-line e off-site

Uma boa estratégia de backup, com uma política bem definida e executada regularmente, com a manutenção das necessárias versões e cópias é a garantia final de que a restauração em caso de desastre será possível

  3. Habilitar as extensões de arquivos

As configurações Windows default desabilitam as extensões de arquivos, o que significa que você deve confiar no thumbnail para identificar a natureza dos arquivos. Habilitar as extensões auxilia na visualização de arquivos que usualmente não deveriam existir ou são merecedores de uma análise mais cuidadosa

  4. Abrir arquivos Javascript no Notepad

Abrir os arquivos Javascript no notepad permite verificar e examinar os conteúdos deste tipo de arquivos

  5. Não habilite macros em documentos apensados ao e-mail

A Microsoft deliberadamente desligou a execução automática de macros por default. Se for estritamente necessário, antes de fazê-lo, consulte o staff de segurança para que eles examinem o arquivo em um sandbox, antes de habilitar a macro.

  6. Cautela acerca de documentos anexos não solicitados

Aqui vale a dica anterior. Se for estritamente necessário abrir o documento, solicite ao staff de segurança abrir o arquivo em um sandbox para uma análise mais criteriosa. Dê preferência ao descarte do documento.

  7. Não abuse dos privilégios de administrador

Normalmente, nas organizações, é retirado o privilégio de administrador para os usuários comuns. É interessante aplicar esta regra a você mesmo. No dia a dia, realize o login em modo não privilegiado.

  8. Utilize as features de proteção disponíveis no Office

O Microsoft Office, na versão mais recente, permite desabilitar macros de arquivos Office provenientes da Internet. Como regra geral, nunca ative macros. Se precisar fazê-lo, acesse sua área de segurança para manipulá-lo com segurança.

   9. Aplique os patches com frequência

Esta regra repete e reforça a primeira. Esta é uma ênfase dada pela própria Sophos, dado que boa parte dos ataques de Ramsonware verificados ultimamente valeu-se da desobediência a esta regra de ouro.

 

Conclusão:

A agressividade dos ataques registrados recentemente tem demonstrado claramente que tudo deve começar por uma política eficaz de backup.

Existem mecanismos de proteção anti-ransomware na forma de produtos (Intercept X, no caso da Sophos) e o usuário deve também ser aliado do staff de segurança na forma de  reduzir as indisponibilidades.

Por fim, apresentamos uma décima regra adicional aos gestores de rede: existem vários sites informativos acerca de alertas de segurança. Escolha dois ou três que lhe pareça serem mais completos e objetivos. Consultá-los diariamente também é uma boa prática, dado que muitas ações podem ser tomadas tão somente por meio de estratégias, desde que se conheça a ameaça com que podemos nos deparar em algum momento.

Neste e em todos os casos, as informações estão todas amplamente disponíveis. O fundamental é criar uma rotina diária e a disciplina para acompanhar estas ameaças e tomar as ações proativas.

Este artigo é uma adaptação do documento original da Sophos, que pode ser encontrado em: "How to Stay Protected Against Ransomware", encontrado  no site da Sophos, e que pode ser baixado no formato PDF (*)

(*) o acesso ao documento pode requerer o envio de dados para a Sophos.

A IP10

A IP10 busca o conhecimento e especialização contínuos em tecnologias de pontas, tais como Avaya e 3CX, aplicadas a PBX´s IP e Comunicações Unificadas, Sophos, aplicada à proteção de Enpoints e ameaças do tipo ransomware contra Servidores, Zabbix para um gerenciamento pleno e completo da infraestrutura de TI, entre outras tecnologias aplicadas a Wireless de alto desempenho, e gateways de celulares.

 

JSN Medis template designed by JoomlaShine.com