guia-sobre-o-ransomware

Prévia do material em texto

(
GUIA SOBRE O RANSOMWARE
)MAPEAMENTO DO CENÁRIO DE RANSOMWARE
Entendimento do escopo e da sofisticação da ameaça
RESUMO EXECUTIVO
Quando uma ciberameaça tem seu tamanho aumentado em 35 vezes em um ano, todas as organizações deveriam ficar atentas. Isto foi exatamente o que aconteceu com o ransomware: os hacktivistas alvejaram organizações, de diversos setores da indústria, de virtualmente qualquer porte, espalhadas ao redor do mundo.
As abordagens de segurança tradicionais não são suficientes para impedir os ataques de ransomware.
Os modelos avançados que usam firewalls da próxima geração, segurança em camadas e inteligência proativa contra as ameaças são indispensáveis.
Os modelos de ransomware como um serviço e modelos afiliados diminuíram a barreira de entrada para os cibercriminosos. Além disso, as tecnologias monetárias (como o bitcoin) tornam virtualmente impossível o rastreamento dos pagamentos de resgate por parte das autoridades. Com o crescimento exponencial em resgates pagos a hacktivistas de ransomware, a chance de que isto vai continuar, em ritmo acelerado, nos próximos anos é muito grande.
Reconhecendo a crescente ameaça, os bancos estão estocando bitcoins para que os seus clientes
(e eles mesmos) possam pagar rapidamente os cibercriminosos para poderem desbloquear os dados hackeados.
O impacto financeiro nas organizações é muito maior do que o resgate pago aos cibercriminosos.
O tempo de inatividade se traduz em milhares e, muitas vezes, centenas de milhares de dólares em receitas e produtividade perdidas. Organizações de diversos setores podem atestar estas implicações
Introducão
O WannaCry é o ransomware que colocou boa parte do mundo (incluindo o Brasil) em um caos enorme, paralisando grandes órgãos, como o Ministério Público do Estado de São Paulo (MPSP), o TJSP, o INSS e muitos outros, afetando principalmente a Europa no começo do dia. Mas afinal, o que é o WannaCry?
Entretanto, por se tratar de instituições públicas e de infraestrutura antiga, há um tempo de delay muito grande entre uma atualização e outra por parte da equipe, algo que afeta muitos servidores mundiais até agora (maio). Por conta dessa brecha, hospitais, organizações federais e estatais, e muitos outros.
Existe a possibilidade que cibercriminosos tenham utilizado a ferramenta de vigilância da NSA, vazada alguns meses atrás, para desenvolver um trabalho no WannaCry, de acordo com rumores na internet.
A ideia é que os preços cobrados pelos “resgates” sejam relativamente baixos para que a as empresas não tenham dores de cabeça. Por conta disso, o ransomware segue automaticamente procurando computadores vulneráveis que tenham o Windows Server 2003 sem o último patch. Na quantidade, os responsáveis (que ainda não se sabe quem são, mas se suspeita que venha da China).
 A história do ransomware
Os primeiros casos foram denunciados na Rússia, em 2005. Entretanto, desde então, os golpes se espalharam pelo mundo, e os novos tipos ainda conseguem atingir suas vítimas. Em setembro de 2013, o CryptoLocker surgiu e atingiu todas as versões do Windows! Ele conseguiu infectar centenas de milhares de computadores pessoais e sistemas corporativos. As vítimas, desavisadas, abriam e-mails que pareciam ser de serviços de atendimento ao cliente da FedEx, UPS, DHS e outras empresas. Quando ativado, o contador do malware na tela exigia o pagamento médio de US$ 300 em 72 horas. Algumas versões afetaram arquivos locais e mídias removíveis. A Equipe de Resposta a Emergências de Computação dos Estados Unidos (United States Computer Emergency Response Team) alertou que o malware conseguia passar de uma máquina a outra e pediu que os usuários de computadores infectados desconectassem imediatamente as máquinas infectadas de suas redes.
Os especialistas em segurança da Kaspersky conseguiram descriptografar os dados sequestrados, mas admitem que isso nem sempre é possível, pois a criptografia é muito forte, como no caso do CryptoLocker. É imprescindível que usuários particulares e empresas façam o backup regular de seus computadores para evitar perder dados importantes.
 
 O que é o mega ciberataque, o que fazer e reflexões sobre liberdade e segurança na rede
Ransomware são uma modalidade de malware que criptografa arquivos na máquina atacada e pede um resgate, normalmente usando uma criptomoeda como bitcoin, para descriptografar e devolver os arquivos. Um “sequestro virtual” dos arquivos.
.
2
PCV INFORMATICA
GUIA SOBRE O RANSOMWARE: MAPEAMENTO DO CENÁRIO DE RANSOMWARE
 (
O ransomware infectou de 
30.000
a 
50.000 
dispositivos por mês
US$ 850
 
milhões
foram gastos em função dos 
 
ataques
de ransomware 
em 2016
O ransomware é subnotificado.
Menos de 
1 em 4 
relatam o ataque
63% 
das organizações sofreram tempo de inatividade 
que ameaçou
os negócios
34% 
das empresas perderam dinheiro
)ESCOPO DA AMEAÇA
Atualmente, os dados são o coração da maioria das organizações, desde os pequenos negócios até as grandes empresas. A digitalização de cada vez mais ativos das empresas, além da crescente importância da nuvem, coloca os dados na mira dos cibercriminosos. Isto está se tornando um problema muito maior, hoje em dia, com os dados crescendo a uma taxa de mais do que o dobro a cada dois anos.1
Reconhecendo o valor dos dados, os cibercriminosos estão recorrendo cada vez mais ao ransomware como meio de monetização. Eles se infiltram nos sistemas de TI e acessam os dados por meio de diversos hacks, criptografia, bloqueio e exfiltração de arquivos. Incapazes de acessar informações críticas ao seu negócio, as organizações hackeadas são forçadas
a pagar para que as informações sejam liberadas pelos cibercriminosos. A sofisticação de muitos desses esforços evoluiu ao ponto em que os cibercriminosos oferecem às suas vítimas suporte ao cliente, em tempo real, para fazer a remessa do pagamento, bem como para recuperar o acesso aos seus dados e sistemas de TI.
OS ATAQUES DE RANSOMWARE DISPARAM
Qual é a gravidade da ameaça do ransomware? No ano passado, os ataques de ransomware mais do que dobraram.2 Mais de 4.000 ataques de ransomware ocorrem diariamente, infectando uma média de 30.000 a 50.000 dispositivos por mês.3 E o potencial para crescimento adicional é enorme. Mesmo com esta taxa de aumento, atualmente,
o ransomware compreende apenas dois por cento de todos os ataques com malware.4
As repercussões financeiras do ransomware dispararam também. Se considerarmos que, em 2015, um total de US$ 24 milhões foram pagos em resgates, em 2016, esse número disparou para mais de US$ 850 milhões.5 O montante exigido pelos cibercriminosos está seguindo um caminho paralelo: a demanda média para cada ataque saltou de US$ 294,00 em 2015 para US$ 679,00 em 2016.6
Todavia, o maior impacto do ransomware não é o resgate a ser pago. Sessenta e três por cento das organizações que sofreram um ataque de ransomware no ano passado indicam que isto resultou em tempo de inatividade que ameaçou os negócios. Outros 48 por cento relatam que isto resultou na perda de dados ou de hardware. E para as organizações que pagaram
o resgate em troca de serem capazes de recuperar os seus dados (42 por cento admitem que pagaram o resgate), uma em quatro nunca recuperou os dados.7 É por isso que o FBI recomenda que as vítimas não paguem o resgate.
APENAS A PONTA DO ICEBERG
No entanto, estes números provavelmente não são uma representação verdadeira da extensão do problema. Os ataques de ransomware são amplamente subnotificados, com menos do que um em quatro relatados. Mais da metade das empresas admite ter sofrido um ataque
de ransomware em algum momento durante o último ano.8 Trinta e quatro por cento delas perderam dinheiro, e 20 por cento foram obrigadas a fechar a empresa! Quando estes fatos são levados em conta, o impacto financeiro é alarmante. Mas a situação fica ainda pior:
3,5 por cento indicaram que vidas foram colocadas em risco, como resultado dos efeitos do ataque de ransomware.9
Para as organizaçõesque pensam que são pequenas demais para serem alvos de ataques de ransomware por cibercriminosos, é melhor repensar! As pequenas empresas, geralmente, por não terem um especialista de TI interno dedicado ou por gerenciarem os sistemas de TI sem os controles necessários, não estão imunes aos ataques de ransomware. Na verdade,
operando sem as proteções de dados adequadas, implementadas para defender-se, preparar- se e recuperar-se de ataques de ransomware, estas empresas estão se tornando rapidamente um alvo principal para ataques de ransomware por cibercriminosos. Um relatório recente concluiu que o tempo de inatividade devido a ataques de ransomware custa às pequenas empresas, aproximadamente, US$ 8.500,00 por hora, resultando em perdas acima de
US$ 75 bilhões por ano.10
 (
2
)
GUIA SOBRE O RANSOMWARE: MAPEAMENTO DO CENÁRIO DE RANSOMWARE
 (
IMPACTOS DO RANSOMWARE SOBRE OS NEGÓCIOS
O custo em tempo de inatividade do sistema e a incapacidade de acessar informações devido a ataques de ransomware equivale, hoje em dia, a bilhões de dólares, um número que pode aumentar para dezenas de bilhões, à medida que os hacktivistas perseguem dispositivos IoT.
DOXXING
Os cibercriminosos são um grupo inovador. Em vez de ameaçar excluir os dados bloqueados, alguns cibercriminosos começaram a ameaçar a publicar os dados (o que também é conhecido como “doxxing”). Para as organizações que lidam com dados privados
e
 
sensíveis
 
de
 
clientes,
 
como
 
serviços
 
financeiros,
 
hospitais,
 
escritórios
 
de
 
advocacia
 
e
 
outros,
 
isto
 
pode
 
ter
 
consequências
 
nefastas. Além do impacto na reputação da marca, regulamentos como a Health Information Portability and Accountability Act (Lei de Responsabilidade e Portabilidade de Informações sobre a Saúde) exigem notificações aos clientes e outras atividades trabalhosas que podem rapidamente chegar a centenas de milhares, ou até mesmo milhões, de
 
dólares.
ARMAZENAR BITCOINS PARA UM DIA DE “RESGATE”
O impacto do ransomware vai além das organizações que são hackeadas. Se considerarmos o exemplo dos serviços bancários.
Uma vez que o impacto potencial resultante de dados perdidos ou a incapacidade de acessar os dados são medidos em minutos ou até mesmo em segundos, as empresas não podem esperar vários dias para que os cibercriminosos lhes concedam acesso aos
 
dados 
hackeados. Portanto, os bancos estão armazenando bitcoins, já que leva de três a cinco dias para tê-los em estoque, de modo que os seus clientes possam pagar os cibercriminosos
 
imediatamente
.
11
)
COMO O RANSOMWARE OCORRE
DISTRIBUIÇÃO DO RANSOMWARE
Como é que o ransomware acontece? Vamos começar abordando como é distribuído. Qualquer meio digital pode ser usado: e-mail, anexos de site da Web, aplicativos de negócios, mídias sociais e unidades USB, entre outros mecanismos de entrega digitais. Os e-mails continuam sendo o principal vetor de entrega, sendo que os cibercriminosos preferem usar links em primeiro lugar e anexos, em segundo.
· Links de e-mail, 31%
· Anexos de e-mail, 28%
· 
Anexos de site da Web, 24%
· Fontes desconhecidas, 9%
· 
Mídias sociais, 4%
· Aplicativos de negócios, 1%
 (
GUIA
 
SOBRE
 
O
 
RANSOMWARE:
 
MAPEAMENTO
 
DO
 
CENÁRIO
 
DE
 
RANSOMWARE
)
No caso dos e-mails, são enviados e-mails de phishing, como notificações de entrega ou solicitações falsas de atualização de software. Quando o usuário clica no link ou no anexo, geralmente há (mas em menor frequência, recentemente), um download transparente de componentes maliciosos adicionais que, em seguida, criptografam os arquivos com criptografia de chave privada RSA de 2.048 bits, tornando quase impossível para o usuário descriptografar os arquivos. Em outras ocasiões, o ransomware é incorporado como um arquivo em um site da Web, o qual, quando baixado e instalado, ativa o ataque.
DIFERENTES TIPOS DE RANSOMWARE
Os ataques de ransomware vêm em diferentes formas. No último ano, ocorreu uma evolução substancial em ataques de ransomware.
O ransomware tradicional persegue os seus dados, bloqueando arquivos até que o resgate seja pago. Mas, com o rápido crescimento de dispositivos da Internet das Coisas (IoT), surgiu uma nova linhagem de ransomware. Ela não persegue os dados de uma organização, em vez disso, ela objetiva o controle de sistemas (por exemplo, de veículos, de linhas de montagem de fabricação, de sistemas de energia) e os desliga até que o resgate seja pago.
Observemos rapidamente alguns dos principais tipos de ransomware que existem atualmente:
· Ransomware disponível no mercado. Alguns tipos de ransomware existem como um software pronto para o uso que podem ser adquiridos pelos cibercriminosos em mercados darknet e instalados em seus próprios servidores abomináveis. O hackeamento e a criptografia de dados e sistemas são gerenciados diretamente pelo software executado no servidor do cibercriminoso. Exemplos de ransomwares prontos para uso incluem o Stampado e o Cerber.
· Ransomware como um serviço. O CryptoLocker talvez seja o modelo de ransomware como um serviço mais conhecido. Como os seus servidores foram removidos, o CTB-Locker surgiu como o método de ataque de ransomware como um serviço mais comum. Outro
ransomware como um serviço que está crescendo rapidamente é o Tox, um kit que os cibercriminosos podem fazer o download. O resultado produz um arquivo executável dedicado que pode ser instalado ou distribuído pelos cibercriminosos, sendo que 20 por cento dos resgates brutos são pagos ao Tox em bitcoins.
· Programas afiliados ao ransomware. Os cibercriminosos que se registram como afiliados obtêm acesso a um modelo de ransomware como serviço e podem distribuí-lo à sua própria seleção de alvos, muitas vezes acumulando lucros de até 70 por cento.12
GUIA SOBRE O RANSOMWARE: MAPEAMENTO DO CENÁRIO DE RANSOMWARE
· Ataques a dispositivos IoT. O ransomware se infiltra em dispositivos IoT que controlam os sistemas críticos de uma empresa. Ele desliga esses sistemas até que um resgate seja pago para desbloqueá-los. Uma vez que alguns destes dispositivos IoT controlam sistemas críticos e vitais, os danos resultantes do não desbloqueio destes em tempo hábil podem ser substanciais ou até mesmo catastróficos.13
As famílias e variantes de ransomware explodiram em 2016, multiplicando-se por dez. O FortiGuard Labs detectou diversas variantes novas, todos os dias, durante o ano de
2016. É interessante notar que, além do código polimórfico, o ransomware muitas vezes usa o código metamórfico para mudar a sua identidade digital, enquanto opera do mesmo modo. Este crescimento rápido e esta evolução constante tornam ainda mais difícil para as organizações que contam com soluções tradicionais de antivírus baseadas em assinatura
acompanharem o ritmo. No momento em que uma linhagem é identificada e colocada na lista negra, os cibercriminosos já mudaram para uma nova versão. Por isso, faz sentido que quase três quartos das organizações que sofreram ataques de ransomware em 2016 tenham sofrido uma ou mais infecções.14
Virtualmente qualquer sistema operacional é visado pelo ransomware atualmente. Os ataques também se estendem à nuvem e a dispositivos móveis. Por exemplo, os ataques de ransomware ao Android mais do que quadruplicaram ao longo de um ano, iniciando-se em abril de 2015.15
FLUXO DE TRABALHO TÍPICO DO RANSOMWARE
Como a maior parte dos ataques de ransomware ocorre via spear phishing (pesca submarina), em que um e-mail, supostamente de um indivíduo ou de uma empresa conhecidos, é dirigido a um indivíduo. Historicamente, a entrega do ransomware vem usando predominantemente o spear phishing. Nesses casos, o e-mail inclui um link ou anexo infectado. Estes links ou anexos de e-mail são facilmente trocados, habilitando os cibercriminosos a preparar novos sites a granel ou anexos limitados a um simples código para download de componentes adicionais em uma ocasião posterior, habilitando-os a desviar-se de filtros de e-mail e aterrissar na caixa de entrada do usuário final.
Em outras ocasiões, um usuáriovisita um site da Web ou um aplicativo comercial infectado, a partir do qual o ransomware é lançado. Muitas vezes, o ransomware é configurado para ser lançado e fazer o download da maior carga maliciosa, até mesmo sem que usuário clique em qualquer coisa. Finalmente, em um número crescente de ocasiões, um dispositivo de IoT infectado é usado para controlar — normalmente, para desligar — sistemas críticos para a missão ou a vida.
Presumindo-se que o ransomware seja lançado com sucesso, temos, a seguir, uma sequência de fluxo de trabalho típica:
1. Quando o usuário clica em um link ou em um anexo infectado, o ransomware é lançado por meio de uma PowerShell ou outra extensão.
2. O dispositivo infectado comunica-se com o servidor dos cibercriminosos (muitas vezes através de um meio indireto como o Google Apps) para obter instruções. Isto, muitas vezes, inclui o download de novas cargas, que subsequentemente irão criptografar arquivos no dispositivo do indivíduo.
3. Quando isto estiver concluído (às vezes, em questão de menos de um minuto), uma notificação de resgate é entregue com uma solicitação de bitcoins em troca de uma chave de descriptografia.
4. Ao mesmo tempo, o ransomware busca mover-se lateralmente em toda a rede da empresa para infiltrar-se em outros sistemas.
Uma estratégia recente dos hacktivistas de ransomware é visar e comprometer servidores comerciais vulneráveis.18 Isto os habilita a identificar e visar hosts, multiplicando o número de potenciais servidores e dispositivos infectados em uma rede. Isto comprime o intervalo de tempo do ataque, tornando o ataque mais viral do que aqueles que começam com um usuário final. Esta evolução pode traduzir-se no fato de as vítimas pagarem mais pelas chaves de descriptografia e em um alongamento do tempo para recuperar os dados criptografados.
INFECÇÕES BASEADAS EM SAAS
Quando solicitados a indicar que aplicativos baseados em SaaS haviam visto ser infectados por ransomware, os profissionais de TI em uma pesquisa recente indicam:
· Dropbox, 70%
· Microsoft Office 365, 29%
· Google Apps, 12%
· Box, 6%
· Salesforce, 3%
EVOLUÇÃO DO RANSOMWARE16
Principais famílias do ransomware em 2016
1. Locky
2. CryptoWall
3. CryptXXX
4. Bitman
5. Onion (CTB-Locker)
Principais famílias do ransomware em 2015
1. CryptoWall
2. Blocker
3. Onion (CTB-Locker)
4. Snocry
5. Bitman
97% dos
e-mails com phishing agora
entregam ransomware.17
SEM IMUNIDADE
As organizações que acreditam que estão imunes a um ataque de ransomware porque têm todas as medidas de segurança básica instaladas precisam repensar a situação. Em uma pesquisa junto a provedores de soluções hospedadas, a maioria tinha uma camada básica de defesa e segurança instalada.19
· Software de antivírus e antimalware, 93%
· Filtros de e-mail e de spam, 77%
· Aplicativos “patched”/atualizados, 58%
· Bloqueadores de anúncios e pop-ups, 21%
TORNAR-SE VIRAL
O ransomware é viral, disseminando-se por redes em 63 por cento do tempo. Nas ocasiões restantes, ele permanece isolado em um sistema único.20
5
 (
GUIA
 
SOBRE
 
O
 
RANSOMWARE:
 
MAPEAMENTO
 
DO
 
CENÁRIO
 
DE
 
RANSOMWARE
)
ATAQUES NA VIDA REAL
Quase todos os setores e tamanhos de organizações são afetados pelo ransomware. As empresas de manufatura estão no topo da lista quando se trata de percentuais de ransomware total por setor (16 por cento). Os setores de serviços públicos e de energia encontram-se logo a seguir, em segundo lugar (15,4 por cento), sendo que os setores de tecnologia, serviços profissionais, varejo, cuidados médicos, serviços financeiros e jurídicos têm uma fatia substancial. Vários relatórios identificam o setor de serviços profissionais como uma área onde houve
o crescimento mais rápido em ataques de ransomware.
A seguir, temos um exame das implicações que o ransomware está tendo em alguns desses segmentos líderes do setor. O exame mostrará exemplos específicos em que empresas foram hackeadas e não só pagaram o preço do resgate mas sofreram grave impacto financeiro e operacional.
CUIDADOS MÉDICOS
O setor de cuidados médicos é um setor em que há muitas causas de preocupação relacionadas ao ransomware.
Isto faz muito sentido, considerando-se que muitos sistemas de TI e dados na área de saúde estão relacionados
a cuidados de pacientes. Qualquer tempo de inatividade do sistema ou a incapacidade de acessar as informações, pode por vidas em risco. Mesmo que o ataque de ransomware não afete o sistema e os dados para os cuidados
do paciente, a perda de registros de pacientes pode incorrer em multas tangíveis e em tempo para remediar o dano.
Por meio da prática de doxxing, uma tática de ransomware empregada pelos cibercriminosos, na qual esses ameaçam a publicar informações privadas em vez de excluí-las, as repercussões são ainda mais graves.
Se somarmos os ataques de ransomware aos dispositivos IoT usados para prover cuidados a pacientes, estas implicações se tornam perigosas para a vida.
Os ataques não vão abrandar no próximo ano; prevê-se que os ataques de ransomware a organizações de cuidados médicos dobrarão no próximo ano. Em comparação com outros segmentos do setor, as informações pessoais sobre saúde são 50 vezes mais valiosas na darknet do que informações financeiras. Os registros de saúde roubados podem angariar até US$ 60,00 por registro.21 São inúmeros exemplos de organizações de cuidados médicos que estão sendo atingidas com o ransomware. Consideremos estes três exemplos:
Os hacktivistas obtiveram acesso a um banco de dados MongoDB que continha informações protegidas sobre saúde de 200.000 pacientes do Emery Brain Health Center. O banco de dados foi varrido e substituído por um pedido de resgate de US$ 180.000,00 em bitcoins para sua devolução segura.
 (
9
)
GUIA SOBRE O RANSOMWARE: MAPEAMENTO DO CENÁRIO DE RANSOMWARE
O Hollywood Presbyterian Medical Center em Hollywood, na Califórnia, declarou um estado de emergência interno após seus sistemas serem infectados com o ransomware Locky. Os médicos e outros profissionais da saúde tiveram seus acessos aos registros médicos bloqueados, forçando a equipe a usar caneta e papel para registrar os dados dos pacientes e fax (em vez de e-mails) para se comunicarem uns com os outros. O hacktivista exigiu,
e o hospital pagou, 40 bitcoins (ou aproximadamente US$ 17.000,00) em troca de uma chave para descriptografar os arquivos bloqueados.
Mas, os cibercriminosos nem sempre concedem às vítimas o acesso às suas informações. No caso do Kansas Heart Hospital em Wichita, Kansas, o hospital pagou o resgate inicial, mas os hacktivistas não desbloquearam completamente os arquivos e exigiram mais dinheiro para fazê-lo. E foi nesse momento que o hospital se recusou a pagar o resgate adicional.
SERVIÇOS PÚBLICOS E ENERGIA
Os setores de serviços públicos e de energia sofrem tantos ciberataques quanto qualquer outro setor. Os sistemas de controle industrial (ICS) usados para gerenciar e operar a infraestrutura crítica para os as empresas de serviços públicos e de energia representam novas oportunidades para os cibercriminosos — e isto inclui os hacktivistas
de ransomware.
Felizmente, no caso do Lansing Board of Water & Light que atende a cidade de Lansing, no Michigan, o seu ICS não foi afetado por um ataque de ransomware de spear phishing que forçou a organização de serviços públicos a desligar o seu servidor de computadores e suas linhas telefônicas por uma semana. Provavelmente o resultado do fato de um dos funcionários abrir um e-mail que continha um arquivo infectado, o ransomware rapidamente bloqueou a organização de serviços públicos do acesso aos seus e-mails, ao sistema contábil, às impressoras
e a outras tecnologias. Somente após uma semana de trabalhos de correção, a organização conseguiu colocar seus sistemas de volta online.
MANUFATURA
A manufatura está se tornando rapidamente um alvo de grande valor para os hacktivistas de ransomware.
Os fabricantes correm um maior risco do que outros segmentos do setor, uma vez que não estão submetidos às mesmas restriçõesregulatórias e de conformidade que outros ramos, como o de serviços financeiros.
Além dos sistemas de TI que contêm propriedade intelectual e informações patenteadas, os fabricantes dão destaque a processos e operações eficientes. Uma interrupção pode incorrer em tempo de inatividade, o que se traduz em menos rentabilidade financeira. Tempo é dinheiro para um fabricante. Assim, os fabricantes podem ver um maior valor em pagar um resgate para colocar seus sistemas em funcionamento o mais rápido possível.
No ano passado, dos 8,63 milhões de ataques de ransomware a fabricantes registrados, mais de três quartos foram a fabricantes com 1.000 funcionários ou mais. O botnet Necurs foi o veículo de entrega de ransomware mais proeminente na fabricação, compreendendo 41 por cento de todos os ataques. O Conficker está em um distante segundo lugar, com 17,7 por cento.23
Um fabricante de concreto sofreu com um tempo de inatividade de mais de uma semana, depois que um dos seus funcionários clicou em um anexo de e-mail infectado com o ransomware CryptoWall. Ele se propagou pela rede da empresa e criptografou os dados contábeis e arquivos críticos para vários sistemas produtivos. Ele foi descoberto no início do expediente, quando um trabalhador não conseguiu acessar os arquivos de produção para iniciar a fabricação. Mesmo mediante o pagamento do resgate, depois de dois dias, alguns dos seus arquivos contábeis não foram desbloqueados. Sem backups desses dados, a empresa precisou empreender um demorado projeto de recuperação do sistema contábil.
EDUCAÇÃO
As manchetes dos noticiários sobre ataques de ransomware tipicamente focam em violações nos setores de cuidados médicos, serviços financeiros e outros. Mas o setor de educação está em um dos primeiros lugares na lista de organizações que são visadas com o ransomware. Por quê? As instituições educacionais possuem números de seguridade social, registros médicos, dados financeiros e de propriedade intelectual do corpo docente, da equipe e dos estudantes, tornando-as alvos lucrativos. Somemos o fato de que a prontidão para a segurança cibernética está entre as últimas entre os segmentos setoriais para escolas de ensino fundamental e médio e escolas pós-secundárias, faz todo o sentido que os cibercriminosos as estejam visando.
A Universidade de Calgary sofreu um ataque de ransomware que bloqueou o servidor de e-mails. A universidade pagou um resgate de US$ 16.000,00 em troca de uma chave para desbloquear os arquivos criptografados do servidor. Felizmente a equipe de TI isolou a infiltração antes que outros sistemas fossem afetados.
GUIA SOBRE O RANSOMWARE: MAPEAMENTO DO CENÁRIO DE RANSOMWARE
A Los Angeles Valley College pagou aproximadamente US$ 28.000,00 em bitcoins depois que um ataque de ransomware atacou centenas de milhares de arquivos na sua rede de computadores e os sistemas de e-mail e a caixa postal. A infecção foi identificada em 30 de dezembro de 2016 e a universidade optou por pagar
o resgate em 4 de janeiro de 2017, um dia depois de iniciar as aulas do semestre de inverno.
O ransomware na educação é um problema global. A Queen’s University, em Belfast, Irlanda, o sabe. Três ataques de ransomware infiltraram-se com sucesso em sua rede no ano passado. Em uma ocasião, a Queen’s University pagou um resgate de aproximadamente US$ 600,00 depois que os hacktivistas infectarem um servidor de Windows XP, contendo documentos e imagens.
 (
 
 
 
 
 
 
 
)SERVIÇOS FINANCEIROS E BANCÁRIOS
O volume de informações que o setor de serviços financeiros e bancários armazena sobre seus clientes o torna o principal alvo para ataques de ransomware. As empresas de serviços financeiros e bancários concordam. Para 55 por cento o ransomware é listado como o maior vetor de ameaça de ataques cibernéticos. Quase um terço delas também diz que perderam entre US$ 100.000,00 e US$ 500.000,00 devido a ataques de ransomware.24
As cooperativas de crédito e os pequenos bancos estão assistindo a saltos significativos no hacktivismo de ransomware. Elas sofreram 54 por cento do total de incidentes em serviços financeiros e bancários em 2015, em comparação com 81 por cento em 2016.25 Isto é, em grande medida, devido ao fato de que elas tradicionalmente têm orçamentos de segurança cibernética menores do que seus concorrentes maiores.
GOVERNO
Quase 10 por cento das organizações que sofreram o impacto de um ataque de ransomware estão no setor público. Contendo informações críticas nos seus sistemas, as agências governamentais oferecem ao cibercriminosos um alvo atraente.
No ano passado, o estado de Ohio emitiu um aviso às municipalidades locais, observando que os ataques de ransomware estão em aumento acentuado e que as municipalidades locais precisam atentar para essas ameaças instituindo as tecnologias e os processos corretos.
Múltiplas municipalidades locais de Ohio foram atingidas com ransomware durante o último ano. Mais de
170.000 registros eleitorais no condado de Henry foram comprometidos, sendo que os hacktivistas ameaçaram publicá-los a não ser que fosse pago um resgate. Nenhum resgate foi pago e os registros ainda não foram publicados até esta data.
Os sistemas de computadores para o tribunal do condado de Morrow, em Ohio foram infectados por ransomware. O condado optou por não pagar o resgate em bitcoins e os arquivos foram destruídos pelos cibercriminosos.
Infelizmente, os sistemas de backup do sistema do tribunal não estavam atualizados e o condado de Morrow possuía apenas arquivos em cópia física para backup. Restaurar os arquivos a partir das cópias físicas custou ao condado mais de US$ 30.000,00 em custos com funcionários.
Os cibercriminosos estão até mesmo visando organizações policiais. Os sistemas de computador usados pelo escritório do xerife do condado de Lincoln no Maine foram infectados por ransomware. Depois de tentar várias vezes recuperar as informações, a agência policial optou por pagar aproximadamente US$ 300,00 em bitcoins ao hacktivista pelas informações.
 (
GUIA
 
SOBRE
 
O
 
RANSOMWARE:
 
MAPEAMENTO
 
DO
 
CENÁRIO
 
DE
 
RANSOMWARE
)
 LIÇÕES APRENDIDAS
Com os cibercriminosos obtendo um aumento de trinta e cinco vezes em seus rendimentos resultantes dos ataques de ransomware em 2016, a frequência e a sofisticação dos ataques vai muito seguramente aumentar em velocidade e escopo. Seria bom se as organizações prestassem atenção às seguintes lições aprendidas, à medida que o ransomware evolui e sofre mutações, tornando-se uma ameaça sempre crescente às organizações de virtualmente qualquer formato e tamanho:
1. Parar ameaças conhecidas. Buscar uma solução de segurança cibernética que pare as ameaças de ransomware conhecidas em todos os vetores de ataque. Isto requer um modelo de segurança em camadas que inclua a rede, o endpoint, o aplicativo e os controles do centro de dados, movido à inteligência de ameaça global proativa.
2. Detectar novas ameaças. Uma vez que os ransomware estão em constante transformação e novos estão sendo lançados, é importante instituir a área restrita correta e outras técnicas de detecção avançadas para apontar as variantes em todos aqueles mesmos vetores.
3. Mitigar o invisível. A inteligência acionável em tempo real deve ser compartilhada entre as diferentes camadas de segurança (e, em geral, produtos de fornecedores) e até mesmo estendida à comunidade de segurança cibernética mais ampla fora da sua organização, como Computer Emergency Response Teams (CERTs), Information Sharing and Analysis Centers (ISACs) e coalizões industriais como a Cyber Threat Alliance. Este compartilhamento rápido é a melhor maneira de responder rapidamente a ataques e romper a cadeia de abate antes que esta sofra uma mutação ou se espalhe para outros sistemas ou organizações.
4. Preparar-se para o inesperado. A segmentação da segurança de redes ajuda a proteger contra o comportamento semelhante ao de worm do ransomware, como aquele do SamSam e ZCryptor. O backup e a recuperação de dados têm a mesma importância.As organizações que têm backups de dados recentes são capazes de rejeitar exigências de resgate e de recuperar seus sistemas de forma rápida e fácil.
5. Fazer backup de sistemas e dados críticos. Embora possa ser um processo moroso restaurar e criptografar um sistema, bem como uma interrupção das operações comerciais e uma diminuição da produtividade, a restauração de um backup é uma opção muito melhor do que tornar-se refém sem garantia de que o seu pagamento do resgate resulte no desbloqueio e na restauração dos seus dados e sistemas. Neste caso, você precisa da tecnologia, dos processos e até mesmo do parceiro comercial corretos para garantir que seus backups de dados atendam aos requisitos da empresa e que sua recuperação possa ser feita rapidamente.
GUIA SOBRE O RANSOMWARE: MAPEAMENTO DO CENÁRIO DE RANSOMWARE
1 “The Digital Universe of Opportunities: Rich Data and the Increasing Value of the Internet of Things,” IDC, abril de 2014.
2 “Non-Malware Attacks and Ransomware Take Center Stage in 2016,” Carbon Black Threat Report, 2016. 3 Minal Khatri, “Ransomware Statistics – Growth of Ransomware in 2016,” Systweak, 25 de agosto de 2016. 4 “Non-Malware Attacks.”
5 Ibid.
6 Khatri, “Ransomware Statistics.”
7 “State of the Channel Ransomware Report 2016,” Datto, 2016.
8 Angela Moscaritolo, “Ransomware Hit 40 Percent of Businesses in the Last Year,” PC Magazine, 3 de agosto de 2016.
9 Ibid.
10 “Non-Malware Attacks.”
11 Adam Chandler, “How Ransomware Became a Billion-Dollar Nightmare for Businesses,” The Atlantic, 3 de setembro de 2016.
12 Vincent Weafer, “Franchising Ransomware,” DARKReading.com, 1 de julho de 2015.
13 Ben Dickson, “What Makes IoT Ransomware a Different and More Dangerous Threat?” TechCrunch, 2 de outubro de 2016.
14 “The Complete Guide to Ransomware,” Barkly, acessado em 30 de janeiro de 2017.
15 “Khatri, “Ransomware Statistics.”
16 “Non-Malware Attacks.”
17 “2016 Q3 Malware Review,” PhishMe, outubro de 2016.
18 “Ransomware Getting More Targeted, Expensive,” KrebonSecurity.com, 20 de setembro de 2016.
19 “State of the Channel Ransomware Report.”
20 Ibid.
21 Jennifer Schlesinger, “Dark Web Is Fertile Ground for Stolen Medical Records,” CNBC, 11 de março de 2016.
22 Erin Dietsche, “12 Healthcare Ransomware Attacks of 2016,” Health IT & CIO Review, 29 de dezembro de 2016.
23 Bill McGee, “Move Over Healthcare, Ransomware Has Manufacturing in Its Sights,” Fortinet Blog, 6 de junho de 2016.
24 G. Mark Hardy, “From the Trenches: 2016 Survey on Security and Risk in the Financial Sector,” SANS Institute, outubro de 2016.
25 “Cyber Attacks on Financial Firms Up; Ransomware Attacks Way Up,” Insurance Journal, 22 de julho de 2016.
10