Três estratégias para implementar na sua empresa JÁ

O ransomware está a aumentar em todo o mundo. São cada vez mais os avisos provenientes dos especialistas de segurança (e de novas vítimas). Por esse motivo, apresentamos-lhe este breve resumo para explicar o que é o ransomware, por que motivo continua a causar estragos mesmo após anos de evolução das tecnologias de segurança e, sobretudo, de que forma pode defender a sua organização deste perigo real, presente e em crescimento.

Tal como um organismo patogénico, os códigos e as técnicas do ransomware estão em constante evolução. Para os profissionais de TI, representa uma ameaça particularmente difícil de gerir, o que realça a importância do planeamento e da prevenção. Em primeiro lugar, a melhor forma de se proteger contra um ataque de ransomware é prevenir que este aconteça. Mas, se o ataque ocorrer, é essencial que possua cópias de segurança e medidas de recuperação que lhe permitam voltar rapidamente ao último estado seguro conhecido. Para o conseguir, é importante saber com o que está a lidar.

O Federal Bureau of Investigation (FBI) apurou que, só no primeiro trimestre de 2016, as vítimas de ransomware pagaram mais de 200 milhões de dólares para recuperarem os seus dados, sendo que muitos não os receberam mesmo após terem pago o resgate. O FBI observou ainda que existiram mais de 2400 ataques de ransomware comunicados em 2015.

O fenómeno do ransomware está, oficialmente, a aumentar. De acordo com a Bloomberg, o número de ataques conhecidos ultrapassou os cinco milhões em 2015, com uma das infeções a causar mais de 325 milhões de dólares de prejuízo.

Sendo firme e persistente, o ransomware bloqueia ficheiros indispensáveis, ou mesmo todo o sistema, e recusa-se a devolver a chave da informação até que o valor exigido pelos hackers seja pago. No caso dos prestadores de cuidados de saúde, os riscos são ainda mais elevados. No entanto, os criminosos utilizam esta sofisticada ferramenta de hacking para dificultar a vida a todos os tipos de empresa, independentemente do mercado vertical em que se encontrem. Ninguém está a salvo.

É inconcebível dada a avançada tecnologia de segurança que existe atualmente, mas o ransomware funciona e iremos explicar de que forma nas próximas páginas. Um utilizador particular poderá não se preocupar muito em perder as fotografias de um ex-namorado, mas os servidores das empresas contêm inúmeros documentos sensíveis e produtos insubstituíveis resultantes de milhares de horas de trabalho. Com todos estes custos em risco, a Trend Micro considerou o ano de 2016 como "o ano da extorsão online".

ESTRATÉGIA UM: Perceber os riscos do ransomware

Cuidados de saúde mantidos reféns do ransomware

Somos bombardeados com notícias de novos desastres de dados devido ao ransomware: desde utilizadores de desktop, passando pela indústria dos cuidados de saúde e até por grandes instituições de educação. A Universidade de Calgary no Canadá pagou recentemente o equivalente a 20 000 dólares canadianos em Bitcoin para restaurar o acesso aos seus sistemas e à sua rede (pouco mais de 15 000 dólares americanos à data de elaboração deste documento).

E esta é apenas a ponta do icebergue no que refere a ataques de ransomware. A Universidade de Calgary demonstrou uma cortesia típica do Canadá ao ser transparente quanto ao ataque e ao valor do resgate. No entanto, na maioria dos casos, estes ataques não são reportados por motivos de reputação ou por outras preocupações de segurança.

Quando se trata dos seus dados, estes são obviamente importantes qualquer que seja o seu negócio. Os riscos do ransomware são ainda maiores quando há vidas em perigo. A indústria dos cuidados de saúde concentra os seus esforços em manter-se fora do perigo dos ataques de ransomware.

O Methodist Hospital no Kentucky declarou "estado interno de emergência" na sequência de uma falha de segurança associada a um ataque de ransomware. As instalações de cuidados de saúde foram atingidas por uma estirpe de malware denominada "Locky", que comprometeu os sistemas e que, durante o processo, encriptou ficheiros sensíveis. Os autores do ataque pediram um resgate de 4 bitcoins, que é equivalente a pouco mais de 1200 dólares americanos. Estando impedido de entrar no seu próprio sistema, o hospital ficou limitado a um mínimo básico de serviços de Internet e de ferramentas de comunicação enquanto os TI lutavam para encontrar soluções.

O Methodist Hospital soube em primeira mão de que forma o ransomware obriga as suas vítimas a fazer escolhas impensáveis em situações de impasse. Vendo o acesso aos sistemas indispensáveis ser bloqueado pelos hackers, um porta-voz afirmou que o centro de cuidados de saúde teve de considerar a hipótese de pagar o resgate como uma das opções principais. Em alguns casos, os hackers não fornecem a chave mesmo depois de o resgate ter sido pago.

Apesar de não terem sido perdidos dados sensíveis, houve repercussões. A estratégia do hospital passou por desligar cada um dos sistemas, um por um, e voltar a ligá-los após uma verificação de malware. Vários sistemas ficaram comprometidos com esta invasão, pelo que o período de inatividade revelou-se o principal inconveniente deste ataque.

O atentado ao Methodist foi reportado praticamente um mês depois de um ataque de ransomware que envolveu outra instalação de cuidados de saúde. Os especialistas de TI e a polícia foram chamados assim que os funcionários do Hollywood Presbyterian Medical Center suspeitaram que havia algo de errado com os seus computadores. A investigação determinou que os criminosos cibernéticos fizeram refém toda a rede ao encriptar ficheiros vulneráveis do sistema do hospital.

Entregar-se

Enquanto o Methodist Hospital recusou cooperar com os hackers, optando por um longo caminho para restabelecer as operações, o Hollywood Presbyterian decidiu encurtar o processo e pagar o resgate. O hospital de Los Angeles pagou 40 bitcoins, o equivalente a 16 664 dólares para receber a chave de desencriptação e restaurar os sistemas de TI. Os responsáveis concluíram que o pagamento seria a melhor decisão para zelar pelos interesses do hospital, dos funcionários e dos pacientes. O facto de um importante estabelecimento de saúde, dentro de uma comunidade próspera, ter determinado que ceder às exigências de cibercriminosos era o melhor para o negócio é uma séria e preocupante realidade.

O malware é uma ameaça internacional

O ransomware tem vindo a revelar-se o pioneiro de uma epidemia de malware global e em crescimento. O hospital Klinikum Arnsberg na Renânia do Norte-Vestfália, na Alemanha, foi vítima de um e-mail não solicitado que incluía ransomware num anexo. Felizmente, os administradores de TI conseguiram localizar o malware original e desligar o servidor infetado antes que a falha se espalhasse às restantes 199 máquinas, numa rede de 200 servidores. A rápida capacidade dos TI para detetar e agir perante o problema evitou muitos gastos ao hospital relativos a potenciais perdas financeiras e danos associados.

Não muito longe, em Neuss, na Alemanha, o Lucas Hospital voltou atrás no tempo quando o ransomware varreu o estabelecimento. Os funcionários do hospital tiveram de recorrer a papéis e canetas para efetuar registos e as comunicações passaram a ser realizadas através do telefone e do fax, tudo devido a um sofisticado ataque que arruinou toda a rede de TI.

Como se pode imaginar, o ataque deu origem a um efeito de cascata no sistema do hospital quando foram obrigados a voltar a utilizar ferramentas manuais. As cirurgias de alto-risco foram, alegadamente, atrasadas como medida de precaução e, de uma forma geral, todas as funcionalidades do Lucas passaram a funcionar mais lentamente, resultado da escassez de recursos. À época do incidente, foi reportado que demoraria semanas até que toda a rede do hospital voltasse a estar disponível e operacional.

Conformidade com o HIPAA e prevenção contra ransomware

Então e por que motivo a indústria de cuidados de saúde é um dos alvos favoritos para os ataques de ransomware? Devido aos dados sensíveis, que são muitos. Os cibercriminosos perceberam que esta área está recheada de informações tão valiosas que os seus responsáveis pagam praticamente qualquer coisa para as recuperarem. Para piorar a situação, as organizações americanas de cuidados de saúde são obrigadas a cumprir os parâmetros do Health Insurance Portability and Accountability Act (HIPAA), que implicam multas pesadas para quem violar estas normas federais. Sendo ou não vítima de um ataque, é da responsabilidade do prestador de cuidados de saúde manter um acesso seguro aos dados médicos.

O ransomware aumentou, assim, a importância da formação e sensibilização para a segurança do HIPAA. O simples facto de aumentar a sensibilização para o crescimento de ameaças deste software malicioso, para os esquemas de phishing e os ataques da web em todos os formatos pode ajudar os seus funcionários a compreender e a reduzir a exposição da sua organização. É um elemento básico de formação para qualquer empresa, mas especialmente indispensável para os prestadores de cuidados de saúde que querem proteger as suas atividades e manter-se em conformidade com as normas.

Tal como em outros tipos de malware, as variedades que se sustentam em resgates exploram browsers web desatualizados e plug-ins como o Adobe Flash e o Java. Aproveitam-se também de utilizadores menos informados, tais como os funcionários do Klinikum Arnsberg e do Methodist Hospital que abriram anexos infetados em e-mails de spam. Então, enquanto o ransomware continua a evoluir, o segredo para o combater continua a ser a prevenção. Evite-o tal como a uma praga, encarando cada e-mail, cada ligação e cada plug-in como um potencial risco.

Os cuidados de saúde não são a única prioridade para os criminosos que executam o ransomware. Os setores da banca, do governo e da tecnologia são alvos principais para estes vilões inovadores. Vejam o exemplo da Apple, cujo software Mac OS foi comprometido numa falha que levou à infeção de 6500 computadores.

Ainda assim, os cuidados de saúde são uma área que ocupa uma posição duplamente perigosa, correndo o risco de um pesadelo de segurança de alto risco e de multas de conformidade regulatória. É preciso consciência e diligência para evitar desastres de ransomware.

Se a ideia de malware é assustadora,

então a ideia de ransomware é totalmente aterradora. Ao passo que um Trojan pode roubar informação sensível diretamente ou através de um acesso backdoor, o ransomware potencia os dados e a importância que detêm para extorquir dinheiro às vítimas, por vezes repetidamente.

De repente, pode ser bombardeado por um hediondo pop-up contendo a indicação de que todos os seus documentos, fotografias e bases de dados foram encriptados, juntamente com um aviso de que tem 24 horas para pagar 10 000 dólares em Bitcoin para obter a chave de desencriptação. Caso contrário, perde tudo para sempre!

As Bitcoins são o método de pagamento preferido pelos cibercriminosos: é um tipo de moeda digital, criado e mantido eletronicamente, que possibilita transações imediatas. O que torna as bitcoins ainda mais interessantes para os hackers é o facto de serem anónimas e de não estarem associadas a nenhum banco, como é o caso do euro ou do dólar americano. As transações em bitcoins não podem ser associadas a nomes, a e-mails nem a endereços físicos.

Um ataque de ransomware não tem de ser o fim do mundo nem o fim da sua empresa. Se for um profissional de TI da sua organização, pode munir-se com a informação sobre os pontos mais vulneráveis dos seus sistemas e levar a cabo ações preventivas de forma a reduzir os riscos. Pode, ainda, procurar assistência acessível de especialistas de um fornecedor de soluções de TI que possa criar um plano de continuidade de negócio e recomendar alterações de hardware e software dentro do seu orçamento.

Antes de se debruçar em como evitar o ransomware, seguem mais algumas estatísticas reveladoras associadas a esta preocupante epidemia:

• O malware denominado de ransomware aumentou 165 por cento no primeiro trimestre de 2015 (McAfee)

• O valor médio do resgate pedido aos utilizadores afetados é de 300 dólares (Symantec)

• O CryptoWall infetou mais de 625 000 utilizadores e extorquiu mais de 1,1 milhões de dólares num período de cinco meses (Dell SecureWorks)

ESTRATÉGIA DOIS: Perceber como e por que motivo funciona o ransomware

Estar consciente dos riscos de segurança aquando da utilização de um website desconhecido ou ao clicar numa ligação suspeita já não é suficiente: os hackers continuam a desenvolver os métodos utilizados nos ataques. Quando um programa específico é neutralizado, emergem de imediato outras variantes de ransomware para o substituir.

Os criminosos aproveitam a vulnerabilidade dos utilizadores finais que podem não estar familiarizados com técnicas de hacker, mas o facto de os administradores de TI não utilizarem frequentemente cópias de segurança externas também abona a seu favor. Mesmo quando são efetuadas cópias de segurança externas, estas são praticamente inúteis se não forem verificadas nem testadas regularmente. As possibilidades de recuperação estão diretamente relacionadas com a integridade da última cópia de segurança realizada. Eis algumas técnicas utilizadas pelos hackers de ransomware:

Ransomware através de anexos de e-mail em JavaScriptA empresa ESET, de software antivírus, detetou recentemente um novo tipo de ameaça quando descobriu que os anexos de e-mail escritos em JavaScript poderiam descarregar diferentes variedades de malware no computador do utilizador (como aconteceu com o vírus Locky) ao clicar no anexo de e-mail.

A maioria dos programas de malware para o Windows são escritos em linguagens de programação compiladas, tais como C ou C++, e têm geralmente a extensão .exe e .dll. A utilização de uma linguagem interpretada como o JavaScript é agora parte do que se tem vindo a tornar um arsenal de hacking cada vez mais sofisticado e diversificado.

Exploração de sistemas sem patchesO aviso da McAfee emitido no Threat Report de junho alerta para um aumento de 24% nos ataques de ransomware neste trimestre. Um dos pontos que realçam é o facto de não ser preciso ser-se um génio para levar a cabo um ataque de ransomware. O documento indica que mesmo os "cibercriminosos com pouca experiência podem utilizar kits de exploração para distribuir malware".

A instalação regular de patches e de atualizações do sistema operativo e das aplicações (tanto no desktop como no portátil) é fundamental para a proteção de dados e para a prevenção do ransomware. Todo o software que já não é suportado pelo seu fabricante é um enorme risco, já que os hackers descobrem e exploram todas as vulnerabilidades de forma sistemática.

Modelo Ransomware como um Serviço (RaaS) em ascensãoComo se precisasse de mais más notícias, as próprias tecnologias que tentamos proteger estão a tornar cada vez mais fácil a entrada do negócio do ransomware. A Heimdal Security indica que os hackers menos qualificados estão a utilizar software de ransomware pouco conhecido para levar a cabo os ataques, sendo que este modelo de serviço conhecido como Ransomware como um Serviço custa apenas 39 dólares. Estão a ser vendidos kits de ransomware no mercado aberto de forma indiferenciada e independentemente do nível técnico de conhecimento de cada pessoa.

Novos desenvolvimentos: como os hackers continuam a melhorar

A Microsoft avisa, no seu manual de ransomware, que alguns tipos de ransomware também encriptam ou eliminam as versões da cópia de segurança dos Ficheiros do Windows (pelo que ter apenas a Cópia de segurança do Windows não é suficiente).

Os vírus de ransomware podem infetar websites legítimos e ser automaticamente descarregados para os computadores dos utilizadores (em março, um relatório da Trend Micro demonstrou como alguns dos grandes sites como msn.com, nytimes.com, aol.com, realtor.com ou newsweek.com foram vítimas de ataques com tentativas de descarregar o ransomware e malware cryptolocker para o computador dos utilizadores).

De forma a proteger os dados da empresa, os profissionais de TI devem estar atualizados no que refere aos esquemas utilizados pelos hackers para penetrar nos sistemas.

É IMPORTANTE TER EM MENTE DOIS ASPETOS CRUCIAIS SOBRE O RANSOMWARE:

DE QUE FORMA É QUE OS CRIMINOSOS CONTROLAM OS SISTEMAS?

As grandes organizações enfrentam desafios adicionais.

Implementar políticas rígidas de TI para a segurança dos dados torna-se ainda mais difícil tendo em conta uma maior taxa de rotatividade dos colaboradores, as preocupações associadas aos equipamentos trazidos de casa e o maior número de vulnerabilidades e potenciais pontos de falha em redes remotas a nível mundial. Desenvolver políticas de TI e garantir que todos as cumprem é uma tarefa gigantesca. Algumas organizações têm falta de pessoal de TI com os corretos conhecimentos de segurança, principalmente no setor público em que os orçamentos são limitados.

Não tem de travar esta batalha sozinho. Existem boas práticas que pode implementar já e peritos que pode envolver no processo que o vão ajudar a proteger a sua empresa. Ao tomar uma atitude informada, pode tomar uma posição que lhe permite recuperar os dados de forma imediata caso seja alvo de um ataque de ransomware.

Evitar o ransomware: boas práticas

Tal como acontece com o malware em geral, a melhor abordagem no que refere à proteção contra o ransomware é a prevenção. Pode evitar um dispendioso pesadelo de segurança dos dados atuando já com estas práticas simples e adequadas.

Invista em recuperação de desastre

Quando realiza frequentes cópias de segurança dos seus ficheiros, do sistema e dos dados das aplicações está automaticamente a contornar a principal moeda de troca que os cibercriminosos utilizam como vantagem. A possibilidade de recuperar uma cópia limpa dos dados importantes do seu negócio neutraliza instantaneamente os pedidos do ransomware. Ninguém o pode ameaçar quando pode rapidamente restaurar todo o ambiente de trabalho tendo como base o último estado seguro conhecido. Pode ler mais sobre este assunto num estudo de caso real que

envolve a experiência de um fornecedor de soluções de TI com o CryptoLocker.

Mantenha uma cópia de segurança externa do Windows

Os ciberataques podem acontecer mesmo se não clicar naquela ligação estranha do príncipe da Nigéria na sua pasta de spam e mesmo que tenha ligado o sistema de cópia de segurança do Histórico de ficheiros do Windows. Por este motivo, é crucial para a continuidade de negócio que mantenha um ficheiro com a cópia de segurança externa do Windows que pode ser feita através de software adequado, no servidor ou no desktop.

Mantenha a tecnologia de segurança atualizada

Configurar o seu software anti-malware de forma a que proceda a atualizações automáticas é o método mais prático de afastar as inúmeras novas variações que são lançadas todos os dias. Apesar de o CryptoLocker, um tipo muito comum de ransomware, ter sido neutralizado, outras versões continuam a causar estragos no seu lugar. É o caso do CryptoWall, o CTB-Locker, o Tescrypt, o Torlocker, entre outros.

ESTRATÉGIA TRÊS: Opções de proteção de dados e encontrar um parceiro qualificado

Bloqueie os pop-ups

Os pop-ups são aborrecidos, mas são inofensivos, certo? Não propriamente. Na verdade, trata-se de um outro meio que os cibercriminosos mais astutos utilizam para espalhar ransomware pela web. Felizmente, os browsers mais recentes permitem minimizar este incómodo. Pode ter grandes benefícios se dedicar algum tempo a ajustar algumas simples definições e ao bloquear o software malicioso concebido para lhe extorquir dinheiro por apenas aceder aos seus sistemas.

Jogue online de forma segura: evite as partilhas P2P

O ransomware espalha-se como qualquer outro malware. Evite abrir anexos e ligações em e-mails que não solicitou, mesmo que tenha sido enviado por um dos seus contactos. Atualmente é muito fácil falsificar e-mails para que se assemelhem aos enviados de uma fonte oficial. Claro que também ajuda se for cuidadoso ao navegar na web. As aplicações de ransomware vêm mascaradas de itens desejáveis que parecem genuínos. O malware pode invadir o seu sistema através de um utilitário de diagnóstico gratuito que descarregou do seu site P2P favorito.

Instale patches em tudo!

Precisa de uma motivação extra para instalar aquelas atualizações do Windows? As versões antigas do sistema operativo e das aplicações podem funcionar corretamente, mas utilizar software desatualizado é como conduzir com um pneu com o arame exposto: é um desastre à espera de acontecer. Dado que o software já não é suportado pelo seu fabricante, todas as vulnerabilidades que possam surgir não serão resolvidas. Instale patches em todos os softwares do seu sistema para preencher as falhas que os hackers podem tentar utilizar como vetores de ataque.

Denuncie!

Nos EUA, o FBI adverte as vítimas de ransomware para:

- Desligarem imediatamente a Internet e desligarem o sistema infetado para evitar mais danos.

- Denunciarem o incidente, preenchendo uma queixa junto do gabinete de FBI mais próximo da sua região ou através do site Internet Crime Complaint Center (IC3).

O ciberespaço pode funcionar em anarquia, mas todas as queixas ajudam a moldar uma sociedade digital que leva os criminosos perante a justiça mais rápida e frequentemente.

Pode ler mais sobre as recomendações do FBI sobre como evitar e recuperar de um ataque de ransomware no artigo técnico "Ransomware: What It Is and What To Do About It" (Ransomware: o que é e o que fazer).

RECUPERAR DE ATAQUES DE RANSOMWARE

PONHA AS SUAS DEFESAS CONTRA O RANSOMWARE A FUNCIONAR HOJE!

Manter o ransomware fora do seu ambiente exige um equilíbrio entre a estratégia de cibersegurança e o plano de continuidade de negócio. As soluções de firewall e anti-malware devem estar disponíveis e realizar as respetivas funcionalidades. Se existir uma violação, é necessário que tenha um conjunto completo de processos prontos para restaurar as operações o mais rapidamente possível. O Methodist Hospital tinha um plano de continuidade de negócio implementado que incluía boas práticas de preparação para o ransomware. Eles conseguiram ignorar os hackers e restaurar os sistemas a partir de uma cópia de segurança limpa e recente.

Para manter os dados seguros e protegidos dos ataques de ransomware, a StorageCraft oferece a melhor cópia de segurança externa do mercado para ambientes Windows, Linux e mistos. Desta forma, pode restaurar o seu sistema a partir da imagem de cópia de segurança mais recente sem ter de pagar um resgate e com um período de inatividade mínimo.

O ransomware é real e está a propagar-se. Pode causar graves estragos se infetar o seu sistema. Ao mesmo tempo, pode reduzir drasticamente os seus riscos usando uma cópia de segurança e um plano de recuperação completos. Adote a melhor atitude agora e faça da solução de recuperação completa a sua maior prioridade. Vai levar a melhor dos hackers e pode gastar o dinheiro do resgate em algo melhor.