DM11 [Seurana a Informação ] · à peculiaridade de sua atuação nos dispositivos tecnológicos. A grande novidade, no entanto, é sua ascensão meteórica, sendo hoje ... com

DM11 [Segurança da Informação]

1


2

ÍND

ICE

3 Sumário Executivo

13 Tipos de Ransomware

18 O Cibercriminoso Brasileiro

26 Ransomware na Legislação Brasileira

6 Timeline

20 Analisando a Geografia dos Usuários Atacados

27 Melhores Práticas para Protegera sua Empresa de Ransomware

9 Como o Ransomware Trabalha

17 Prejuízos no Brasil e a Expectativa para os Próximos Anos

25 Aspectos Jurídicos

31 Conclusão

16 Motivação dos CibercrimesPrejuízos pelo mundo em 2015/2016


3

Ransomware não é algo novo. Ele surgiu em meados de 1989, sua de-nominação originou-se da aglutinação das palavras ransom (resgate) e software (código/programa), ou seja, programa de/para resgate, devido à peculiaridade de sua atuação nos dispositivos tecnológicos.

A grande novidade, no entanto, é sua ascensão meteórica, sendo hoje uma das formas preferidas de ataque dos cibercriminosos, por ser alta-mente lucrativo e praticamente sem possibilidade de rastreamento. Se imagine na seguinte cena: chegando para trabalhar numa manhã qualquer e, ao ligar seu computador, percebe que todas – sim, TODAS – as informações que estavam em seus arquivos ou em sua rede não estão mais disponíveis lá. Em pouco tempo você recebe a comunicação de que seus dados foram sequestrados e, que para a sua liberação, está sendo exigido o pagamento de um resgate. Imaginou? Pronto! Você foi atacado por um ransomware.

Ransomware é um malware, um software malicioso que é secretamente instalado no dispositivo da vítima. Ele bloqueia ou criptografa os dados do usuário e/ou da empresa com o objetivo de extorquir dinheiro. E caso não haja o pagamento do resgate as informações poderão se tornar

Sumário executivo


4

públicas ou inacessíveis por causa da criptografia aplicada. Com o sur-gimento do Bitcoin (moeda usada para o pagamento do resgate), a rastreabilidade destes crimes ficou ainda mais difícil.

É assustador e alarmante o cresci-mento deste tipo de ataque duran-te os últimos anos. Em 2016 foram identificadas e registradas aproxi-madamente 150 famílias de ran-somwares com previsão de atingir 170 famílias neste ano. Ainda para 2017, prevê-se o aumento significa-tivo ao mercado corporativo e ata-ques em dispositivos móveis como

É uma cripto-moeda descentralizada, ou seja, permite a transferência

anônima sem nenhum órgão de regulamentação.

Foi desenvolvida em 2009 por Satoshi Nakamoto.

BITCOIN

smartphones e tablets, e até do avanço para os IoTs - Internet of Things - que traduzimos usualmente para “Internet das Coisas”; qualquer equi-pamento e dispositivo conectados à rede de dados e internet, e quase tudo que possui sensores – carros, máquinas em unidades de produção, equipamentos hospitalares, reatores, perfurações de petróleo, disposi-tivos “wearable” (são produtos que propõem uma integração cada vez maior da tecnologia e o ser humano) e muito mais. Essas “coisas” reúnem e trocam dados diversos, ficando sujeitas a um ataque. A todo momento, criminosos se empenham fortemente em encontrar maneiras cada vez mais sofisticadas de enganar usuários da internet com a finalidade de ganhar dinheiro. E o que vem ganhando cada vez mais destaque no mundo do cibercrime é justamente o ransomware, cujo modo de operação foi exemplificado logo no primeiro parágrafo.

O grande problema deste crime é que o usuário somente se dará conta que foi invadido e roubado quando for impedido de ter acesso aos seus


5

dados. Porém, pagar o resgate exigido nem sempre garante ter todos os seus dados de volta. Empresas e pessoas estão sendo extorquidas a pa-gar altos resgates para a devolução de seus dados pessoais ou corpo-rativos, sem a garantia de que essa restituição será realmente efetivada.

É sobre tudo isso que iremos falar nas próximas páginas. O que é, como o ataque acontece, o que fazer em caso de ataque, e, principalmente, como se proteger.


6

1989

2005

2012

2014

2011

2013

AIDS TrojanInfectou cerca de 20 mil

disquetes distruídos numa conferência sobre Aids.

Criptografava os arquivos de forma simétrica e exigia

resgate no valor de US$ 189

Trojan não nomeadoPrimeiro ransomware a adotar

predominante serviços de pagamentos anônimos

CryptoLockerPrimeiro malware criptográfico

espalhado por meio de downloads em website comprometidos e / ou

na forma de anexos em e-mails

ArchievusPrimeiro ransomware a usar criptografia assimétrica; Criptografava toda a pasta “Meus Documentos”. Para descriptografar arquivos, exigia aos usuários fazer compras online para obter suas senhas

RevetonAlegava ser autoridade legítima da lei e impedindo que os usuários acessassem a máquina infectada, exigindo que uma “multa” fosse paga para restaurar o acesso

CryptoDefenseUsava criptografia embutida do Windows (CryptoAPI), criptografia RSA de 2048 bits e Tor / Bitcoin para manter anonimato

TIMELINE


2014

2014

2015

2015

2016

CryptoWallRansomware novo e melhorado dos

criadores do CryptoDefense.Foi o primeiro a estabelecer

persistência, adicionando chaves de registro e copiando-se para pastas

de inicialização. Arrecadou cerca de US$ 325 milhões

CTB-LockerPrimeiro ransomware a se

comunicar diretamente com um servidor C2 no Tor, bem como

excluir cópias de sombra de volume no Windows

LockerPinPrimeiro ransomware capaz de

redefinir o PIN nos telefones Android; Resgates de, em média, US$ 500

ChimeraPrimeiro ‘doxing’ ransomware:

ameaçava publicar arquivos sensíveis ou privados on-line

7ev3nExigiu o maior resgate até agora: 13 bitcoins; Foi o primeiro a destruir os sistemas Windows se o resgate não

fosse pago

2014

2014

2014

2015

2015

2016

SypengPrimeiro ransomware para Android

KolerConsiderado primeiro ‘Lockerworm’

SimplLockerPrimeiro ransomware “baseado em criptografia” para dispositivos Android. Ele criptografava os arquivos em telefones e simplesmente os bloqueava

TeslaCryptPrimeiro ransomware a permitir resiliência e persistência em máquinas infectadas

LowLevel04Primeiro ransomware a ser executado manualmente por atacantes remotamente em servidores, mapeando sistemas internos e unidades antes de distribuir o ransomware; Excluiam logs de aplicativos, de segurança e do sistema

Ransomware32Primeiro ransomware escrito em JavaScript e a trabalhar emsistemas operacionais incluindo Linux, Windows e MacOS X

7


8

2016

2016

2016

2016

2016

SamSam (SAMAS)Primeiro a segmentar servidores JBoss e incluir um canal para os criminossos se comunicarem em

tempo real com as vítimas através de um site .onion

PetyaEntregue via Dropbox; Executa o

Overwrote Master Boot Record (MBR) em máquinas infectadas

e unidade física criptografada; O resgate duplica se o pagamento não

for recebido em sete dias

JigsawPrimeiro a usar fontes dos filmes “Jogos Mortais” em sua nota de

resgate; Arquivos são apagados a cada 60 minutos se o resgate não for pago; Reiniciar uma máquina já

resultou em 1.000 arquivos excluídos

CyrptXXXAparentemente está conectado à variante Reveton; Tipicamente

observado após infecções Bedep

ZCryptorUm dos primeiros ‘crypto-worms’

que se auto propaga para infectar dispositivos externos e outros

sistemas na rede, enquanto também criptografa cada máquina e unidade

compartilhada

2016

2016

2016

2016

LockySe espalha por de campanhas de phishing agressivas e aproveita a infra-estrutura Dridex; Foi usado para infectar hospitais no Kentucky, Califórnia e Kansas; Iniciou a tendência ransomware-inhealthcare

KeRangerPrimeiro ransomware para MacOS X; Assinado com o certificado de desenvolvimento do MAC, permite ignorar o software de segurança Gatekeeper da Apple

MaktubPrimeiro a usar o Crypter para ocultar e criptografar o código fonte do malware

PowerWareUma nova instância de ransomware que utiliza ferramentas nativas, como o PowerShell em sistemas operacionais; Solicita ao PowerShell, um utilitário principal de sistemas Windows atuais, para fazer o trabalho sujo; Tenta evitar escrever novos arquivos no disco e tenta se misturar com a atividade legítima do computador


9

Como o ransomware trabalha

1

DistribuiçãoOs scammers utilizam métodos de distribuição já bem conhecidos pela maioria da população. São esquemas de phishing para espa-lhar o malware, com o uso de links fraudulentos, anexos de e-mail ou downloads de arquivos que são instalados na máquina do usuário a partir de sites comprometidos. Essas técnicas, apesar de muito

Um ataque deste tipo percorre seis etapas em poucos segundos para atingir seu objetivo:

Recentemente usuários mundiais do Whatsapp se tornaram alvo de um novo golpe envolvendo pesquisas com marcas muito conhecidas. Cibercriminosos enviam vouchers que oferecem produtos grátis em restaurantes ou lojas populares, mas para receber o prêmio é preciso, antes, responder à uma pesquisa. Com a pesquisa completa,

NOVO GOLPE PELO WHATSAPP

conhecidas, são bastante efetivas.Outra plataforma que tem ganha-do destaque na distribuição de ran-somware é o Facebook Messenger. A Check Point, fabricante de equi-pamentos de segurança, desco-briu o Locky, um código malicioso escondido em um JPG. Ao clicar para visualizar o arquivo, entretan-to, uma janela surge para escolher um local para salvar o arquivo. O arquivo salvo no computador tem a extensão .HTA e não .JPG. Sem prestar atenção nesse detalhe, muitos acabam salvando e abrin-do o arquivo, deflagrando o Locky.


10

a vítima recebe uma mensagem informando que seu computador ou dispositivo está infectado com um vírus. A mensagem diz ao usuário que ele precisa ligar para um certo número de telefone ou seu HD será deletado. É nesse momento que o golpe se torna um ransomware, pois os fraudadores exigem o pagamento para a remoção do malware do sistema, porém, ainda que o pagamento seja feito, o sistema continuará a espalhar o vírus para seus contatos do Whatsapp.Tenha atenção ao aceitar novos contatos. Se recebeu uma mensagem com conteúdo suspeito, delete-a e não aceite adicionar aos contatos. Se aceitou o contato, o bloqueie e apague todas as mensagens recebidas dele. Se você completou a pesquisa, procure imediatamente um serviço especializado para remoção do malware.

2InfecçãoO script malicioso chega no computador do usuário e inicia os processos necessários ao ataque. Esta etapa pode variar para incluir técnicas novas e comporta-mentos mais sofisticados. O CryptoWall 3, um dos mais conhecidos, por exemplo, age da seguinte forma:1. Gera um identificador exclusivo para o computador;2. Certifica um “reboot de sobrevivência”;3. Instala um programa ao religar a máquina;4. Desativa cópias e sistemas de reparação e recupera-ção de erro do Windows;5. Desativa programas de defesa;6. Injeta-se no explorer.exe e svchost.exe;7. Recupera o endereço IP externo.

Um em cada quatro destinatários abre mensagens de phishing e, surpreendentemente, um em cada 10 clica em anexos recebidos nessas mensagens.

Fonte: CIO, agosto 2016.


11

3

4

5

6

ComunicaçãoPara obter uma chave públi-ca para criptografar os dados, o malware se conecta com servi-dores de chave de criptografia. O CryptoWall 3, por exemplo, se comunica com um site WordPress comprometido e relata seu sta-tus. Todo o tráfego de servidor de controle é criptografado usando o algoritmo RC4.

Pesquisa de arquivosNesta etapa o ransomware procu-ra sistematicamente por arquivos na máquina, normalmente arqui-vos que sejam importantes para o usuário e que não possam ser facilmente replicados, como os de extensões de jpg, docx, xlsx, pptx, pdf, entre outros.

CriptografiaAqui os arquivos específicos são movidos e renomeados, as in-formações são então “embara-lhadas” e não podem mais ser acessadas sem serem descripto-grafadas.

Pedido de resgateNormalmente um aviso (um pop up) aparece na tela do computa-dor infectado exigindo pagamen-to em Bitcoins. Após o pagamen-to, a chave poderá ser enviada e a máquina desbloqueada.

JPGJPGDOCDOC PPTPPT

JPGJPGDOCDOC PPTPPT

Scammer é a pessoa que envia / desenvolve Scams (Phishing Scams). Enquanto o SPAM geralmente tenta vender algo, o Scam tem como objetivo a obtenção de informações pessoais da vítima.


12

Phishing (“fíchin”) é uma técnica de fraude online, utilizada para roubar e extorquir empresas e usuários. A expressão surgiu a partir da palavra em inglês “fishing”, que significa “pescando”.Uma tentativa de phishing pode acontecer por meio de websites ou e-mails falsos, que imitam a imagem de uma empresa confiável para chamar a atenção das vítimas. Normalmente, os conteúdos dos sites ou e-mails com phishing prometem promoções extravagantes ou solicitam que o internauta faça atualização dos seus dados bancários, evitando o cancelamento da conta, por exemplo.


13

TIPOS DE RANSOMWARE

* Encryption RansomwareO mais temido de todos os ransom-wares, pois ele criptografa todos os dados do computador (documen-tos, vídeos, fotos, músicas, planilhas, etc). Todos os arquivos afetados se tornam inacessíveis e no local pode haver um documento de texto exi-gindo resgate ou ao tentar abrir os arquivos é exibida a mensagem para pagamento e liberação. Esse tipo de Ransomware pode exibir pop-ups (janelas de mensagens) ou não. Para exemplificar houve um caso ocorrido na FedEx, nos EUA, que se tornou um dos mais famo-sos deste tipo e se deu por meio de um arquivo disfarçado de PDF, en-viado via e-mail.


14

* Lock Screen Ransomware — WinLockerBloqueia a tela do computador e exige pagamento do resgate para liberar a máquina.Ele apresenta uma imagem em tela cheia que bloqueia todas as outras janelas.Nenhum arquivo pessoal é cripto-grafado.

* Master Boot Record (MBR) Ransomware

O Master Boot Record (MBR) é a par-te do disco rígido do computador que permite que o sistema opera-cional inicialize. O MBR ransomware altera o MBR do computador para que o processo de inicialização nor-mal seja interrompido solicitando um código para que a questão seja sanada.

* Ransomware encrypting web serversTem como alvo os servidores web com o objetivo de criptografar/se-questrar os dados presentes nestes servidores. Os sistemas de gestão de conteúdo web possuem vulnerabilidades conhecidas que são exploradas frequentemente por ransomwares.


15

* Mobile device ransomware (Android)

Dispositivos móveis (principalmen-te Android) podem ser infectados através de aplicativos falsos que se disfarçam como serviços como o Adobe Flash ou antivírus. Este ran-somware bloqueia a tela e exige pa-gamento para liberação.


16

MOTIVAÇÃO DOS CIBERCRIMESPREJUÍZOS PELO MUNDO EM 2015 / 2016

689 milhões.Este é o número de pessoas afetadas, somente em 2016, por crimes ci-bernéticos, revelado por empresas do mercado em seus relatórios anuais. Os prejuízos chegam a US$125 bilhões mundiais, um “negócio” lucrativo para os crackers. No Brasil, o número de vítimas chegou a cerca de ¼ dos habitantes: 42,4 milhões de vítimas.

Números que assustam e tornaram 2016 “O Ano do Ransomware”, atin-gindo um crescimento de 500% das invasões desse tipo e US$209 mi-lhões pagos somente no primeiro trimestre do ano, de acordo com o site Systweak.

Os números evidenciam que o cibercrime é hoje um dos maiores proble-mas atuais e tende a piorar durantes os próximos anos com os avanços tecnológicos e as novas tendências do mercado. É fácil prever que o nú-mero de alvos será cada vez maior numa sociedade sempre conectada e servidores corporativos ou máquinas com informações sensíveis são os alvos preferidos dos criminosos.


17

A Kaspersky, provedora russa de soluções de segurança, prevê que a América Latina será um dos maiores alvos desse tipo de golpe, sobre-tudo no sequestro de computadores bancários e outras empresas do mercado financeiro, pois, nestes casos, o resgate exigido pode ser maior e ainda exercer mais pressão sobre as vítimas.

PREJUÍZOS NO BRASIL E A EXPECTATIVA PARA OS PRÓXIMOS ANOS

Em pesquisa da KasperskyLab, o Brasil é o país latino americano que atualmente mais sofre ataques ransomware. Aponta ainda algo preocupante: apenas 34% das em-presas nacionais sabe reconhecer esse tipo de ataque. Empresas fi-nanceiras, instituições acadêmicas, agências do governo, indústrias e até hospitais; qualquer organiza-ção é um alvo potencial.


18

Para 2017 a precisão é que campanhas maliciosas que utilizam o ransom-ware aumentem e sofistiquem ainda mais os ataques. Uma nova moda-lidade deve ganhar força: o Ransomware das Coisas (RoT – Ransomware of Things), com ameaças criadas exclusivamente para o sequestro dos dados de dispositivos do dia-a-dia conectados à internet. Um caso emblemático, ocorrido em 2016, envolveu um Centro Médico em Hollywood. Após a infecção, o sistema ficou inoperante e obrigou a instituição a ceder à pressão e pagar o resgate exigido pelos cibercrimi-nosos. O valor, pago em Bitcoins, equivalia a US$ 17 mil. Mas vale destacar aqui que, na maioria dos casos, o pagamento não garante que a empre-sa volte a ter controle sobre as informações ou sistemas sequestrados. Em 2017 os ataques a dispositivos móveis, especialmente Android, devem ganhar força. No último ano foram criadas cerca de 200 variantes de códigos maliciosos para infectar equipamentos deste tipo.

O CIBERCRIMINOSO BRASILEIRO

Basicamente sãodois tipos de perfil:

Desenvolvedores São jovens, na maioria estudantes e adquiriram suas habilidades na es-cola, classificados como “a mente” por trás das invasões. Possuem co-nhecimento prático em criação de software. A Trend Micro, empresa de segurança digital, levantou dados que mostram que um estudante de ciência da computação, conhecido como Lordfenix, de 20 anos, morador do Tocantins, criou mais de 100 cavalos de Troia bancários e os vende por uma média de US$ 300, cerca de R$ 924.


19

OperadorSão pessoas que compram as ferramentas maliciosas criadas pelos de-senvolvedores e procuram meios de faturar alto com estes recursos, usando-os contra suas vítimas. Elas controlam os botnets e cuidam da operacionalização do ataque.


20

ANALISANDO A GEOGRAFIA DOS USUÁRIOS ATACADOS

Nesta análise geográfica dos ataques, é importante termos em mente que os dados são influenciados pela distribuição de clientes da Kasper-skyLab em todo o mundo.Para entender exatamente onde a maioria dos usuários atacados vive, usamos métricas especiais: a porcentagem de usuários atacados com ransomware dentre todos os usuários atacados com qualquer tipo de malware. Isto dá uma imagem mais precisa do cenário de ameaças, algo que a comparação direta entre usuários atingidos por ransomware em cada território não dá.Em 2014-2015, a lista de países com a maior cota de usuários atacados com ransomware era a seguinte:

6.99% 6.23% 5.87% 4.69% 4.63% 3.86% 3.77% 3.00% 2.60% 2.07%

Cazaquistão Argélia Ucrânia Itália Rússia Vietnã Índia Alemanha Brasil Estados Unidos


21

Países com o maior número de usuários atacados com ransomware dentre todos os usuários atacados por qualquer tipo de malware em 2014-2015.Cazaquistão, Argélia, Ucrânia, Itália e Rússia encabeçam a lista com mais de 4% dos usuários atacados. Um ano depois a situação mudou signifi-cantemente: a Índia passou do sétimo para o primeiro lugar, com 9,6% dos usuários. A Rússia alcançou 6,41%, seguida do Cazaquistão, Itália, Ale-manha, Vietnã e Argélia. No ano anterior estes países estavam nas últi-mas posições do ranking de 10 posições.

5.75%

Cazaquistão

3.90%

Argélia

3.72%

Ucrânia

5.25%

Itália

6.41%

Rússia

3.96%

Vietnã

9.60%

Índia

4.26%

Alemanha

3.72%

Brasil

1.41%

Estados Unidos

VietnãAlemanha

Destes, Índia, Brasil, Rússia e Alemanha lideram a lista de países com o maior crescimento em número de usuários atacados, enquanto Estados Unidos, Vietnã, Argélia, Ucrânia e Cazaquistão não tiveram queda consi-derável.

Países com o maior número de usuários atacados com ransomware den-tre todos os usuários atacados por qualquer tipo de malware em 2015-2016.

Variação ano-a-ano no número de usuários atacados com qualquer tipo de ransomware

Rússia

562190867651

2014/2015

2015/2016

54.33%

102289138750

2014/2015

2015/2016

35.65%

9609289247

2014/2015

2015/2016

Índia

143973325638

2014/2015

2015/2016

126.18%

Estados Unidos

10775555679

2014/2015

2015/2016

48.33%

7.12%

Ucrânia

6922039246

2014/2015

2015/2016

43.3%


22

Os números acima evidenciam a mudança na categoria Trojan-Ransom. Se olharmos mais profundamente para os números de usuários ataca-dos com Trojan-Ransom que sofreram com ataques de ransomware de criptografia, a imagem será muito diferente.

Argélia

6162338530

2014/2015

2015/2016

37.43%

Itália

4940059130

2014/2015

2015/2016

19.7%

Brasil

4367470078

2014/2015

2015/2016

60.46%

6271939179

2014/2015

2015/2016

37.53%

Cazaquistão

Variação na percentagem de usuários atacados com ransomware de criptgrafia dentre os ataques com qualquer tipo de malware, entre 2014 e 2016

Rússia

6.09%20.43%

2014/2015

2015/2016 Índia

3.34%6.93%

2014/2015

2015/2016 Estados Unidos

14.27%39.79 %

2014/2015

2015/2016

Alemanha

4.64%94.41%

2014/2015

2015/2016 Vietnã

2.32%22.87%

2014/2015

2015/2016 Ucrânia

1.34%28.86%

2014/2015

2015/2016

Argélia

1.18%13.48%

2014/2015

2015/2016 Itália

8.93%89.7%

2014/2015

2015/2016

1.14%25.59%

2014/2015

2015/2016Cazaquistão

Brasil

2.56%31.83%

2014/2015

2015/2016 Outros

41.16%46.3%

2014/2015

2015/2016


23

Os dez países acima representam 64,14% dos usuários que encontraram algum tipo de ransomware e 52,83% dos que sofreram com ataques crip-tográficos. Em 2015 e 2016, esses números subiram para 64,57% e 61,32% respectivamente.

O gráfico deixa claro que entre 2014 e 2015 os ransomwares de criptogra-fia representavam, na maioria dos países (exceto Estados Unidos), ainda uma porcentagem pequena dos ataques. Um ano depois, o ransomware de criptografia ganhou muito mais evidência no cenário, crescendo para até mais de 20% em alguns países, como Brasil e Estados Unidos. Em ou-tros países, como Alemanha e Itália, o ransomware de criptografia virou sinônimo da categoria Trojan-Ransom.

Para concluir a questão geográfica, podemos dizer que enquanto, de forma geral, o número de usuários atacados com Trojan-Ransom mal se alterou, o quantitativo real de usuários atacados alcançou dois dígitos. Embora o número exato de usuários atacados com qualquer tipo de ran-somware diminuiu em alguns países, não há nenhum na lista que tenha mostrado redução na cota de usuários atacados com ransomware de criptografia.

Todavia os dados acima não esclarecem a questão: Será que o número real de usuários atacados com ransomware de criptografia realmente aumentou nesses países ou é o aumento da cota de usuários atacados com criptografia simplesmente o resultado de um número decrescente de usuários sendo atacado com bloqueadores?

A resposta é sim! E em alguns países, como Alemanha, Brasil, Ucrânia, Cazaquistão e Itália, a taxa de crescimento foi extremamente alta, o que obviamente significa que os usuários, especialmente nestes países de-vem ser extremamente cautelosos ao navegar na web. Como mostra o gráfico a seguir:


24

Taxa de crescimento dos usuários atacados com ransomware de crip-tografia nos 10 principais países com maior proporção de usuários de 2014 a 2016

Alemanha

+20,36

Brasil

+19,99

Cazaquistão

+14,00

Ucrânia

+12,17

Itália

+12,02

Estados Unidos

+1,44

Outros

+4,49

Rússia

+5,18

Índia

+4,70Argélia

+7,14

Vietnã

+9,15


25

ASPECTOS JURÍDICOS

A denominação de Crime Cibernético, adotada pelo Tratado do Conselho Europeu (Convenção de Budapeste), define que como ato litigioso prati-cado por intermédio de dispositivos informáticos/eletrônicos de forma a garantir escala global nos resultados.Este tratado foi assinado por 43 países e ratificado por 21 nações, mas o Brasil não assinou, nem ratificou o documento até hoje.

Basicamente temos três classificações principais para crimes cibernéti-cos:• Impuros ou Impróprios: Quando o dispositivo é utilizado apenas como instrumento para execução de um crime tradicional. Como os crimes de honra previstos no Código Penal: calúnia (art. 138), difamação (art. 139) ou injúria (art. 140), utilizando, por exemplo, as redes sociais ou e-mails.

• Puros ou Próprios: Quando o crime visa interferir, não a pessoa, mas um dispositivo e seus dados. Por exemplo, interromper um serviço de comu-nicação e dificultar seu restabelecimento (art. 266. §1º CP).

• Mistos: São crimes complexos envolvendo mais de um interesse, e um deles sendo dados armazenados e processados em sistemas computa-cionais. Algo como qualquer invasão a um dispositivo alheio e violação de seu mecanismo de segurança com o objetivo de obter, adulterar ou destruir dados sem autorização. Instalar vulnerabilidades como meio de obter vantagem ilícita, como o pedido de resgate, também se enquadra nesta classificação (Art.154-A CP).


26

RANSOMWARE NA LEGISLAÇÃO BRASILEIRA

Em 2013 passou a vigorar a lei 12.737, elaborada no ano anterior, tipifican-do crimes cibernéticos que passaram a ser amparados em esfera penal, e não mais na cível, com a adição do já citado art. 154-A no Código Penal Brasileiro.

Com isso a pena para os infratores passou a ser de três meses a um ano de detenção e multa, podendo ser agravada se houver prejuízo econô-mico. Caso haja divulgação, comercialização ou transmissão dos dados a terceiro, a pena pode ser aumentada em um ou dois terços. O ataque a órgãos ou pessoas ligadas diretamente ao governo é ainda outro agra-vante previsto pela lei, podendo chegar a 10 anos de reclusão e multa.

Com a tipificação dos cibercrimes no Código Penal e o funcionamento do ransomware, surgiu a expressão “Extorsão Digital” ou “Criptoviral”, fa-zendo alusão ao pedido de resgate e criando a expressão “sequestro de dados”.

O § 2º, do Art. 154-A, prevê o pre-juízo patrimonial causado à ví-tima e mesmo sua tentativa. Po-deria-se facilmente enquadrar o ransomware neste artigo, mas o ordenamento jurídico brasileiro adota o Princípio da Consunção ou Absorção: incluir algo menor em algo maior. Assim, este tipo de crime ainda é enquadrado nos ar-tigos 158 e 154-A do Código Penal; extorsão e invasão de dispositivo, respectivamente.


27

1. Faça backups dos dados regularmente. Verifique a integridade de seus backups e testando também o pro-cesso de restauração para garantir que ele está funcionando. Se possível mantenha uma cópia isolada remotamente, sem nenhum tipo de conexão ao computador ou ambiente infectado. 2. Proteja seus backups off-lineSe você for infectado, manter backups off-line pode ser a única ma-neira de recuperar seus dados sem ter que ceder à extorsão. Ga-ranta que os backups não permaneçam conectados permanente-mente à rede e aos computadores que estão fazendo backup.Certifique-se de manter sempre o plano de restauração (Restore de Dados) atualizado e testado para que, quando precisar, ele esteja pronto para ser utilizado. “Dados salvos, mas sem condições de uso de nada adiantam” 3. Implemente um programa de Sensibilização em Segurança da InformaçãoTodos os usuários de computadores, dispositivos móveis e IoTs são alvos de cibercriminosos. Promover palestras de sensibilização para todos os colaboradores da empresa, pode ajudar na conscientização do uso da internet,

MELHORES PRÁTICAS PARA PROTEGER A SUA EMPRESA DE RANSOMWARE


28

e-mails e dos dispositivos móveis dentro da organização, além do entendimento sobre a ameaça do ransomware e como ele pode chegar a qualquer usuário. 4. Tenha e mantenha atualizada uma Política de SegurançaPolítica de Segurança é a lei que norteia as ações dentro de uma empresa. Ter uma política de segurança é condição fundamental para se estabelecer os limites do que pode e do que não pode ser realizado na sua organização, seja ela uma indústria, companhia de serviços ou organização do terceiro setor. Todos precisam de uma política personalizada e atualizada constantemente, pois os negó-cios, as tecnologias, as situações e os processos mudam o tempo todo. Mas lembre-se: de nada adianta uma política, se as pessoas não a conhecerem e nem souberem que devem segui-la, portanto, em sequência complementar do Programa de Sensibilização, divul-gue a Política de Segurança, cobre a aderência de todos formal-mente e, obrigatoriamente, dê capacitação às pessoas. 5. Garanta um Plano de Continuidade de NegóciosO que você vai fazer quando algo der errado?Planejar a Continuidade de Negócios, caso seja atacado por um Ran-somware, é tão prioritário quanto estabelecer os limites do que é um incidente e do que é, e deve ser tratado, como puramente operacio-nal. Elaborar um bom plano que garanta a continuidade do negócio depois do incidente, depende do entendimento dos impactos sobre a organização. Defina adequadamente estratégias que façam sentido, sem prejudicar o orçamento. Pense em como organizar as pessoas em torno de um modelo que permita definir e desenvolver atividades (atendimento aos clientes e ações administrativas, por exemplo) sem a tecnologia necessária, sem o próprio prédio ou sem pessoas das quais se depende num dia típico. É certo que um bom plano não prescinde dos seus testes e modelos de implantação, mas criá-lo é vital para que se saiba o que fazer em momentos de exceção. 6. Desabilite o RDPO malware Cryptolocker/Filecoder (um tipo de ransomware), em ge-


29

ral possui como alvo máquinas que utilizam o Remote Desktop Pro-tocol (RDP), uma funcionalidade do Windows que permite o acesso remoto. Se você não precisa utilizar o RDP, você pode desabilitar essa função e proteger a máquina do Filecoder e outros exploits conhecidos que explorem esta vulnerabilidade. 7. Redes SegregadasAvalie a possibilidade de segmentar sua rede de dados. Isto ajudará a prevenir a propagação de malwares. Novas variantes de Ransom-ware propagam rapidamente pela rede de dados. 8. Gerenciamento de PatchesConsidere o uso de um sistema de gerenciamento de patches cen-tralizado. Manter atualizados os sistemas operacionais, software e firmwares dos dispositivos podem ajudar na prevenção. Caso não seja possível, mantenha o seu sistema operacional, anti-malware, fi-rewall, Adobe Flash Player, Java, navegadores e outros softwares sempre atualizados. 9. Evite abrir e-mails desconhecidos para fugir de Spams97% dos ransomwares são entregues por meio de phishing. Se achar o e-mail suspeito não abra. 10. Ative os filtros de spam para evitar que e-mails de phishing che-guem aos usuários finaisUtilize de técnicas de autenticação de e-mails recebidos como Sen-der Policy Framework (SPF), Domain-based Message Authentication, Reporting and Conformance (DMARC) e Domain Keys Identified Mail (DKIM) podem ajudar a evitar falsificações. 11. Bloqueie anúnciosMuitas vezes os ransomwares são distribuídos através de anúncios maliciosos e pop-ups em sites duvidosos, por exemplo. O bloqueio dos anúncios pode ajudar a reduzir o risco.


30

12. Princípio do “menor privilégio”Considere utilizar o “princípio do menor privilégio” na sua empresa. “Tudo que não é explicitamente permitido é proibido”.Nenhum usuário deve estar atribuído como administrador a menos que seja absolutamente necessário. 13. Avalie utilizar antivírus NGAV (Next Generation Antivírus). A próxima geração de antivírus tem a capacidade de examinar os processos e identificar comportamento malicioso para bloquear os malwares e ataques malwareless. 14. Use whitelistingO whitelisting ao contrário do blacklisting, permite que apenas códi-gos pré-aprovados funcionem, negando a entrada de qualquer exe-cutável que não esteja cadastrado. Como funciona em nível execu-tável, o whitlisting não vai responder a um arquivo não listado, assim só programas conhecidos e permitidos pela política de segurança irão rodar na máquina do usuário. 15. Análises de Vulnerabilidade e Teste de IntrusãoA prevenção é a melhor arma. Realize análises de vulnerabilidade no seu ambiente frequentemente e ao menos uma vez por ano um Teste de Intrusão. A análise de vulnerabilidade tem por objetivo identificar as fragilida-des de segurança no ambiente tecnológico, visando a implementação de controles que irão proteger suas informações e seus respectivos negócios. Tal ação visa detectar falhas em diversos componentes como: aplicações, softwares, equipamentos, sistemas operacionais, dentre outros. O Teste de Intrusão simula as ações de um hacker contra os ambientes tecnológicos, visando a identificação de eventuais falhas críticas de se-gurança, subsidiando assim, a implementação de um “plano de ação/melhoria’’ e contemplando recomendações de controles de segurança.


31

CONCLUSÃO

O ransomware surgiu em meados dos anos 1989 e é considerado a maior praga cibernética dos últimos anos, com uma taxa de crescimen-to assustadora que já atinge a casa de dois dígitos e a previsão não é nada boa para os próximos anos, tornando qualquer usuário em alvo potencial.

Apesar de seu crescimento verti-ginoso, a técnica para encontrar suas vítimas ainda é o phishing via e-mails fraudulentos ou campanhas de anúncios falsos, em sua maio-ria, portanto, fique sempre atento a contatos desconhecidos que en-viam anexos sem muito sentido, ou se depois de um clique num ban-ner for solicitado o download de um executável ou extensão estranha.

Com o grande crescimento no mer-cado de dispositivos móveis e ainda o advento dos aparelhos eletrônicos conectados à internet (internet das coisas), um novo e vasto campo de atuação está aberto aos cibercrimi-nosos que já criam malwares e es-tratégias mais sofisticadas para in-vadir estes dispositivos. Quem não

1986Primeiro ransomware conhecido, o Trojan AIDS (também conhecido como PC Cyborg), é escrito por Joseph Popp

2005Em maio surge o ransomware com extorsão

2006Em meados de 2006, worms como o Gpcode, TROJANRANSOM A, Archiveus, Krotten, Cryzip e MayArchive, começam a usar esquemas de encriptação RSA mais sofisticados

2011Um ransomware do tipo worm imita um aviso de Ativação de Produto Windows

2013Um worm ransomware baseado no Stamp EK explora o Mac OS X e assim surge um novo worm. O CryptoLocker arrecadou cerce de U$S 5 milhões nos últimos meses daquele ano

2015Múltiplas variantes em múltiplas plataformas causam cada vez mais danos


32

se lembra do caso envolvendo a atriz Carolina Dieckmann e resultou na lei homônima?

O “sequestro de dados”, como conhecido popularmente, já causou prejuí-zos de bilhões de dólares somente entre 2015 e 2016 em muitas empresas em todo o globo. No Brasil, esta modalidade de crime já está prevista em nosso Código Penal desde 2012 e é encarada como extorsão por meios digitais. A pena pode chegar a até 10 anos de reclusão mais multa, mas com o resgate exigido em Bitcoins, rastrear o criminoso é tarefa quase impossível.

A grande lição aqui é que todo cuidado é pouco e a melhor maneira de se proteger é a prevenção. Seguir um guia de boas práticas é crucial para evitar danos patrimoniais ou mesmo exposição de informações sensíveis. Backups frequentes, redes segregadas, políticas de segurança, Análises de Vulnerabilidade e Testes de Intrusão são algumas maneiras de sair ileso a este tipo de ataque.


33

Atuante na América Latina, a DM11 [Segurança da Informação] é uma empresa brasileira que provêm serviços de combate ao crime cibernéti-co e na gestão de processos para a Continuidade dos Negócios.

Nossos profissionais entendem o senso de urgência do cibercrime e po-dem ajudar sua empresa a atingir um nível mais alto na Segurança, Dis-ponibilidade e Confidencialidade de suas informações.

+55 (11) 4837-5758 Avenida Engenheiro Luis Carlos Berrini,1140,7º andar, Brooklin, São Paulo / SPCEP: 04571-000

www.dm11.com.br

CONHEÇA MAIS

www.dm11.com.br/comofazer

[email protected]

SOBRE A DM11

http://www.dm11.com.br

http://www.dm11.com.br/comofazer

mailto:contato%40dm11.com.br%20?subject=Contato%20via%20e-book

Documents

DM11 [Seurana a Informação ] · à peculiaridade de sua atuação nos dispositivos tecnológicos. A grande novidade, no entanto, é sua ascensão meteórica, sendo hoje ... com