Contato
Quem Somos
Quero Patrocinar

Ransomware, uma ameaça que deve ser levada a sério

Segundo Adauto de Mello Jr., VP de Vendas da Forcepoint, os autores do ransomware usam técnicas de engenharia social para persuadir os usuários finais a baixar, executar ou acessar o conteúdo malicioso. Finalmente, e depois de ser executado, o ransomware começa a criptografar dados, uma vez que já enumerou todos os controles e procurou os tipos de arquivos-alvo
  • Por: Redação
  • setembro 11, 2017

Compartilhar:

O ransomware é um tipo de software malicioso que ameaça publicar os dados da vítima ou bloquear permanentemente seu acesso, a menos que seja pago um resgate.

 

Por meio de uma notificação, somos informados de que o acesso aos nossos dados ou ao dispositivo está restrito e que nós devemos realizar o pagamento para recuperá-lo. Depois que o pagamento é efetuado, o ransomware nos devolve o acesso às nossas informações ou aos nossos sistemas.

 

Alguns exemplos de ransomware são:

 

SCAREWARE: Exige-se um pagamento valendo-se de ameaças de ação futura com táticas de intimidação. Os arquivos ou sistemas do usuário não são afetados.

 

LOCKERS: Há a promessa de conceder novamente o acesso à tela ou ao sistema do usuário ao mesmo tempo que solicita o pagamento.

 

CRYPTO-RANSOMWARE: Após criptografar os arquivos do usuário, o Crypto-ransomware oferece a chave de descriptografia à vítima em troca de uma retribuição. O Crypto-ransomware pode afetar arquivos locais e arquivos hospedados em redes compartilhadas. Os arquivos criptografados que não podem ser recuperados são transformados em um incidente de “destruição de dados”. O exemplo mais claro e recente é o WannaCry.

 

Como o ransomware funciona?

 

O ransomware é disseminado principalmente por meio de anexos de e-mail (os documentos do Microsoft Office são particularmente populares). Ele também é distribuído com programas infectados ou ao baixar arquivos ocultos de malware (drive-by) de websites comprometidos.

 

Os autores do ransomware usam técnicas de engenharia social para persuadir os usuários finais a baixar, executar ou acessar o conteúdo malicioso. Finalmente, e depois de ser executado, o ransomware começa a criptografar dados, uma vez que já enumerou todos os controles e procurou os tipos de arquivos-alvo.

 

Muitos ataques que envolvem ransomware também são ataques persistentes avançados (APT). Esses ataques são realizados em sete fases:

 

  1. Reconhecimento

 

  1. Chamariz

 

Nessas duas primeiras fases, o foco do invasor é obter informações de inteligência do seu alvo (empresa ou funcionários específicos). Com essas informações, o invasor consegue desenvolver um chamariz com o intuito de obter acesso confiável à rede. O objetivo aqui é fazer o usuário clicar na URL de uma mensagem de e-mail, de uma mensagem pessoal ou de alguma outra forma de link da Web.

 

  1. Redirecionamento

 

O invasor pode enviar uma URL como parte de uma mensagem. Isso pode ser completamente inofensivo e até parecer benigno para a maioria das soluções de segurança instaladas. No entanto, o malware contido na mensagem pode estar a muitos cliques de distância ou pode ter um código oculto que redirecione o usuário automaticamente ao site que contém o malware.

 

  1. Exploração de vulnerabilidade

 

O kit de exploração é uma parte do software suficientemente inteligente para detectar lacunas nas defesas de segurança. Se houver lacunas, ele se dispersará e se instalará. Durante essa etapa, é essencial ter segurança em tempo real. É necessário ter a capacidade de inspecionar o tráfego no momento do clique.

 

  1. Arquivo detonador

 

  1. Alerta ao criminoso cibernético

 

Essas duas fases são etapas adicionais que um invasor pode realizar. O kit de exploração pode conter um arquivo tipo “conta-gotas” que é transferido aos usuários comprometidos depois de obter acesso às informações confidenciais. Ele também pode gerar um aviso ao invasor para que continue recebendo instruções.

 

  1. Roubo de dados

 

Nessa etapa final, o invasor conseguiu atravessar as defesas. Pode se tratar também de um funcionário que tenha sido violado ou que tenha más intenções e que tentará enviar informações confidenciais por meio de diversos canais da Web, de e-mail ou de endpoints. Nesse momento, a organização precisa de uma solução que consiga detectar qualquer tentativa de roubo de dados.

 

Como posso me proteger?

 

É importante contar com tecnologias de segurança para se defender em vetores de ataques relevantes, neste caso, a Web e o e-mail. Além disso, são necessárias ferramentas de monitoramento e de elaboração de relatórios para detectar e derrotar as ameaças recebidas.

 

Também é essencial implementar um programa contínuo de educação para o usuário e de capacitação para alertar a equipe sobre os perigos de acessar páginas da Web não seguras e de abrir e-mails suspeitos ou de phishing.

 

É necessário estabelecer um processo de backup de dados confiável e avaliado (de preferência off-line) em toda a empresa. Isso pode ajudar a recuperar os arquivos sem pagar por um resgate.

 

Deve-se, também, notificar os usuários finais sobre os incidentes de Ransomware e determinar se há pontos fracos na infraestrutura ou processos que possam ser explorados por táticas de Ransomware. O objetivo é eliminar as lacunas de segurança.

 

É indispensável criar e implementar um plano de resposta a incidentes para que você possa reagir diante de um Ransomware.

 

Considere que o pagamento de um resgate para recuperar dados seria mais bem aproveitado se fosse investido em medidas de segurança mais eficazes para evitar incidentes semelhantes no futuro, como educação dos usuários e ambiente seguro de URL e arquivos.

 

Implemente controles nos pontos de saída da rede, tais como:

 

  • Regras de firewall para bloquear o tráfego de comando e controle, assim como neutralizar as técnicas de evasão que podem ser utilizadas para entregar cargas maliciosas.

 

  • Controles avançados de proteção contra ameaças, que incluem um ambiente seguro, para proporcionar uma defesa contra ataques de dia zero e outras técnicas de malware altamente evasivas.

 

  • Soluções de segurança da Web para bloquear destinos desconhecidos (não categorizados) e realizar uma análise em tempo real do conteúdo da Web.

 

  • Soluções de segurança de e-mail para bloquear as ameaças que entram por essa via.

 

Implemente as seguintes medidas de controle em endpoints, principalmente para usuários remotos e em movimento:

 

  • Manter o antivírus e demais soluções de segurança atualizados.

 

  • Usar uma ferramenta para endpoints a fim de bloquear aplicativos maliciosos e impedir a fuga de dados.

 

  • Implementar segurança da Web para endpoints que estão fora da rede.

 

  • Utilizar análise do comportamento dos usuários para identificar e bloquear atividades suspeitas em endpoints importantes, inclusive quando eles estão em funcionamento fora da rede.

 

* Adauto de Mello Jr. é vice-presidente de Vendas América Latina & Caribe da Forcepoint

 

Destaques

Do básico à estratégia: como o CISO transforma incertezas em certezas

Conheça os Finalistas do Prêmio de Líder Security Leaders

Pesquisa alerta para expansão das atividades de ciberguerra da China

Indústria e Educação são setores mais visados por ransomware, diz relatório

O que priorizar na hora de aumentar a proteção de dados?

Apagão Cibernético trouxe novo risco: o parceiro de tecnologia

Colunas & Blogs

Avatar photo
Estamos prontos para o futuro com a IA?
Fabio Correa Xavier
Avatar photo
Brasil: Um terreno fértil para o Cibercrime
Rodrigo Jorge
Avatar photo
Como integrar Cyber Security, Proteção de dados e DevOps?
Luiz Firmino
Avatar photo
O inimigo pode estar onde menos esperamos
Rangel Rodrigues
Avatar photo
Piloto Automático: por que o ser humano é o elo mais fraco em Cybersecurity?
Rui Borges
Avatar photo
Capacitação em Deep Learning e Inteligência Artificial para a Segurança Cibernética
Fabiana Tanaka

Conteúdos Relacionados

Security Report | Overview

Pesquisa alerta para expansão das atividades de ciberguerra da China

A companhia Sophos revelou um amplo ecossistema de grupos de invasores que visam alvos governamentais e infraestruturas críticas
Leia Mais
  • Redação
  • novembro 8, 2024
Security Report | Overview

Indústria e Educação são setores mais visados por ransomware, diz relatório

Estudo da Check Point Research revela tendências de ransomware em setembro de 2024 com o rápido crescimento do RansomHub, o...
Leia Mais
  • Redação
  • novembro 8, 2024
Security Report | Overview

O que priorizar na hora de aumentar a proteção de dados?

Diversos dados mostram como a ameaça aos dados confidenciais das companhias se tornaram um risco para o negócio, visto a...
Leia Mais
  • Redação
  • novembro 8, 2024
Security Report | Overview

Novo golpe de falsa taxa de entrega circula no WhatsApp, alerta estudo

Criminosos utilizam informações sociais verídicas para passar mais credibilidade e aplicar golpes via PIX em vítimas
Leia Mais
  • Redação
  • novembro 7, 2024

Maior portal de Segurança da Informação e Cibernética do Brasil

Linkedin-in Instagram Facebook-f Flickr

Sua marca no único portal de Segurança da Informação e Cyber Security do País

Seja um patrocinador

Inscreva-se na nossa Newsletter

Security Leaders
Próximos Eventos
Eventos realizados
Security Report
TVSecurity
Executive Report
Decision Report
Quem somos
Política de Privacidade
Quero patrocinar
Contato
Home
© 2024 Security Leader. Todos os Direitos Reservados. Agência Unit