Ransomware: uma história verídica

3

Depois de perder para o meu filho três vezes seguidas no Xadrez, resolvi fazer algo em que acredito ser um pouquinho melhor do que meus talentos para jogos de tabuleiro, algo bem distante de Henrique Mecking, considerado um dos grandes mestres brasileiros de Xadrez e terceiro melhor jogador do mundo na década de 70. Em resumo, fui escrever!

Tentado esquecer minha recente derrota, peguei meu tablet e fui dedilhar minhas memórias. Comecei a lembrar das minhas férias, onde aproveitei para rever meus pais. Entre diversas alegrias, encontrei um primo que não via há muito tempo. Fiquei surpreso por ouvir dele uma história bem familiar. Seu escritório de advocacia havia sido atacado e todos os documentos de seu servidor de arquivos foram sequestrados por um atacante digital.

O atacante havia criptografado todas as informações gravadas no servidor, protegendo o acesso com uma senha. O mais impressionante é que tudo estava bem documentado com uma mensagem em inglês fluente, fornecendo informações para o pagamento e acesso a senha para recuperação dos arquivos. Era um bilhete de resgate.

Enquanto aproveitava uma brisa nordestina bem amigável, fui analisando diversos motivos para o ataque e em paralelo listei justificativas para que o pagamento não fosse feito. A primeira pergunta que fiz a ele foi: "Onde está a cópia de segurança?". A resposta veio no padrão mais conhecido pelos especialistas da área: "tenho a cópia, mas é um pouco antiga". Um problema havia acontecido e as últimas cópias foram comprometidas.

Para o cenário do meu primo, o mais sensato seria refazer todo o servidor e retornar a última cópia válida dos arquivos. Mas você deve estar pensando: quais recomendações eu daria para todos aqueles que planejam não passar por este pesadelo? São elas:

  • Fazer cópias das informações mais importantes da empresa diariamente é importante, mas testar se a cópia deu certo, na minha opinião, é mais importante ainda.
  • Escritórios de advocacia estão sendo constantemente invadidos por criminosos digitais. As técnicas estão direcionadas ao furto de documentos para entrega a um concorrente ou o sequestro digital. Vivemos a época da ciberespionagem e o acesso à informação tem que ser protegido.
  • Cuidado com os arquivos ou links enviados por e-mail. Existem produtos e empresas especializadas na proteção do correio eletrônico, com habilidades para remover do e-mail tudo que parece ser danoso.
  • Não acredite em tudo que vê na internet passível de ser instalado. Procure comentários a respeito do software e evite empresas desconhecidas. Tenha um ambiente para teste de novidades isolado dos outros computadores e dos usuários na rede. Tente monitorar o acesso internet deste ambiente.
  • Defina, sempre que possível, uma política de segurança que controle o acesso à informação e divulgue intensivamente a todos os funcionários da empresa.
  • Defina com o seu provedor as proteções que "blindam" não só o acesso internet, mas também a aplicação web. Os firewalls de aplicação Web, conhecidos também como WAF (Web Application Firewall), auxiliam muito.

O caso que presenciei é uma das centenas de ransomware que ocorreram em 2015. Ransomware são programas feitos para serem instalados sem chamar atenção, muitas vezes fingindo ser algo útil para depois se apossar dos dados existentes no computador e pedir resgate. O tema é tão importante que foram criadas famílias: Cryptolocker, Cryptodefense e Cryptowall. Não vou detalhar neste momento as diferenças entre cada família, mas segundo a Symantec, empresa especializada também em segurança cibernética, em 2014 tivemos uma média de 729mil ataques por mês envolvendo esta ameaça. Em 2015 mais de 4 milhões de amostras foram encontradas pelo McAfee Labs.

Com o crescimento e popularização dos wearables, é fácil prever que eles serão vítimas dos ransomware em pouco tempo. Achar formas de proteção nem sempre é viável financeiramente, mas independente da solução escolhida para a defesa, concordo com um grande amigo que em uma reunião me disse estarmos vivendo uma guerra injusta, onde o atacante só precisa achar um ponto de falha para entrar e nós temos que cobrir centenas de possibilidades para defesa.

Infelizmente contra motivação e dinheiro o único obstáculo é o tempo. Mas sabemos que travar esta batalha de maneira solitária não é uma opção e precisamos sempre procurar empresas especializadas que ofereçam serviços de segurança como os provedores MSS (Managed Security Services) e ainda monitorem os ativos no conceito de SOC (Security Operations Center).

* Denis Augusto Araújo de Souza é analista de produtos MSS do UOLDiveo, e autor da série de livros Tempestade Hacker, publicada pela Amazon.com.br.

3 COMENTÁRIOS

  1. Uma das coisas que observo e fico sabendo em coversar com colegas da área de TI, é de sempre de recomendar protetores digitais gratuitos, e isso passa as pessoas de cunho jurídica. Instalam qualquer protetor digital e se acham que estão seguros. A tecnologia infelizmente nos deixa em desvantagem no tocante que é realmente necessário para nos proteger.
    Nós ao montar o negócio é que tenha a informação digitalizada, é correto à consulta a uma empresa especializada em segurança digital e acesso.

    • Jorge, realmente vivemos em um momento de guerra digital muitas vezes injusta. Profissionais de segurança possuem família, precisam trabalhar mais que 12 horas por dia, precisam atualizar suas certificações e ainda lutam para proteger diversos ativos. Os atacantes digitais possuem em sua grande maioria menos de 18 anos. São jovens com muito tempo livre a criatividade para encontrar somente um ponto de falha em uma rede com diversos ativos publicados na internet. Não é fácil lutar neste mundo só. Sem dúvida que precisamos do poio de um SOC ou de uma empresa especializada em Serviços de Segurança (MSS).

      Abcs,
      Denis

  2. Grande Denis, realmente é uma gerra extremamente injusta, onde o própria mercado tem sua parcela de culpa.
    Lembro que estava fazendo testes sobre algumas marcas de anti-vírus, onde, em meu lab tinha como objetivo quebrar as proteções que os vendors prometia proteger. Lembro também de entrar em contanto com empresas de nome neste mercado pedindo para eles me emprestar equipamentos por um período para que eu pode-se fazer os testes nestes vendors, com a garantia que todo o trabalho passaria pela mãos dos vendor para as devidas correções antes de anunciar a pesquisa para o publico, estava fazendo isso de graça e recebi um bom e sonoro NÃO.
    Outra vez ouvi de um amigo pesquisador que trabalhava em uma dessas grande empresas, sobre algumas possíveis soluções para segurança da informação, seu chefe lhe disse: "Não precisamos resolver o problema do mundo de s.i. e sim sair na frente dos nossos concorrentes com o menor esforço$$ possível.
    Vejo nações que tem a pesquisa como uma das bases para o amadurecimento da sua infraestrutura, que saem anos luzes na nossa frente por apostar nas pesquisa e ter mais de 50% do seu PIB devido a exportação de ideias e soluções (vide EUA e Israel).
    Sobre o Ransomware tivemos um caso interessante, onde a vitima tinha sido contaminado a mais de 18 meses atrás e quando se deu conta estava com todos os seus dados criptografado pelo malware (inclusive os backup). Solução, pagou conforme o manual do malware pedia, resultado o dono do malware envio a senha como prometido, a policia falou para ele não pagar o resgate, a pergunta da vitima para o policial da delegacia especializada foi: "Vocês conseguiria pegar o malfeitor e devolver minhas informações novamente?". A resposta do agente: "Sem duvida não chegaríamos nem perto". Conclusão da vítima foi que ele fez um bom negócio.
    E para quem acredita na segurança somente por produtos vai ter grandes surpresas, pois hoje não temos tantos 0days publicados, não porque eles deixaram de existir pelas dificuldades e novas implementações de segurança by-design das aplicações (estamos longe disto =), é porque existe um valor para qualquer 0day que um pesquisador encontre. Esse tema virou Cyberwar/CyberTerrorism/Cybercrime que tem grandes interesse pelos exploits, ter um exploit 0day é ter uma arma poderosa contra seu inimigo. Ninguém em sã consciência pegaria uma arma e invadiria nações como EUA, Russia, China, etc. E quem tem um 0day de uma aplicação muito utilizada por essas nações teria coragem de invadi-los?
    Soluções para isso, bom eu acredito que pesquisas de segurança com apoio de governo e a iniciativa privada ajudaria a amadurecer, assim como exigir mais das nossas universidades que não ensina a base para seus alunos. Além disso, uma equipe multidisciplinar (pen-testers, forensics, developers, infra experts) preparada com conhecimentos aprofundados em s.i. monitoramento e testando (a.k.a SOC), pois as ferramentas são apenas para apoio e não a solução definitiva. Concluo que se você precisa de segurança da informação aposte em pessoas capacitadas ;]

    Me empolguei =] grande artigo Denis e forte abraço []

Deixe um comentário para Denis Cancelar resposta

Por favor digite seu comentário!
Por favor, digite seu nome aqui

This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.