Setor financeiro na mira do ransomware

De acordo com Ivan Soares, consultor de SI sênior da Arcon, ataques têm se tornado mais comuns nesse segmento e prejuízo pode ser doloroso se não forem tomadas medidas fundamentais de backup e restauração, por exemplo

Compartilhar:

Muito a imprensa noticiou sobre ransomware ao longo de 2016. Sabe-se, no entanto, que a ameaça é bem mais antiga e como podia-se prever, aumentou significativamente desde seu surgimento. Nenhuma empresa ou segmento está imune a ela, que promete ser uma dor de cabeça por muito tempo, mas para o setor financeiro o prejuízo pode ser ainda mais doloroso.

 

No final de 2015 instituições financeiras americanas, como FFIEC e FSSCC, emitiram alertas sobre extorsão cibernética e malware destrutivo. Além disso, há dois anos uma corretora também nos Estados Unidos foi vítima do CryptoWall. Embora, na época, tais incidentes não ganhassem notoriedade, esse ransomware foi uma das três principais ameaças para instituições financeiras nos dois últimos anos, conforme aponta uma pesquisa da Palo Alto Networks.

 

Este malware é mais difícil de ser detectado e prevenido que outros tipos, uma vez que os atacantes mudam rapidamente o endereço de distribuição (normalmente em poucas horas), enganando as defesas da rede. Até é possível rastrear uma máquina infectada quando, em algum lugar na rede, ela criptografa o conteúdo de um drive compartilhado por um departamento inteiro. Mas aí já é tarde, os conteúdos já foram criptografados e mesmo os melhores processos de remediação não são suficientes para salvá-los.

 

Por isso é tão importante estar preparado. Para incidentes pontuais, o procedimento deve considerar: 1) Isolamento da máquina infectada; 2) Restauração, a partir do backup, dos arquivos corrompidos (criptografados) no drive de compartilhamento pelo departamento.

 

Por isso, é fundamental a realização de backups regulares de desktops e notebooks, drives compartilhados e quaisquer outros sistemas de armazenamento. Além disso, a integridade do sistema de backup precisa ser verificada para garantir que não ocorram surpresas quando restaurações forem necessárias. Aliás, essa já deve ser uma prática recorrente dos planos de continuidade de negócio, mas vale a pena ressaltar que backups são essenciais em todas as ações de remediação de ransomware.

 

Como se prevenir para não ser vítima

 

Não existe uma solução mágica para impedir o ransomware – trata-se de reduzir o risco da forma mais efetiva possível, prevenindo e detectando a ameaça. Dessa forma, recomenda-se a adoção de boas práticas e de uma segurança em camadas.

 

 

Pessoas e processos

 

  • Treinamentos – atualizar o programa de conscientização da empresa para orientar os colaboradores sobre a ameaça, o que deve ser observado e para quem relatar qualquer suspeita. Quanto mais direto for o treinamento, melhor será o retorno.

 

  • Teste a prática – vale fazer testes para checar a efetividade do treinamento. Exercícios ajudam a manter os colaboradores atentos aos e-mails de phishing e navegação na internet.

 

  • Backups – algumas organizações não percebem que seus backups foram comprometidos ou configurados incorretamente até que seja necessário utilizá-los. Recomenda-se a execução diária do procedimento e uma periodicidade maior para sistemas críticos. Além disso, as funções de administrador de backup devem ser atribuídas de forma adequada e restrita, usadas com moderação e regularmente auditadas. Por fim, teste seus backups frequentemente para validar se eles podem ser restaurados.

 

  • Atualização de patches em dia – lembre-se que muitos exploits podem danificar suas redes porque eles foram desenvolvidos para esse fim. Por isso, reduza o tempo de aplicação de patches no seu ambiente (software, programas e aplicações).

 

  • Softwares e serviços desnecessários – desativar completamente, se for possível.

 

  • Privilégios dos usuários – aplicar o princípio do menor privilégio para os usuários com permissões em discos compartilhados na rede da organização, a fim de minimizar os impactos de um incidente. Como este processo pode demandar um grande esforço, sugere-se começar nas unidades de rede usadas por departamentos críticos.

 

Tecnologia

 

  • Reforce o controle de acesso em seu data center – dado que este é um ambiente controlado, você pode ser mais restritivo, especialmente durante o ciclo de vida do ataque.

 

  • Digitalize e bloqueie arquivos suspeitos, como executáveis em todos os e-mails recebidos ou sessões de navegação na Internet.

 

  • Evite a entrada de malwares por meio de sistemas de prevenção de intrusão (IPS e firewall) para ameaças conhecidas e análise de sandbox para ameaças de dia zero. Assim você pode parar ameaças desconhecidas (URLs e executáveis) antes de chegar ao ponto final. Sandboxing é a melhor maneira de detectar novas variantes de ransomware.

 

  • Bloqueie o tráfego de saída para URLs ou sites maliciosos, pois este tipo de acesso normalmente faz parte do ciclo de ataque de ransomware. Vale também alertar os usuários com uma página de “continuar” a fim de barrar acessos e downloads automatizados.

 

  • Contenha quaisquer ameaças através da segmentação da rede interna para limitar o movimento lateral.

 

  • Reforce o conceito de proteção em camadas, estabelecendo controles de segurança em: Perímetros de rede, Servidores Web, Servidores de Banco de Dados, Gateway de Email e Web, Endpoints, Dispositivos de conectividade e Dispositivos móveis

 

 

Autoanálise

 

Verifique se as tecnologias atualmente implantadas na sua rede estão sendo utilizadas corretamente. Além disso, inteligência sobre ameaças e gerenciamento proativo também são fundamentais para extrair todos os benefícios do investimento em tais produtos.

 

Encare a ameaça do ransomware como uma oportunidade para rever suas práticas de segurança, independentemente das normas

que utiliza.

 

* Ivan Soares é consultor de Segurança da Informação sênior da Arcon

 

Destaques

Colunas & Blogs

Conteúdos Relacionados

Security Report | Mercado

Hotéis na mira do vazamento de dados

Pesquisa da Symantec revela que sites podem vazar suas informações de reserva, permitindo que outras pessoas vejam os dados pessoais...
Security Report | Mercado

Tendências de segurança em Sistemas de Controle Industriais

Análise categoriza e classifica os riscos mais recorrentes após observação empírica; menos um terço dos riscos críticos e de alta...
Security Report | Mercado

Minsait amplia oferta de inteligência e segurança de redes com a Allot

Aliança entre as empresas tem como foco suprir a demanda do mercado de telecom brasileiro por dados analíticos com foco...
Security Report | Mercado

Boldon James lança solução de classificação de dados

OWA Classifier estende o suporte de classificação de dados do Outlook para o Microsoft Office 365