Ransomware – A ameaça que nunca sai da moda!
Para quem não conhece, Ransomware é uma ameaça que utiliza de um recurso muito valioso para quem trabalha com dados importantes, a criptografia, mas antes de falar do Ransomware em si, preciso falar sobre o que é a Criptografia.
A Criptografia é um método utilizado para proteger seus dados por meio de uma senha de acesso, tornando exclusiva a capacidade de interpretação das informações que você deseja proteger. Esta senha está protegendo o arquivo que contém as informações e que ao mesmo tempo está todo “embaralhado”, sendo possível lê-lo, mas não interpreta-lo.
Já o Ransomware é uma ameaça baseada em sequestro de dados, ele usa criptografia para tornar todos os arquivos do usuário infectado, inacessíveis ao mesmo. Neste caso, o responsável pelo ataque é quem possui a senha dos arquivos criptografados. Quem cria o Ransomware faz de tudo para que ele seja disseminado em vários ambientes da forma mais rápida possível, por isso são utilizadas várias técnicas, como Phishing, Fake AV, Fake Web, Whalling, BackDoor, etc.
Só neste ano (2019), de todos os ataques que ocorreram na América Latina, 92,31% foram direcionados para o Brasil, sendo que em segundo lugar ficou a Costa Rica com aproximadamente 4%, ou seja, quando se trata de América Latina, nosso território é o principal alvo foco dos Hackers.
Então como evitar este visitante inconveniente no ambiente corporativo ou pessoal?
Seja cauteloso, cada e-mail que você recebe precisa ser analisado cuidadosamente. Verifique por exemplo, se a assinatura eletrônica do remetente está correta no e-mail, ou se você fez mesmo a compra indicada no e-mail.
Para sites de bancos, a forma mais simples de identificar se o site é realmente seguro é verificando se tem o ícone de um cadeado ao lado da URL (campo onde está digitado o endereço do site).
Neste artigo coloco apenas algumas informações sobre estas ameaças que desde sempre causam dores de cabeça, a melhor forma de evita-las, ou melhor, de se prevenir contra elas é garantir:
- Que todos os softwares estejam atualizados;
- Uma boa ferramenta de proteção para as estações de trabalho;
- Políticas de segurança de ambiente;
- Instrução contínua para usuários (como evitar a infecção);
- Pessoas capacitadas da área de segurança da informação.
Fui infectado pelo Ransomware e agora?
Caso você tenha sido uma das vítimas desta ameaça, as notícias não são nada boas, o que posso te adiantar é que sua política interna e instrução sobre ameaças no ambiente corporativo estão precisando ser melhoradas, isto porque o Ransomware só tem ação no ambiente através da interação humana, como por exemplo, quando um e-mail ou site malicioso é aberto.
Após a infecção, para diminuir o impacto ou até mesmo neutralizar a disseminação, o melhor a se fazer é seguir os seguintes passos:
1 – Identificar se a ameaça ainda está no ambiente:
Observe quais arquivos foram criptografados e suas extensões, depois crie um arquivo com a mesma extensão, se for criptografado isso significa que a ameaça ainda está no ambiente.
-
-
- Se a ameaça ainda estiver no ambiente, você poderá identificar as permissões do diretório do arquivo criptografado, assim você saberá de qual estação está vindo a ação de criptografia.
- Se não for criptografado, a ameaça não está mais no ambiente. Só será necessário verificar as permissões do diretório para estimar os possíveis “atacantes”.
-
2 – Verificar quais usuário que estão se queixando da sua estação de trabalho:
-
- Provavelmente algum usuário irá informar que não está conseguindo trabalhar pois os arquivos da sua estação de trabalho não estão acessíveis, isto já pode ser uma dica de quem iniciou o ataque.
- Identifique quais servidores este usuário tem permissão de escrita, e então faça as validações dos servidores afetados com as permissões deste usuário em questão.
3 – Verificar os logs de AUDITORIA dos servidores:
Com a informação de data e hora dos arquivos criptografados, pode ser feita uma validação dos acessos aos servidores no mesmo período. Dessa forma é possível ter uma ideia dos usuários que possivelmente foram comprometidos, para então isola-los do ambiente.
4 – Restaurar arquivos do backup:
Após garantir que a ameaça não está mais no ambiente, é necessário recuperar os arquivos que foram danificados através do último backup realizado antes da infecção, apenas desta forma se tem certeza de que os arquivos estarão íntegros.
Um bom gerenciamento de permissões de diretórios, a conscientização dos colaboradores, e a realização de Backups do ambiente, podem evitar os grandes prejuízos que o Ransomware traz, e criar um ambiente mais confiável para as organizações. É sempre bom ter em mente que é melhor “Prevenir do que Remediar”, esperar a infecção acontecer para então tentar consertar os estragos, trará um desgaste muito maior e prejudicial para a organização.
Sem resposta