Neste último 27 de junho, uma nova ameaça cibernética ganhou notoriedade global, o Petya. Trata-se de um tipo de código malicioso classificado como ransomware, daqueles que "sequestram" dados de computadores para exigir um dinheiro em troca de devolver o acesso ao seu dono. Ou seja, uma vez infectada a máquina, ele encripta os arquivos e mostra uma tela na qual exige um resgate em dinheiro, tipicamente na moeda eletrônica bitcoins que, assim como o dinheiro vivo, não deixa rastros quando se movimenta e permite circulação de valores entre criminosos.
O interessante é que o Petya, até onde foi possível apurar até o momento, nada mais é do que uma reedição do WannaCry, que assustou o mundo todo no último dia 12 de maio. Ambos exploram uma vulnerabilidade do sistema operacional Windows conhecida há pelo menos três meses e que permite execução remota de um código através de uma vulnerabilidade no serviço SMB (Service Message Block).
O que o episódio nos traz de lições? Na realidade, é uma única grande lição: aparentemente as organizações não aprendem e seguem sem fazer o dever de casa! E pesquisas recentes têm mostrado um crescimento nas preocupações em relação a ameaças no universo virtual. O estudo Unisys Security Index, por exemplo, registrou em 2017 um aumento de 19% no temor dos brasileiros em sofrer algum ataque hacker, na comparação com o levantamento feito três anos atrás.
Enquanto as ameaças crescem em termos de magnitude e agressividade, e se tornam cada vez mais frequentes, vemos as organizações negligenciarem temas simples e básicos como uma boa gestão de patches (atualizações de sistemas operacionais e outros tipos de software). As organizações teimam em ignorar, igualmente, que o cibercrime está crescendo: cada vez mais as ameaças têm motivação financeira. Elas se tornam mais perigosas porque as organizações criminosas que as orquestram têm cada vez mais recursos. Podem desenvolver "armas" sofisticadas e agir globalmente com elas.
E, finalmente, parece que se ignora o impacto real nos negócios. No caso do WannaCry, diversas empresas reconheceram indisponibilidade de sistemas e prejuízos financeiros concretos. Uma fabricante de automóveis no Japão, para ficar com um exemplo, reportou parada de produção em uma planta que produz mil automóveis por dia durante mais de 24 horas! Tornaram-se comuns no caso do Petya, novamente, empresas que foram contaminadas e tiveram que sujeitar-se a pagar pelo resgate. Outras, como no caso WannaCry, em pânico, decidem por desligar computadores. Nos dois casos, torna-se claro o impacto em termos de custo (seja pelo pagamento do resgate ou, pior, pela perda de produtividade).
O que, infelizmente, parece que a maioria das organizações ainda não faz?
- Prevenção – é fundamental e começa com pequenas coisas: a vulnerabilidade é conhecida há pelo menos três meses, quando a Microsoft publicou um boletim recomendando atualização dos sistemas Windows para corrigi-las. Ficou ainda mais conhecida com o WannaCry. Como pode ainda haver sistemas vulneráveis? Um trabalho de Gerenciamento de Patches, complementado de Gerenciamento de Vulnerabilidades, teria evitado a dor de cabeça. Realizar cópias de segurança frequentemente é outra prática bastante corriqueira que ajuda em situações de ransomware. São conceitos simples, mas que precisam ser realizados de forma consistente, com processo, ferramentas e pessoal treinado.
- Microssegmentação da rede: a utilização de ferramentas para microssegmentação reduz o estrago. Ao isolar sistemas por microssegmentos, a movimentação lateral realizada pelo malware é contida e ele não contamina uma grande quantidade de equipamentos na rede. Opte pela microssegmentação por software, focando inicialmente em sistemas mais críticos. Isso vai permitir adoção rápida, sem impacto na arquitetura da rede e com custo reduzido. Em médio e longo prazo a técnica vai aumentar a segurança e permitir simplificação da rede ao reduzir complexidade de firewalls internos e segmentação via VLANs.
- Monitoração de Comportamento de Malware: a cada momento surgirão novas ameaças, as quais serão desconhecidas por ferramentas tradicionais de segurança que trabalham com assinaturas e padrões de malware conhecidos. A utilização de ferramentas de correlação de eventos é um controle necessário, mas não suficiente. Preparar-se para o malware novo requer um SOC (Centro de Operações de Segurança) mais inteligente, que identifique comportamentos anômalos mesmo quando for um ataque novo com assinatura desconhecida. No caso do WannaCry ou do Petya, a comunicação pela porta do SMB, o comportamento de movimentar-se lateralmente dentro da rede, e o endereço de seu "mestre" que tenta contatar, são indicadores de comprometimento típicos de que algo estranho está acontecendo e que permitiram um SOC inteligente detectar a nova ameaça a tempo.
- Resposta a incidentes: uma vez detectada a nova ameaça, requer-se pronta resposta. Respostas automáticas ou manuais poderiam bloquear tráfego suspeito e eliminar da rede os equipamentos contaminados. A utilização de uma Arquitetura de Segurança Adaptativa é recomendada para responder de modo dinâmico, mudando a arquitetura de subredes à medida que contaminações são identificadas. Um exemplo é colocar em quarentena os equipamentos contaminados e evitar que os mesmos contaminassem outros.
Leonardo Carissimi, diretor de Soluções de Segurança da Unisys na América Latina.