Adentro Datacenter Solutions

X

 

ransomware

Ransomware

10 dicas para prevenção de RANSOMWARE

 

Elaborei esta postagem com 10 dicas para prevenção de ransomwares com a intenção de alertar e ajudar de alguma forma a todos os donos de empresas, colegas de trabalho, profissionais de TI e todos aqueles que se preocupam de alguma forma com a segurança dos dados que sua empresa detém. Além disso a ideia do artigo é descrever as formas mais comuns de como os ataques de ransomwares se proliferam e as ações básicas que toda empresa deve assumir para minimizar as chances de ser penalizada por esse tipo de ameaça.

 

Compreendendo a segurança na TI

Em outras palavras, para compreendermos o funcionamento da segurança em ambientes computacionais, façamos a seguinte analogia:

Neste paragrafo vamos imaginar que para aumentarmos os perímetros de segurança em nossas residências, podemos adotar várias medidas de prevenção como por exemplo, a construção de um muro alto, cerca elétrica, alarme, contração de vigilância ou até mesmo uma guarita com guardas armados 24×7. Deste modo, todos estes fatores ajudam a aumentar a segurança da nossa residência, mas nenhum deles pode garantir 100% da segurança em nossas casas. Desta mesma forma igualmente ocorre nos perímetros de  segurança da TI em sua empresa ou escritório. Além disso você  deve assumir várias medidas de segurança para aprimorar a proteção aos seus dados, dificultando a possibilidade de sequestro das informações ou infeção por ransomware.

O que é?

O Ransomware é um tipo de malware da criptovirologia que ameaça publicar os dados da vítima ou bloquear perpetuamente o acesso a eles, a menos que um resgate seja pago. Embora alguns ransomwares simples possam bloquear o sistema de uma maneira que não é difícil para uma pessoa experiente reverter, um malware mais avançado usa uma técnica chamada extorsão criptoviral, na qual criptografa os arquivos da vítima, tornando-os inacessíveis, e exige um pagamento de resgate. Esse pagamento geralmente é solicitado em cyber moeda BITCOIN, o que dificulta a rastreabilidade do ataque.

Quanto tempo o ransomware leva para criptografar seus arquivos?

Prepare-se.

Segundo as descobertas contidas no white paper da Arctic Wolf Networks white paper sobre infecção por Ransomware, o tempo médio necessário para o ransomware começar a criptografar seus arquivos após a execução é de apenas três segundos.

Em outras palavras, depois de executar o script mal-intencionado ou fazer o download obscuro, seus arquivos começarão a criptografar antes que você possa chegar ao suporte técnico de TI.

A pesquisa, produzida pela Arctic Wolf Networks, baseia-se em casos reais que a empresa de detecção e resposta gerenciada e testemunhos em primeira mão. O white paper explica como a marca de três segundos foi alcançada, quais eventos destrutivos acontecem nesses três segundos e, o mais importante, fornecerão orientações sobre como as empresas podem usar esse conhecimento em proveito próprio.

Portas de entrada do ataque ransomware?

Pode parecer um pouco clichê, mas as formas de entrada deste tipo de ataque são velhas conhecidas dos administradores de rede e segurança. Porém, um simples vacilo e todas as informações da sua empresa podem se tornar inacessíveis literalmente do dia para a noite.

No entanto existem várias portas de entrada que o ransomware pode usar para acessar um computador ou uma rede inteira. Uma dos formatos de entrega mais comuns é o spam de phishing – anexos que chegam à vítima em um email, mascarados como um arquivo em que deveriam confiar. Uma vez baixados e abertos, eles podem assumir o controle do computador da vítima, especialmente se tiverem ferramentas de engenharia social integradas que induzam os usuários a permitir acesso administrativo. Algumas outras formas mais agressivas de ransomware, exploram brechas de segurança para infectar computadores sem precisar enganar os usuários.

Outra forma bastante comum de contrair a infecção do ransomware é explorando politicas de segurança mal definidas bem como falhas de configurações nos sistemas de firewall, brechas de segurança na programação dos sistemas publicados na internet bem como sistemas operacionais descontinuados e desatualizados.

O Fator RDP

O que é RDP?

Um RDP é um dispositivo que está executando o serviço (Remote Desktop do Windows) software para que o dispositivo possa ser acessado através de uma rede, como a Internet. Sendo necessário um nome de usuário e senha para conectar ao dispositivo.

O sistema da empresa que os funcionários precisam acessar remotamente é conhecido como servidor. Funcionários conectam-se ao servidor executando o software cliente RDP, por exemplo, em seus laptops. Quando e se o endereço de rede do sistema remoto for inserido, o software cliente alcançará a porta designada no servidor (a porta padrão para o RDP é 3389, embora isso possa ser alterado e provavelmente deva ser). O software do servidor apresenta uma tela de login que solicita um nome de usuário e senha. Você pode ver como isso se parece em um sistema Windows.

Vulnerabilidade

Um invasor, tendo identificado o servidor como um destino, fará repetidas tentativas de adivinhar estas senhas, geralmente a uma alta velocidade, daí o termo ataque de força bruta. Na ausência de qualquer mecanismo para limitar várias tentativas de acertar estas credenciais, os ataques podem ser muito eficazes. Obter acesso não autorizado via Internet a dispositivos que executam servidores RDP pode exigir mais recursos e esforço do que o ransomware baseado em email, mas o RDP oferece benefícios significativos aos hackers, como o potencial de evitar proteções de terminais e comprometer rapidamente vários sistemas em uma única organização.

Case ransomware

No entanto considere o ataque de ransomware via RDP contra a Lab Corp, uma das maiores empresas da América. Uma perspectiva corporativa mesmo que a empresa tenha conseguido conter o ataque dentro de 50 minutos, já havia impactado 7.000 sistemas e 350 servidores de produção. Ataques via RDP podem voar sob o radar de muitos métodos de detecção, o que significa menos métricas e menos conscientização de ameaças. Por exemplo, qualquer organização com um programa maduro de segurança da informação pode detectar e bloquear um pedaço de ransomware incorporado em um arquivo anexado ao email recebido.

Por que usar o Windows 10 e Windows Server 2019

O sistema operacional Windows Server 2019 possuí uma ferramenta de proteção integrada contra ataques de ransomware . O Windows defender (segurança do Windows) agora possui proteção anti ransomware – detecção e bloqueio de ataques deste tipo, com restauração de arquivos e dados em caso de ataque de criptografia.

No entanto por padrão, todas as pastas e arquivos do sistema Windows estão ativados para proteção contra ransomware. Além disso você pode adicionar suas pastas de dados personalizadas para ativar a proteção contra ransomware. O Windows negará qualquer aplicativo hostil que altere os arquivos nessas pastas ou dará acesso limitado / controlado às pastas. Portanto você pode adicionar manualmente softwares confiáveis ​​a uma lista de permissões. Isso protegerá todos os seus arquivos e pastas de modificações e criptografia por qualquer outro aplicativo que não esteja na lista de permissões manualmente.

Recomendamos também a leitura do seguinte artigo “Fim do suporte Windows 2008 e Windows 7“.

Qual tamanho das empresas que o ransomware ataca?

Infelizmente todos os computadores estão suscetíveis ao ransomware, existem situações em que o vírus criptografou apenas um notebook pessoal, mas também teve casos que criptografou os desktops e o servidor de um escritório. Porém a capacidade de devastação do ransomware é muito maior, listamos abaixo alguns ataque de maior escala demonstrando que todas as empresas de todos os tamanhos devem se preocupar com a segurança de suas informações.

Ataque a multinacional Honda
Ataque em julho de 2020 a Garmin
Ataques a órgãos públicos.

Impactos dos ataques de ransomware

  • Perda temporária e possivelmente permanente dos dados da sua empresa
  • Possivelmente um desligamento completo das operações da sua empresa
  • Perda financeira resultante do fechamento de operações geradoras de receita
  • Perda financeira associada a esforços de remediação
  • Danificado para a reputação da sua empresa

 

Rastreabilidade do ransomware?

Infelizmente uma vez infectado fica muito difícil de identificar de onde se originou o ataque hacker. Em alguns casos é possível identificar internamente em qual computador se deu inicio a proliferação do ransomware na rede. Mas identificar e punir o hacker é praticamente impossível.

ramsomware pagamentos

pagamentos de ramsomware

Devo pagar o resgate de um ransomware?

Além disso pagar um resgate não garante a uma organização que os dados serão recuperados – vimos casos em que as organizações nunca obtiveram uma chave de decriptografia depois de pagarem o resgate. Pagar um resgate não apenas incentiva os criminosos cibernéticos atuais a atingir mais organizações, mas também oferece um incentivo para que outros criminosos se envolvam nesse tipo de atividade ilegal. E, finalmente, pagando um resgate, uma organização pode inadvertidamente financiar outras atividades ilícitas associadas a criminosos. ”

A recomendação do FBI na medida que as técnicas de ransomware e o malware continuam evoluindo dificultando detectar um comprometimento do ransomware antes que seja tarde demais -, as organizações em particular devem se concentrar em duas áreas principais:

  • Esforços de prevenção – tanto em termos de treinamento de conscientização dos funcionários quanto de controles técnicos robustos de prevenção; e
  • A criação de um sólido plano de continuidade de negócios no caso de um ataque de ransomware.

Minha empresa pode estar infectada? Conheça algumas características do ransomware

O ransomware é reconhecido por ter difícil detecção uma vez que ativo em seu computador. Aspectos que podem indicar uma infeção é o processamento “cpu” do servidor acima do normal, link de internet com alta utilização ou I/O acima da média gerando uma lentidão nos servidores.

Avanços no hardware do microprocessador oferecem enormes benefícios de desempenho para as operações comerciais diárias, pois permitem a execução paralela e melhor utilização do sistema para acelerar a produtividade. Alguns ransomwares foram projetados especificamente para fazer uso eficiente do hardware moderno da CPU e paralelizar tarefas individuais para garantir um impacto mais rápido e, posteriormente, mais prejudicial antes que as vítimas descubram que estão sendo atacadas. Esses ataques podem alcançar maior rendimento e menor latência, já que os dados em um meio mais rápido (como memória) podem ser recuperados por um enquanto outro thread recupera dados de uma mídia mais lenta (como armazenamento), com nenhum segmento esperando o outro terminar.

O ransomware geralmente renomeia os documentos no momento da criptografia. Assim, ataca precisamente quando o processo de renomeação ocorre (pode ocorrer antes ou depois da criptografia do ransomware o arquivo).

infográfico - dicas ransomware

infográfico – dicas ransomware

Como se proteger de ransomwares?

Abaixo listamos os passos básicos para reduzir as chances de sua empresa ser infectada por um ransomware.

1. Criação de perímetros de rede para evitar ransomware

  • Tenha politicas de acesso bem definidas;
  • Rede isolada para o servidores;
  • Crie uma DMZ para os serviços publicados na internet

2. Updates dos sistemas operacionais

  • Certifique-se de ter todo o parque de máquinas atualizados, servidores, estações e demais dispositivos;
  • Remova da rede sistemas operacionais descontinuados windows 2008 e windows 7 ou versões inferiores;
  • Valide se os seguintes KBs da microsoft estão instalados em todos os dispositivos:
  • KB4019216 — Windows 8 and Windows server 2012

  • KB4019264 — Windows 7 and Windows 2008 R2

  • KB4019215 — Windows 8.1 and Windows 2012 R2

  • KB4018466 — Windows Server 2008

  • KB4019472 — Windows 10 Version 1607 for x64-based Systems

  • KB4019473 — Windows 10 Version 1511 for x64-based Systems

  • download, visit – http://www.catalog.update.microsoft.com/

3. Firewall de borda

  • Tenha um bom firewall de borda;
  • Bloqueie as portas externas 445, 135, 137, 138, 139, 3389, 22, 1433;
  • Nunca deixe um serviço de RDP publicado para a internet;
  • Nunca publique portas de banco de dados para a internet;
  • Defina politicas de bloqueio para IPS maliciosos;

4. Interconexão de usuários

  • A interconexão entre usuários e a rede da empresa deve ser sempre feita via VPN;
  • Interconexão entre matriz e filiais sempre deve ser feita via VPN;
  • Os dispositivos dos usuários devem estar dentro das políticas de segurança da empresa.

5. Antivírus (endpoints)

  • Sua empresa deve investir em antivírus;
  • Certifique-se de instalar o antivírus em todas as estações e servidores;
  • CUIDADO, não são todos os antivírus que possuem proteção contra ransomware.
  • Acompanhe o console do antivírus para analisar casos de infecção;
  • Mantenha o sistema de antivírus sempre atualizados.

6. Capacitação de pessoas

  • Treine e atualize seu time de TI, administradores de redes e segurança;
  • Realize treinamento e orientações recorrentes a todos os usuários;
  • Para se manter-se atualizado nas novidades de segurança é necessário muito estudo;

7. Políticas de segurança para evitar ransomware

  • Permita a utilização de senhas fortes com pelo menos 8 caracteres, letras, números, maiúsculas e caracteres especiais;
  • Crie uma politica para bloquear o usuário que errar várias vezes a senha;
  • Crie uma politica para a trocas de senha a cada 90 dias;
  • Retire privilégios administrativos dos usuários;
  • No windows 2019, ative a proteção anti-ransomware.

8. Backup/Replicação externos

9. Auditoria de segurança

  • Mantenhas seus sistemas / software e aplicações sempre atualizadas;
  • Atenção as versões de Banco de dados (mysql, mssql, postgress) WebServices (tomcat, IIS, Apache);
  • É importante realizar auditorias externas a sua empresa;
  • Contratação de uma consultoria.

10. DNS seguro

  • Você pode usar servidores de DNS terceiros para auxiliar nos acessos como umbrella da Cisco;
  • Caso você não tenha assinaturas, utilize o encaminhador de DNS com filtros de malware do cloudflare “1.1.1.3”

 

Recomendações após a infeção do ransomware

Desligue imediatamente seu parque de computadores/servidores e não volte a liga-los.
Contate uma empresa especializada para analise das informações.
É importante que você não ligue novamente um computador criptografado, pois isso pode salvar as informações de uma banco de dados ou evitar de propagar o vírus para outras máquinas.

Conclusão

A criptografia de dados por ransomware pode indisponibilizar suas informações definitivamente, portanto para minimizar  esse tipo de ameaça adote pelo menos as medidas preventivas listadas neste artigo. Uma vez contaminado é muito difícil reverter e recuperar-se a menos que você tenha um backup com politicas eficientes.

 

Adentro

Você deve conhecer a Adentro, pois essa empresa pode te ajudar a adotar medidas para previnir um ataques de ransomware. Quer saber mais a respeito? clique aqui e tire suas dúvidas em contato conosco.  Temos diversos planos para atender as necessidades conforme o a necessidade do seu negócio.

Gostou desse artigo? Compartilhe-o!
Caso tenha dúvidas ou interesse em sugerir a elaboração de novos conteúdos específicos, comente logo abaixo.

 

 

 

 

deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

nino 5 de agosto de 2020

tudo bem? gostei muito do seu site, parabéns pelo conteúdo. 😉



Este site usa cookies para garantir que você obtenha a melhor experiência.

Política de Privacidade
           Associado Abrahosting

Contatos

Métodos de pagamento

               Cartões de crédito