Táticas para proteger empresas de Ransomwares

Desde que a primeira variante de ransomware foi disseminada por disquetes em 1989, os ataques desse tipo tornaram-se muito mais sofisticados. Os ataques WannaCry, por exemplo, que ocorreram em maio deste ano, usaram um malware worm para infectar computadores conectados a uma mesma rede, causando impactos a mais de 150 países e em diversas verticais, como agências de governo e fábricas.

O ransomware foi classificado como o malware mais rentável de todos, somando cerca de US$ 1 bilhão em lucros em 2016, de acordo com o FBI. Diversas outras pesquisas confirmam que o ransomware está crescendo, justamente porque os cibercriminosos aproveitam a enorme rentabilidade que ele traz.

A principal razão por trás do sucesso do ransomware é que as empresas estão, em grande parte, despreparadas para um ataque. Os ataques do WannaCry se espalharam rapidamente através de suas capacidades de autopropagação aproveitando principalmente hardware e software desatualizados de infraestruturas de rede de muitas organizações. Os prejuízos podem ser altos – desde o custo financeiro da parada do sistema, assim como danos à reputação e perda da confiança do público. Esses últimos tendem a ser danos de longo prazo.

Assim, a defesa em profundidade, apesar de não ser um conceito novo, ainda se traduz como a melhor forma de proteção contra o ransomware e outros tipos de ciberataques. Trata-se de uma abordagem de segurança em várias camadas, que envolve desde o conhecimento do que os atacantes estão trabalhando na deep web até o treinamento dos usuários finais para proteção contra ataques de phishing.

Algumas táticas desse princípio são:

Além de scans frequentes de vulnerabilidade e testes de penetração para determinar se a empresa possui as estratégias de defesa corretas para se proteger contra o ransomware, ferramentas podem ser usadas para observar o comportamento de um ataque. Um exemplo são os feeds de inteligências de ameaças, que monitoram ataques em outros locais a fim de alertar as empresas sobre as ameaças emergentes antes que elas atinjam a rede corporativa. Provedores de inteligência de ameaças analisam esses feeds constantemente, filtrando insights para fortalecer os sistemas de segurança.

Ferramentas de Gestão de Identidade e Acesso (IAM) e Controle de Acesso à Rede (NAC) são essenciais para identificar os dispositivos da empresa e garantir que eles estejam de acordo com as políticas de segurança de TI. Todos os endpoints devem ter uma proteção adequada que previne explorações de vulnerabilidade em todos os sistemas operacionais (Windows, Android, Mac OS, iOS). Além disso, firewalls de próxima geração (NGFW) adicionam uma camada extra de varredura antimalware para arquivos maliciosos já conhecidos, e sandboxing baseado na nuvem para malwares ainda desconhecidos. Soluções de segurança para e-mails, DNS e web também contribuem para níveis mais profundos de proteção.

Caso um malware tenha infiltrado os dispositivos ou a rede, as tecnologias devem estar em ordem para detectar anomalias e os analistas de segurança devem monitorar de perto a rede. Ferramentas de detecção de tráfego malicioso baseadas em inteligência artificial podem ajudar a automatizar a detecção antes que um ataque piore. Além delas, tecnologias de detecção de brechas como ferramentas de engano e serviços de monitoramento de ameaças 24/7 podem ser implementadas em locais estratégicos para saber se um ransomware está se propagando, oferecendo assim alertas prévios.

Esses são apenas alguns exemplos de táticas para construir uma boa defesa contra ransomware e outros malwares. Onde e como construir as defesas são considerações críticas para reduzir os riscos e mitigar as vulnerabilidades. Enfim, uma estratégia de processos, pessoas e tecnologia deve ser colocada em prática e ser constantemente melhorada para garantir a resiliência da empresa em casos de ciberataques e a continuidade dos negócios.

Fonte: IDG Now!

Novo Ransomware se espalha por países europeus

Segundo informações da ESET e Kaspersky, ameaça possui similaridades com o ransomware Petya. Alvos incluem aeroporto, metrô e sistemas de meios de comunicação.

Um novo ataque de ransomware se espalhou por diversos países da Europa nesta quarta-feira, 25/10, segundo pesquisadores da ESET e da Kaspersky. Chamada de BadRabbit, a ameaça atingiu redes corporativas e sistemas de aeroportos, metrôs e até meios de comunicação em locais como Rússia, Ucrânia, Turquia e Alemanha, entre outros.

De acordo com as empresas de segurança, o BadRabbit possui algumas similaridades com o ransomware Petya, que afetou diversos países europeus no último mês de junho. Entre elas, chama a atenção o fato dos dois ransomwares terem aparecido em vários dos mesmos sites hackeados e se espalharem por meio da interface Windows Management Instrumentation Command-line.

No entanto, o BadRabbit não utiliza EternalBlue, usado no Petya, ou qualquer outro tipo de exploit, conforme as descobertas das empresas de segurança.

A Kaspersky destaca que ainda o BadRabbit é um ataque do tipo ‘drive-by’, em que os usuários infectam suas máquinas ao baixar um instalador falso do Adobe Flash Player a partir de um site infectado – a maioria dos sites comprometidos encontrados pelos pesquisadores da empresa são de notícias ou de mídia.

Após invadirem as redes e sistemas e sequestrarem os arquivos dos usuários, os cibercriminosos por trás do BadRabbit exigem um resgate de 0,05 bitcoin – o que dá cerca de 280 dólares na taxa de câmbio atual. Por enquanto, ainda não foi descoberta e/ou publicada nenhuma forma de recuperar os arquivos criptografados sequestrados pelo BadRabbit.

Fonte: IDG Now!

nRamsom bloqueia PC e pede resgate pelo envio de nudes

Dá para dizer que 2017 é o ano do ransomware, com nomes como WannaCry e NotPetya causando diversos problemas ao redor do mundo. Agora, um novo tipo de malware capaz de sequestrar um computador e devolvê-lo somente após o pagamento de uma recompensa apareceu no pedaço: trata-se do nRansom, que pede nudes em troca do desbloqueio do máquina.

Sim, é isso mesmo. Se uma máquina é infectada, o seu dono precisa mandar nudes para os cibercriminosos para obter a destrava. E eles fazem questão de que as fotografias sejam do dono da máquina, informando até mesmo que vão averiguar a procedência das imagens antes de liberar o acesso ao computador.

“O seu computador foi travado. Você só pode destravá-lo com um código especial” avisa a mensagem exibida no PC sequestrado. Ela pede, então, que a vítima crie um email no serviço ProtonMail e envie uma mensagem para um endereço específico. “Depois de nossa resposta, você deve mandar pelo menos 10 nudes seus. Depois disso, nós verificaremos se os nudes pertencem a você. Uma vez verificados, daremos a você o seu código de desbloqueio e venderemos os seus nudes na deep web.”

Até agora, o único arquivo associado ao ransomware descoberto tem extensão EXE, ou seja, funciona apenas no Windows. O Kaspersky Lab alerta que as vítimas dessa ação não devem enviar fotos suas para os hackers e garante também ser simples se livrar do bloqueio: basta pressionar Ctlr + Alt + Shift + F4 ao mesmo tempo. Posteriormente, o ideal é passar o antivírus em todo o PC a fim de remover o malware, já identificado e combatido pelo Kaspersky Internet Security, garante a companhia.

Fonte: Tecmundo

Grandes instituições são o maior alvo dos cibercriminosos

Os cibercriminosos já não se contentam mais em aplicar os seus golpes contra indivíduos, pequenas e médias empresas; agora o foco é investir em perigosos ransomwares para as grandes corporações, especialmente instituições financeiras.

Segundo Anton Ivanov, pesquisador de segurança sênior da Kaspersky, o usuário médio já deixou de ser alvo, pois as grandes companhias são mais propensas a pagar grandes quantias de dinheiro para resgatar seus arquivos e suas informações confidenciais.

Ivanov afirma ainda que existem, atualmente, ao menos oito grupos de perigosos cibercriminosos envolvidos na distribuição de criptografias de ransomware para ataques em grandes bancos e instituições financeiras.

Como funciona o ransomware

O ransomware é um código malicioso que infecta o computador e é completamente controlado por humanos. Uma vez dentro da máquina, ele é capaz de acessar várias outras conectadas na mesma rede e manter o controle de arquivos presentes nela. Para recuperar, os cibercriminosos exigem um resgate em dinheiro que pode envolver centenas de milhares de dólares.

Para evitar os ataques, as empresas precisam adotar práticas que as deixem livres de vulnerabilidades, como o uso de ferramentas e o backup regular. Também é preciso monitorar qualquer atividade estranha que possa acontecer em suas máquinas.

Fonte: Tecmundo

Windows 10S: não tão seguro quanto se imaginava

A Microsoft está lançando o Windows 10 S, uma versão mais segura do SO e que, segundo a própria empresa, não executa nenhum tipo de ransomware conhecido

O ataque realizado em meados de maio com o ransomware WannaCry deixou o planeta inteiro preocupado com a vulnerabilidade de seus sistemas. Como já foi explicado aqui no TecMundo, o ransomware “sequestra” o computador, impedindo o acesso de seus donos que só é liberado mediante o pagamento de quantias em dinheiro, geralmente na forma de criptomoedas.

As principais vítimas do WannaCry foram versões antigas do sistema operacional Windows que não possuíam atualizações de segurança referentes a esse tipo de ransomware. Juntamente com toda essa história, a Microsoft está lançando o Windows 10 S, uma versão mais segura do SO e que, segundo a própria empresa, não executa nenhum tipo de ransomware conhecido.

Acesso limitado

O Windows 10 S é mais invulnerável a certos tipos de ameaças por instalar apenas aplicativos hospedados na Loja do Windows, ou seja, aplicações de procedência conhecida e que não apresentam risco de contaminação. O problema é que, ao testar o novo sistema da Microsoft, um especialista em segurança conseguiu aplicar nele um ransonware em cerca de três horas.

Você não pode nem acessar o prompt de comando para rodar arquivos, nem acessar ferramentas de script, nem o PowerShell. Nada

O experimento foi feito a pedido da publicação ZDNet com um novo Surface Laptop da Microsoft que contém o Windows 10 S. O especialista Matthew Hickey, também cofundador da Hacker House, uma empresa de cibersegurança, considerou fácil invadir o sistema com um ransomware.

Além de não aceitar software que não seja baixado pela Loja do Windows, o novo sistema operacional da Microsoft não permite a execução de nada que não seja essencial, ou seja, você não pode nem acessar o prompt de comando para rodar arquivos, nem acessar ferramentas de script, nem o PowerShell. Nada.

Driblando o sistema

O melhor que devemos fazer é o de sempre: tomar cuidado com o que acessamos usando o computador

Para burlar o Windows 10 S, Hickey executou um código de maneira que o sistema não o considerasse perigoso usando uma técnica chamada DLL Injection por meio de um arquivo do Microsoft Word cheio de macros. Isso permitiu que ele driblasse as restrições da Loja do Windows.

No fim das contas, o Windows 10 S não é a saída perfeita para a grande quantidade (cada vez maior) de ataques por meio de ransomware. A Microsoft ainda não se pronunciou quanto a esse teste e, por enquanto, o melhor que devemos fazer é o de sempre: tomar cuidado com o que acessamos usando o computador e utilizar um bom software antivírus.

Fonte: Tecmundo

Hacker libera chave que descriptografa arquivos sequestrados pelo Petya

O ransomware Petya teve a chave que libera a encriptação de arquivos divulgada por Janus, hacker que desenvolveu o ransomware original. Segundo Janus, ele não teve relação com os últimos ataques — o malware foi “pirateado” por um autor desconhecido, de acordo com o hacker.

Petya e o NotPetya afetaram hospitais, empresas e instituições governamentais com Windows 7

Para refrescar a sua memória: o ransomware Petya e o NotPetya possuem uma diferença primordial. Ambos os malwares criptografam máquinas e pedem bitcoins para a liberação de arquivos. Contudo, o NotPetya apaga os arquivos após o pagamento. Por isso não se recomenda qualquer pagamento relacionado aos ransomwares.

Ainda, o Petya e o NotPetya afetaram hospitais, empresas e instituições governamentais com Windows 7. Mesmo assim, ele foi bem menor que o ransomware WannaCry, que afetou mais de 300 mil computadores em mais de 150 países, mirando versões Windows XP, Server 2003, Windows Vista e Windows 8.

Chave de liberação

O hacker Janus liberou a chave via Twitter. O arquivo para download traz uma encriptação protegida por senha:

Após colocar a senha, a seguinte chave é mostrada (38dd46801ce61883433048d6d8c6ab8be18654a2695b4723).

Não pague ransomware

Não pague ransomware: o mercado do crime virtual gera bilhões de dólares anualmente pelo mundo. Estamos falando de US$ 400 bilhões, segundo a Norton. Apenas no Brasil, em 2016, esse número foi US$ 32 bilhões. Exatamente por isso, podemos afirmar que o cibercrime é um mercado vivo.

Uma das ferramentas que puxa boa parte desse dinheiro é o ransomware, que invade a máquina da vítima, sequestra os arquivos via criptografia e exige uma quantia de dinheiro em bitcoin para liberação dos documentos, vídeos, fotos, senhas e tudo mais que há na máquina.

O que vale é a máxima da prevenção. Manter backups seguros de tudo que possui online, utilizar a nuvem para vários fins e ter, no mínimo, uma boa solução de segurança são alguns dos pontos. Porém, se você mesmo assim teve o seu computador infectado por ransomware, não pague bitcoins aos cibercriminosos e não alimente esse mercado.

Fonte: Tecmundo

Ransomware SLocker ameaça o Android

A onda do momento quando se fala em crimes virtuais é o ransomware. A técnica que resulta no “sequestro” de uma máquina, bloqueando o acesso a ela e exigindo um pagamento como resgate, ganhou fama com o WannaCry e, agora, outras ameaças começam a capitalizar em cima do seu sucesso.

Um desses problemas é o SLocker, uma família de ransomware famosa por agir no mundo mobile já há algum tempo. Na penumbra durante os últimos anos, o SLocker voltou à tona de forma repentina em maio visando a aparelhos com Android. O ransomware é supostamente o primeiro direcionado ao sistema da Google a utilizar criptografia de arquivos e a rede TOR para garantir o anonimato de suas comunicações a partir de um aparelho infectado.

O sistema operacional mais popular do mundo (inclusive mais usado do que o Windows) é um dos mais visados quando se fala em vírus e malware na atualidade, e não demoraria mesmo para que uma ameaça grave surgisse para ele. Apesar de ser capaz de travar o acesso a alguns arquivos do Android e exigir um pagamento para liberá-los, o SLocker já foi controlado.

Isso porque, logo após a sua identificação, ferramentas capazes de desbloquear com sucesso os aparelhos tomados pelo ransomware também foram publicadas, reduzindo assim o seu potencial de risco. Além disso, apenas cinco dias após os especialistas em segurança terem tomado ciência do retorno do SLocker, um suposto responsável por ele foi preso pela polícia na China, o que deve comprometer ainda mais a sua atuação.

Segundo o blog da companhia especializada em segurança digital TrendMicro, graças aos canais de transmissão limitados da nova ameaça para o sistema Android, poucas pessoas foram atingidas pelo SLocker.

Método

Ainda de acordo com a TrendMicro, a amostra do ransomware obtida por eles veio por meio de um aplicativo chamado King of Glory Auxiliary, uma espécie de cheater para o altamente popular game mobile King of Glory.

Ao infectar um dispositivo móvel, o SLocker faz uma busca no Android por arquivos cujo tamanho varie entre 10 KB e 50 MB, evitando com isso bloquear arquivos essenciais do sistema (o que impediria o Android de funcionar) e visando aos arquivos baixados da web, documentos de texto, fotos, vídeos e por aí vai. Após criptografá-los, o ransomware solicita o pagamento de uma determinada quantia para então fornecer a chave capaz de destravar o acesso aos arquivos.

Aparentemente, a ameaça do SLocker está sob controle; afinal, seu possível criador foi preso e já foram publicadas ferramentas capaz de descriptografá-lo. Entretanto, é sempre importante ficar alerta para possíveis variações (ou mesmo “concorrentes”) que possam sugir.

Fonte: Tecmundo