Táticas para proteger empresas de Ransomwares

Desde que a primeira variante de ransomware foi disseminada por disquetes em 1989, os ataques desse tipo tornaram-se muito mais sofisticados. Os ataques WannaCry, por exemplo, que ocorreram em maio deste ano, usaram um malware worm para infectar computadores conectados a uma mesma rede, causando impactos a mais de 150 países e em diversas verticais, como agências de governo e fábricas.

O ransomware foi classificado como o malware mais rentável de todos, somando cerca de US$ 1 bilhão em lucros em 2016, de acordo com o FBI. Diversas outras pesquisas confirmam que o ransomware está crescendo, justamente porque os cibercriminosos aproveitam a enorme rentabilidade que ele traz.

A principal razão por trás do sucesso do ransomware é que as empresas estão, em grande parte, despreparadas para um ataque. Os ataques do WannaCry se espalharam rapidamente através de suas capacidades de autopropagação aproveitando principalmente hardware e software desatualizados de infraestruturas de rede de muitas organizações. Os prejuízos podem ser altos – desde o custo financeiro da parada do sistema, assim como danos à reputação e perda da confiança do público. Esses últimos tendem a ser danos de longo prazo.

Assim, a defesa em profundidade, apesar de não ser um conceito novo, ainda se traduz como a melhor forma de proteção contra o ransomware e outros tipos de ciberataques. Trata-se de uma abordagem de segurança em várias camadas, que envolve desde o conhecimento do que os atacantes estão trabalhando na deep web até o treinamento dos usuários finais para proteção contra ataques de phishing.

Algumas táticas desse princípio são:

Além de scans frequentes de vulnerabilidade e testes de penetração para determinar se a empresa possui as estratégias de defesa corretas para se proteger contra o ransomware, ferramentas podem ser usadas para observar o comportamento de um ataque. Um exemplo são os feeds de inteligências de ameaças, que monitoram ataques em outros locais a fim de alertar as empresas sobre as ameaças emergentes antes que elas atinjam a rede corporativa. Provedores de inteligência de ameaças analisam esses feeds constantemente, filtrando insights para fortalecer os sistemas de segurança.

Ferramentas de Gestão de Identidade e Acesso (IAM) e Controle de Acesso à Rede (NAC) são essenciais para identificar os dispositivos da empresa e garantir que eles estejam de acordo com as políticas de segurança de TI. Todos os endpoints devem ter uma proteção adequada que previne explorações de vulnerabilidade em todos os sistemas operacionais (Windows, Android, Mac OS, iOS). Além disso, firewalls de próxima geração (NGFW) adicionam uma camada extra de varredura antimalware para arquivos maliciosos já conhecidos, e sandboxing baseado na nuvem para malwares ainda desconhecidos. Soluções de segurança para e-mails, DNS e web também contribuem para níveis mais profundos de proteção.

Caso um malware tenha infiltrado os dispositivos ou a rede, as tecnologias devem estar em ordem para detectar anomalias e os analistas de segurança devem monitorar de perto a rede. Ferramentas de detecção de tráfego malicioso baseadas em inteligência artificial podem ajudar a automatizar a detecção antes que um ataque piore. Além delas, tecnologias de detecção de brechas como ferramentas de engano e serviços de monitoramento de ameaças 24/7 podem ser implementadas em locais estratégicos para saber se um ransomware está se propagando, oferecendo assim alertas prévios.

Esses são apenas alguns exemplos de táticas para construir uma boa defesa contra ransomware e outros malwares. Onde e como construir as defesas são considerações críticas para reduzir os riscos e mitigar as vulnerabilidades. Enfim, uma estratégia de processos, pessoas e tecnologia deve ser colocada em prática e ser constantemente melhorada para garantir a resiliência da empresa em casos de ciberataques e a continuidade dos negócios.

Fonte: IDG Now!

O ataque recente ao CCleaner tinha um objetivo inesperado

Segundo informações divulgadas pela Cisco e pela Avast, o malware que atingiu o CCleaner tinha um foco específico de ataque cujo alvo eram pelo menos 20 gigantes da tecnologia, entre elas Google, Microsoft, Samsung, HTC, D-Link e outras. A ideia dos responsáveis por essa ação era infectar os computadores internos dessas companhias, sendo que o malware original seria utilizado apenas como uma forma de fazer um segundo malware acessar esses sistemas.

Os pesquisadores da Talos ainda relataram que a ideia dos hackers era observar a sua base de máquinas afetadas para encontrar computadores que estivessem conectados às redes dessas companhias. Um detalhe que vale ser mencionado é que 50% das tentativas de instalar esse segundo malware ocorreram com sucesso, sendo que algumas empresas foram infectadas duas vezes e outras escaparam ilesas. Porém, não se sabe quais se encaixam em cada um dos grupos.

50% das tentativas de instalar esse segundo malware ocorreram com sucesso, sendo que algumas empresas foram infectadas duas vezes e outras escaparam ilesas

A imagem que você confere acima dá uma ideia dos domínios nos quais os atacantes tentaram suas ações. Vale notar que o “ntdev.corp.microsoft.com” é utilizado por desenvolvedores da Microsoft, enquanto “hq.gmail.com” tem relação com uma área interna do Gmail para funcionários da Gigante das Buscas.

Tentativa de espionagem

Ainda no que diz respeito aos relatórios divulgados, foi dito que essa ação foi feita como uma tentativa de espionagem, e não apenas um meio de instalar ransomware e keyloggers nos computadores das pessoas. Além disso, houve a menção de que há estimativas de que apenas 700 mil computadores tenham sido afetados, e não 2,2 milhões como foi mencionado anteriormente.

Por fim, a Avast oferece algumas dicas para os usuários, e ressalta a importância de manter seus antivírus e outros programas atualizados com a última versão para diminuir os riscos de ter uma surpresa desagradável. Outra dica dada pela Cisco é de restaurar o PC usando o backup de uma data anterior à instalação do CCleaner.

Fonte: Tecmundo

Ransomware Mamba volta a atacar

Um velho conhecido voltou a atacar empresas no Brasil. Pesquisadores da Kaspersky detectaram uma nova onda do poderoso ransomware Mamba, famoso por ter interditado o transporte público de São Francisco no ano passado.

O Mamba é particularmente danoso por criptografar o disco rígido inteiro, em vez de alguns arquivos. Ele é semelhante aos malware Petya e Mischa, assim como o ExPetr, responsável pelo maior surto global dos últimos tempos.

Ainda não se sabe quem está por trás da nova onda de ataques contra companhias brasileiras -negócios na Arábia Saudita também estão sendo afetados.

Entrevistados pelo Threatpost, os pesquisadores da Kaspersky Lab Juan Andres Guerrero Saade e Brian Bartholomew afirmam que essa onda de sabotagem cibernética disfarçada de extorsão vai continuar.

“Digamos que temos todos os meios para um ataque de sabotagem e queremos disfarçá-lo como ransomware ou algo potencialmente tratável”, diz Saade. “Mas não é necessariamente diferente do que o Grupo Lazarus fez com a Sony, ou alguns outros alvos sul-coreanos, quando primeiro pediram dinheiro e depois despejaram os dados de qualquer maneira. É uma evolução particularmente preocupante”.

Ao contrário dos ataques do ExPetr, em que é improvável que as vítimas recuperarem suas máquinas, talvez não seja o caso com o Mamba.

“Criadores de malware wiper (destruidores) não são capazes de decifrar as máquinas das vítimas. O ExPetr, por exemplo, usa uma chave gerada aleatoriamente para codificar uma máquina, mas não a guarda”, disse Orkhan Memedov, pesquisador da Kaspersky. No entanto, no caso de Mamba, a chave deve ser passada para o trojan, significando que o criminoso conhece essa chave e, em teoria, é capaz de libertar a máquina”.

O Mamba surgiu em setembro de 2016, quando pesquisadores da Morphus Labs disseram que o malware foi detectado em uma empresa de energia no Brasil com subsidiárias nos EUA e Índia. Ao infectar uma máquina Windows, ele substitui o Registro de inicialização (MBR) por um personalizado e criptografa o disco rígido usando um utilitário de criptografia de HD de código aberto chamado DiskCryptor.

“O Mamba tem sido usado em ataques direcionados contra empresas e infraestruturas críticas inclusive no Brasil”, di o analista sênior de maware da Kaspersky no Brasil, Fabio Assolini. “Diferentemente das outras famílias de ransomware, ele impossibilita o uso da máquina comprometida, exibindo o pedido de resgate logo e cifrando o disco por completo. O uso de um utilitário legítimo na cifragem é outra prova de que os autores visam causar o maior dano possível”.

“Infelizmente, não há nenhuma maneira de decodificar dados criptografados com o DiskCryptor, porque ele usa algoritmos de criptografia fortes”, aponta relatório da Kaspersky.

Agradecemos ao Sérgio, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: Kaspersky

Empresas brasileiras “escondem” invasões e ataques cibernéticos

O Relatório Global de Fraude & Risco, publicado anualmente pela Kroll, consultoria especializada em gestão de riscos e investigações corporativas, constata que  aproximadamente uma a cada quatro empresas (23%) sofreu nos últimos 12 meses pelo menos uma violação de sistema resultando em perda de dados de clientes ou funcionários. O problema é o segundo maior fator de vulnerabilidade – atrás apenas da infestação por vírus/worms – e o quarto mais recorrente no mundo empresarial.

O estudo entrevistou cerca de 550 executivos dos mais diferentes setores em todo o mundo que são responsáveis ou que influenciam diretamente as decisões quanto a programas e estratégias de segurança e combate a fraudes. A segurança cibernética, aliás, é a mais ameaçada. Ataques, roubos ou perda de informações sigilosas foram reportados por 85% dos respondentes, a maior taxa de incidência no mesmo período. Chama também a atenção o fato de que a maioria desses eventos se dá por vulnerabilidade de software, meio citado por 26% dos participantes.

“As ameaças atingiram um alto grau de sofisticação e seguirão evoluindo. Às empresas, cabe buscar estar sempre um passo à frente ou pelo menos ao lado na gestão de seus riscos”, afirma Fernando Carbone, diretor sênior da Kroll no Brasil e especialista em segurança da informação.Na prática, porém, não é isso o que tem ocorrido. Apesar da ostensiva pressão de criminosos, o contingente de negócios desprotegidos é ainda significativo.  De acordo com o relatório, 30% das organizações não tinham um plano de resposta a incidentes cibernéticos atualizado nos últimos 12 meses antes da consulta.

Isso mesmo considerando o impacto potencial que um evento cibernético pode causar aos cofres e à reputação empresarial. Devido ao prejuízo econômico gerado pelos ataques cibernéticos, a imprensa noticiou que o Yahoo! vendeu seus ativos à operadora de telecomunicações Verizon por US$ 350 milhões a menos do que a pedida original. Pelo acordo, a companhia de mídia ainda mantém corresponsabilidade legal e regulatória por possíveis ações judiciais decorrentes da violação.

Para Carbone, o quadro no país é ainda mais crítico porque diferentemente de nações como Estados Unidos e Inglaterra, as empresas brasileiras não têm a obrigatoriedade legal de reportar a autoridades invasões e ataques a bancos de dados e matrizes tecnológicas. “Acaba sendo um atenuante que afrouxa o rigor com a detecção de incidentes e, em última instância, tem reflexos na percepção da ameaça. ”

Por aqui, a incidência de problemas cibernéticos foi de 76%, ou nove pontos percentuais menor que a média global. Já a violação de sistemas resultando em perda de dados de clientes ou funcionários é apenas o penúltimo fator de vulnerabilidade, citada por 38% dos gestores locais, contra 52% no resto do mundo. “No atual cenário, a postura preventiva e conscienciosa é a mais vantajosa. Do contrário, perdem todos na cadeia de negócios”,completa Carbone.

Fonte: Convergência Digital

Novo malware ataca bancos, governos e empresas de telecomunicação

fileless_malware_statsA Kaspersky alertou nesta semana para um novo malware praticamente indetectável que já infectou mais de 140 empresas e organizações em todo o mundo.

De acordo com o post em seu blog, o malware infectou bancos, agências governamentais e empresas de telecomunicações para roubar informações confidenciais. O Brasil também está entre os países onde a infecção foi notada.

O novo malware, que foi batizado como MEM:Trojan.win32.cometer e MEM:Trojan.win32.metasploit pela Kaspersky, é um verdadeiro pesadelo para administradores e gerentes de TI. O que o torna tão problemático é que ele utiliza softwares legítimos, e geralmente com código aberto, para infectar um sistema com Windows.

Quando a infecção é bem-sucedida, o malware remove todos os traços de sua presença no computador e passa a residir na memória. Com isso os softwares antivírus que verificam o disco rígido do sistema infectado não conseguem detectá-lo.

Outro detalhe é que o novo malware também pode se esconder em outras aplicações, ficando invisível para os softwares antivírus.

Em seu blog, a Kaspersky oferece detalhes mais técnicos sobre como o malware opera. O processo de infecção começa com um instalador temporário no disco rígido.

Este instalador temporário injeta o malware na memória do computador usando um arquivo MSI comum, que depois é removido automaticamente.

Já dentro da memória, o malware utiliza scripts do PowerShell para obter privilégios administrativos no computador infectado e começar a roubar as informações.

A partir do momento em que ele começa a coletar as informações, o malware utiliza a porta 4444 para transmitir as informações roubadas.

O novo malware é difícil de ser detectado por residir na memória. O antivírus precisa ser capaz de verificar este espaço enquanto o computador está em execução para que sua detecção seja possível. Se o PC for reinicializado, o malware também será removido.

Confira os detalhes técnicos sobre o malware acessando o post no blog da Kaspersky aqui.

Agradecemos ao Davi e ao Igor, colaboradores amigos do seu micro seguro, pela referência a essa notícia.

Fonte: Baboo

No Brasil, 20% das empresas não faz uso de antivírus

Security-breachUm estudo da IDC publicado em 17/01 passado sugere que uma em cada cinco empresas brasileiras não usa uma solução de “endpoint security”, categoria na qual se inclui um programa antivírus corporativo. Encomendado pelo provedor de internet Level 3, o levantamento se baseou em entrevistas com 100 empresas e avaliou as organizações em quatro esferas: conscientização, ferramental, prevenção e mitigação.

Uma ponderação dos resultados leva a um “índice de segurança”. O Brasil ficou com a nota 64,9, de uma máxima de 100. Como é a primeira vez que essa metodologia é empregada, não há resultados de outros países, mas a Level 3 estima que países “maduros”, como os da Europa, tenham um índice entre 76 e 83.

A primeira esfera, de conscientização, avalia a capacidade de documentação da empresa, a ligação da área de segurança com a de tecnologia e a importância para a área de segurança na realização de cada projeto. Nessa área, a pontuação do Brasil ficou em 67,8.
No geral, a maior deficiência no Brasil está na esfera “ferramental”, que avalia o uso de ferramentas de segurança como antivírus, criptografia, firewall e soluções mais avançadas, como Data Loss Prevention (que evita vazamentos de dados) e sistemas de monitoramento de ocorrências ligadas à segurança. Nessa categoria, a nota do Brasil ficou em 46,1.

Diversas empresas não possuem certas soluções de segurança e nem pretendem investir nelas dentro de um ano.
As empresas avaliadas são de vários tamanhos. Metade delas tinha mais de mil funcionários, mas todas têm ao menos 250. A pesquisa verificou que empresas menores costumam ter mais dificuldades pela falta de recursos para investir. Mesmo assim, o problema nem é sempre dinheiro e sim a destinação do recurso.

“Com o orçamento em alta e os investimentos em ferramental em baixa, vamos nos deparar com uma situação de ‘mais do mesmo’, ou seja, ao invés de investir em recursos que possam viabilizar melhor controle, automação de recursos e maior visibilidade, o gestor manterá seu parque (ou fará pequenas atualizações) e investirá em outras dimensões, como prevenção ou mitigação”, afirma o estudo.

Além da destinação dos recursos, o estudo apontou que também há uma carência de profissionais para operar e configurar todas essas ferramentas, o que contribui para a não utilização delas.

Preparação para ataques

O Brasil foi melhor nas áreas de prevenção e mitigação, com pontuação de 73,5 e 76,8, respectivamente.

O índice de prevenção avalia medidas e avaliações preventivas de segurança, como manter uma documentação adequada e atualizada das práticas de segurança. Um item avaliado nessa categoria que se apresentou como desafio é a realização de testes de segurança. O levantamento apontou que eles são feitos anualmente por apenas 34% das empresas.
“Este item sofre uma resistência por parte dos executivos de tecnologia ou de segurança da informação, que temem – equivocadamente – em ter os resultados desta iniciativa interpretados como desabono ao seu trabalho”, avalia o relatório.

A mitigação, que diz respeito à capacidade de reação da empresa no caso de um ataque, se apresentou como mais desafiante para empresas menores, nas quais os meios para acionamento da equipe tendem a ser informais e outras medidas tendem a ser ignoradas. Uma em cada cinco empresas não faz um controle adequado de fraudes e 7% delas não se vale de meios de redundância de operação, como backup. O índice nesta esfera também ficou prejudicado pelo índice da esfera ferramental, segundo o estudo.

Fonte: G1

Scams podem ter gerado prejuízo bilionário a empresas

scamEsse tipo de golpe solicita a transferência de dinheiro ou credenciais de acesso para sistema de pagamento via e-mail

Scams são um tipo de golpe popular quanto o assunto é ataque a e-mails corporativos – e eles tem se tornado gradativamente mais utilizados por cibercriminosos. Isso fica claro com um recente levantamento feito pelo FBI, o qual aponta que as organizações podem ter perdido mais de US$ 2,3 bilhões com esse tipo de e-mail malicioso, desde outubro de 2013 a fevereiro deste ano.

O golpe consiste em um funcionário da empresa (geralmente alguém da área financeira) receber um e-mail falso, o qual possui uma mensagem que supostamente é do presidente da companhia.

Na mensagem, o suposto CEO pede ao colaborador a transferência de uma certa quantia de dinheiro para uma conta bancária identificada na mensagem, ou mesmo informações sobre credenciais de acesso ao sistema que faz os pagamentos.

Algumas empresas grandes, como Snapchat, já foram vítima desse tipo de mensagem fraudulenta.

Agradecemos ao Davi, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: IT Forum