* Luiz Eduardo dos Santos
Ransomware é um malware conhecido por possibilitar a extorsão cibernética em troca de ganhos financeiros. Os cibercriminosos costumam esconder os links infectados em e-mails aparentemente normais ou em páginas da web. Uma vez ativado, impede que os usuários interajam com seus arquivos, aplicativos ou sistemas até que um resgate seja pago, usualmente por uma moeda anônima, como o Bitcoin.
O ransomware é uma ameaça cibernética grave e crescente que muitas vezes afeta pessoas comuns e recentemente foi destaque nas manchetes por provocar ataques mais amplos em empresas. O Brasil, por exemplo, ocupa a terceira colocação entre os países com os maiores índices de sequestro de dados, de acordo com pesquisa da PWC realizada em 2015. Já o valor do resgate varia de acordo com as organizações alvo, indo de centenas a milhões de dólares.
Uma vez infectada, a vítima tem poucas opções. Se não pagar o resgate, sofre down time (tempo de inatividade), perda de informações confidenciais ou qualquer outra sanção prevista pelo atacante. E mesmo se pagá-lo, elas permanecem vulneráveis a novos ataques – porque viram que suas táticas de ataque foram bem-sucedidas -, ou podem até ser atacadas por novos cibercriminosos.
Os perigos do ransomware
Ao infectar o sistema da vítima, o malware pode tanto criptografar arquivos críticos como bloquear o acesso do usuário ao seu próprio computador. Em seguida, exibe uma mensagem de resgate que geralmente exige o pagamento em moeda virtual em troca de uma chave criptográfica para descriptografar ou desbloquear os recursos sequestrados. A mensagem também pode conter ameaça de divulgação pública dos dados comprometidos, caso o pagamento não seja realizado.
Como combatê-lo
O ransomware costuma utilizar a web ou o e-mail para chegar ao sistema da vítima, então esses vetores devem ser fortemente monitorados pelas equipes de segurança.
Ataques baseados na web tendem a usar exploits, que têm como alvo as vulnerabilidades do navegador, plataforma ou sistemas; mas também URLs maliciosas ou malvertising (propaganda maliciosa) que podem redirecionar os usuários para sites que hospedam kits de exploit. Já o ransomware baseado em e-mail é adotado para ataques direcionados, e conta com uma variedade de métodos, incluindo phishing, spear sphishing, anexos e URLs maliciosos.
Para a defesa adequada contra o malware, três ações precisam ser adotadas: o processo de infecção deve ser cuidadosamente analisado para determinar o caminho do ataque e as vulnerabilidades do sistema; o código malicioso deve ser analisado para determinar a sua finalidade e sinais de atividade (uma análise baseada em comportamento); o acesso das máquinas infectadas aos servidores de comando e controle (usado para exfiltração de dados ou para baixar malware adicional) deve ser bloqueado.
Esta abordagem defensiva baseia-se na conexão de sinais de aviso em diferentes vetores, frequentemente ignorados por soluções de segurança tradicionais. Soluções de segurança avançadas, como o FireEye Network Security (NX Series), FireEye Email Security (EX Series), ou FireEye Email Threat Prevention Cloud (ETP) impedem que o ransomware tome controle, bloqueando exploit kits, downloads de malware e comunicações de retorno com os servidores de comando e controle. Elas também podem minimizar o impacto global do ransomware, traçando seu caminho de ataque e metodologia, e compartilhando detalhes de ameaças para conter ataques futuros.
Como escolher sua defesa de cibersegurança contra ransomware
Nem todas as defesas de segurança cibernética são iguais. Os provedores de segurança são reconhecidamente diferentes, tanto em ofertas quanto em resultados. Esses são alguns pontos que o fornecedor ideal deve oferecer para proteger contra ameaças de ransomware:
• Proteção em tempo real para impedir ou interferir na ativação do ransomware. Isso é de suma importância, e muito mais fácil de falar do que fazer. Se o usuário recebe um pedido de resgate, os seus dados ou arquivos já foram criptografados e é tarde demais para tentar se prevenir contra qualquer coisa;
• A defesa deve fornecer proteção embutida. No caso de e-mail, deve agir como um agente de transferência de correio (MTA). Isso tem dois propósitos. O primeiro é o de assegurar que todo e-mail é roteado através das defesas próprias. A segunda é reduzir qualquer atraso na detecção de ameaças, o que é um risco em soluções com análise off-line ou soluções out-of-band;
• A defesa deve ser atualizada com inteligência de ameaças acionáveis. Sistemas de segurança com gap de dias ou semanas nas atualizações dão muito mais tempo aos atacantes para alvejar com sucesso sistemas diferentes em sua organização, usando o mesmo ransomware. Inteligência contextual pode fornecer sinais de alerta potenciais sobre ransomware para ajudar a prevenir ataques futuros. Inteligência sobre o atacante e uma compreensão completa de indicadores de intenção pode até mesmo ajudar a prever, a se preparar e bloquear ameaças futuras;
• A defesa deve procurar as ameaças em todos os vetores críticos de ataque. Como os ataques de ransomware usam URLs maliciosas para levar os usuários a malwares, ou dependem de comunicação com um servidor de comando e controle para decidir quando ativá-lo, proteger somente o e-mail não é suficiente. As melhores soluções seguirão ataques multi-estágio em múltiplos vetores para identificar claramente e-mails aparentemente inofensivos que contêm links para sites que hospedam ransomware.
* Luiz Eduardo dos Santos é diretor técnico da FireEye para América Latina
