Brasil: o sexto país no mundo em vulnerabilidade a Ransomware

Cerca de 250 empresas brasileiras foram afetadas pelo ataque global de hackers do último dia 12, que disseminou o vírus WannaCry para sequestrar informações de computadores de empresas e instituições em mais de uma centena de países. O número consta de levantamento da MalwareTech, que mostra o setor de telecomunicações como o mais afetado no país. O Brasil é considerado pela empresa de segurança Kaspersky o sexto país mais vulnerável a vírus do tipo ramsonware — que bloqueia os arquivos de um computador até o pagamento de um resgate — atrás de Rússia, Ucrânia, China, Índia e México.

No ano passado, o país teria sofrido 64,2 mil tentativas de invasão por dia, segundo dados da Symantec, patamar quase três vezes maior em relação ao ano anterior. A previsão é que o número aumente ainda mais neste ano. Do total de ataques, 80% foram tipos de vírus que surgiram no ano passado, destacou André Carraretto, estrategista em cibersegurança da Symantec. Com mais vírus por aqui, o Brasil também tem se tornado o ponto de origem de ataques à rede, como o que ocorreu semana passada. Se em 2015, o país representava 2% da origem dos ataques em todo o mundo, no ano passado, esse número subiu para 14%.

NO BRASIL, EMPRESAS TÊM ATITUDE REATIVA

Para Carraretto, esse avanço é reflexo da falta de investimento. Segundo ele, à exceção dos bancos, o assunto não costuma ser discutido no âmbito do Conselho de Administração das companhias.

— No Brasil há uma postura reativa. As empresas precisam ter uma estratégia em segurança. Hoje, os setores mais expostos a vírus no país são varejo, agricultura e indústrias. As pequenas e médias são os principais alvos dos hackers — destacou.

As estimativas de investimento de empresas brasileiras em segurança digital variam de US$ 200 milhões a US$ 1 bilhão por ano, mas analistas são unânimes em afirmar que as empresas deveriam destinar mais recursos para evitar dor de cabeça. A estimativa da Kaspersky é que as companhias invistam de 0,5% a 0,6% do orçamento da companhia em segurança da informação. Nos EUA e na Europa, o indicador chega a 3% ou 4% por ano.

— O investimento é pequeno. As empresas se comportam como usuários caseiros e veem segurança como commodity. Há empresas que usam softwares gratuitos para quase todos os funcionários e colocam um sistema de segurança maior em alguns equipamentos. Isso cria uma falsa sensação de segurança. O WannaCry chegou ao Brasil em uma hora e meia — afirma Roberto Rebouças, gerente-geral da Kaspersky.

Os pagamentos em bitcoins em todo o mundo no ataque do último dia 12 somaram US$ 95 mil, segundo a Kaspersky. O valor é baixo, analisa a Stefanini Rafael, joint-venture entre a brasileira Stefanini e a estatal israelense de defesa cibernética Rafael, se comparado ao potencial de prejuízo que esse tipo de ação causa à imagem das empresas. E mais ainda quando se considera a hipótese de paralisação das atividades para evitar o alastramento da contaminação.

HOSPITAIS ESTÃO ENTRE OS MAIS VISADOS

Uma indústria paulista que foi alvo dos hackers no dia 12 e teve seu IP bloqueado pela Secretaria da Fazenda de São Paulo, por exemplo, ficou impedida de emitir notas fiscais e deixou de faturar R$ 3 milhões naquele dia.

— Estimativas indicam que uma empresa deve aplicar de 5% a 15% do que investem em tecnologia da informação (TI) na segurança digital. No Brasil, não é assim. São investidos em média de 2% a 3% — diz Carlos Alberto Costa, diretor geral da Stefanini Rafael.

Especialistas apontam que o ataque do WannaCry colocou muitas empresas em estado de alerta. A procura por consultoria e novas soluções de segurança deve aumentar em 30% o volume de negócios das empresas que fornecem soluções como antivírus. Para Marco Ribeiro, da consultoria global Protiviti, o baixo investimento no setor está associado à recessão.

— Não investimos o suficiente. Em média, uma pessoa leva 200 dias para identificar que foi atacada. Com o ataque global, pode haver uma mudança de percepção. Esperamos aumento de 30% na busca por consultorias e novos serviços — acrescentou.

Segundo o professor do curso de Cibersegurança do Centro Universitário Salesiano de São Paulo (Unisal), em Campinas, Paulo Brito, o novo vírus fez as empresas brasileiras atentarem para o fato de que o risco de perda de dados é grande. Ele destacou os problemas ocorridos no sistema do INSS, no Tribunal de São Paulo, além de grandes companhias terem desligado seus sistemas. Segundo ele, isso ocorre porque o Brasil não tem uma lei que obrigue a divulgação de informações sobre o vazamento de dados, como ocorre nos Estados Unidos.

— Como as empresas no Brasil não são obrigadas a divulgar essas informações, tendemos a achar que está tudo bem. Os ataques vão aumentar — avalia.

Os setores mais bem preparados em segurança digital no país, segundo Costa, da Stefanini, são o financeiro, o de telecomunicações e o de comércio eletrônico. Mesmo assim, uma das empresas mais afetadas pela ofensiva do WannaCry no Brasil e no mundo foi a Telefónica. Com a invasão de computadores de sua sede na Espanha, a unidade brasileira foi orientada a não ligar os computadores para evitar o alastramento do vírus.

A possibilidade de os hacker desencadearem a contaminação de computadores sem que o usuário tenha que acionar um link (sem interação humana) foi outra novidade descoberta na semana passada sobre a ofensiva do WannaCry, segundo Fábio Assolini, analista da Kaspersky. Segundo ele, até a quinta-feira da semana passada, não se conhecia versão do ransomware capaz de iniciar a contaminação sem que o usuário da máquina desse um clique no arquivo ou link malicioso.

— Todos os ransomware conhecidos até então dependiam de enganar uma vítima. O WannaCry, para se disseminar numa rede, agora, não requer interação humana alguma, basta encontrar uma porta para se espalhar. Por isso, a abrangência foi tão grande — explicou.

Entre os setores que menos investem em segurança digital destaca-se o de saúde, observou o diretor da Stefanini Rafael. O prestigiado hospital Sírio Libanês, em São Paulo, foi atacado e, segundo um funcionário que pediu para não se identificar, todo o sistema no qual os exames e protocolos de pacientes são armazenados ficou fora do ar até domingo. Os atendimentos eram feitos por fichas preenchidas manualmente. Durante todo o fim de semana, os pacientes não conseguiram agendar exames. Em nota, o hospital informou que “alguns de seus sistemas foram afetados” pelo ciberataque, acrescentando que não houve interrupção de processos assistenciais ou perda de informações relativas a pacientes.

— Os hospitais gastam milhões em equipamentos complexos, que são conectados à rede e que também podem ser invadidos, como os tomógrafos por exemplo, mas não aplicam milhares de reais na segurança digital — afirmou Costa, da Stefanini.

FALTA DE LEGISLAÇÃO DIFICULTA CONTROLE

Wolmer Godoi, diretor de cibersegurança da Cipher, classifica o brasileiro como um “anestesiado digital”. Segundo ele, o fato de não existir uma legislação no Brasil para a divulgação de vazamento de informação e perda de dados faz com que não se tenha registros sobre esses problemas.

— É preciso uma legislação para mudar isso. Por isso, não se fica sabendo dos problemas que ocorrem com os hackers no Brasil em empresas privadas. O investimento está aquém do necessário. Ainda temos o problema cultural, de achar que o problema não vai chegar aqui — afirmou Godoi, destacando que também vem registrando maior procura de empresas após o ataque global.

Fonte: O Globo

Ciberataque em escala global

O malware que atacou na manhã desta sexta-feira os equipamentos da Telefónica, em Madri, já chegou a várias dezenas de países. Do tipo ransomware, ele promove o sequestro de dados e cobra um resgate para liberar o sistema, tendo infectado várias empresas e instituições na Espanha, Taiwan, Rússia, Portugal, Ucrânia, Turquia e Reino Unido — neste último, o vírus causou um colapso no Serviço Nacional de Saúde —, segundo informações divulgadas pelas empresas especializadas em cibersegurança s21sec e Check-point. Costin Raiu, diretor global do grupo de pesquisadores e análises do Kaspersky Lab, uma empresa de segurança em informática, afirmou em um tuite que foram registrados mais de 45.000 ataques em 74 países. Até o momento, esses ataques não atingiram infraestruturas consideradas críticas.

O ataque que afetou a sede da multinacional de telecomunicações espanhola Telefónica reverberou no Brasil, onde a companhia controla a Vivo, de acordo com o jornal O Globo. A empresa divulgou nota, contudo, para dizer que seu sistema não foi afetado. “A Telefónica Espanha informa que na manhã de hoje foi detectado um incidente de segurança cibernética que afetou alguns computadores de colaboradores que estão na rede corporativa da empresa. Imediatamente, foi ativado o protocolo de segurança para tais incidentes com a intenção de que os computadores afetados voltem a funcionar o mais rapidamente possível”, informou. A nota termina dizendo que “a Telefônica Brasil não foi impactada pelo incidente de segurança, mas, mesmo assim, está tomando medidas preventivas para garantir a normalidade de sua operação.”

Os sites do Tribunal de Justiça e do Ministério Público de São Paulo saíram do ar nesta sexta-feira. Segundo os órgãos, seus sistemas não chegaram a ser afetados pelo ataque de escala mundial, mas a medida foi tomada para prevenir problemas. No Rio de Janeiro, quem sofreu foi a Previdência Social, segundo o jornal O Globo. Os computadores da Previdência e do Instituto Nacional do Seguro Social (INSS) tiveram de ser desligados. Na Petrobras, os funcionários foram instruídos a salvar seus trabalhos e desligar seus aparelhos por cerca de 15 minutos.

Esse tipo de vírus, que ao ser executado aparenta ser inofensivo e imita outros aplicativos, é o mais comum e representa 72,75% dos malwares, segundo os últimos relatórios das empresas Kaspersky Lab e PandaLab. As análises do Instituto Nacional de Cibersegurança (Incibe) demonstram que o software maligno que provocou o ataque cibernético em nível mundial é um WanaCrypt0r, uma variante do WCry/WannaCry. Depois de se instalar no equipamento, esse vírus bloqueia o acesso aos arquivos do computador afetado, pedindo um resgate, e pode infectar os demais computadores vulneráveis da rede. O WanaCrypt0r codifica arquivos do disco rígido com extensões como .doc .dot .tiff .java .psd .docx .xls .pps .txt e .mpeg, entre outras, e aumenta a quantia do resgate à medida que o tempo passa. “A criptografia dos arquivos prossegue depois do aparecimento do comunicado de extorsão, ao contrário de outros ataques, que não mostram a notificação enquanto a codificação não tiver sido completada”, explica Agustín Múñoz-Grandes, CEO da s21Sec.

“Esse tipo de ataque afeta todo o mundo, mas vimos que os criminosos tentar ir para as empresas, já que possuem informação valiosa pela qual estão dispostas a pagar resgate”, indica o estudo de Panda. Alguns especialistas em cibersegurança, como Jakub Kroustek, dizem que nas redes sociais foram rastreados cerca de 50.000 ataques do WannaCry. Esse mesmo perito afirma no blog de sua empresa, a Avast, que observaram a primeira versão desse vírus em fevereiro e encontraram a mensagem de resgate escrita em 28 idiomas.

Segundo Eusébio Nieva, diretor técnico da Check-Point na Espanha e Portugal, o ransomware é a estratégia mais utilizada para atacar as grandes empresas. “Os hackers pedem que o resgate seja feito por meio de um pagamento digital que não possa ser rastreado”, diz Nieva. O especialista explica que esse software maligno pode chegar a um sistema de modo bem simples, desde um correio eletrônico com uma fatura falsa, por exemplo, até uma técnica conhecida como watering hole, que no caso das grandes empresas infecta uma página (geralmente da rede intranet) que os funcionários ou usuários acessam com frequência. “Essa é a forma mais rápida para uma distribuição maciça”, afirma.

O perito diz, porém, que o pagamento de um resgate não é garantia de que se possa recuperar a informação criptografada pelo vírus: “A possibilidade é de 30% a 40%”. Mas, como é possível se proteger desses ataques? Segundo o especialista, na era em que os malwares deixaram de ser obra de atacantes individuais para se tornar uma rede industrializada que gera dinheiro, os tradicionais programas antivírus já não são suficientes. Os mais avançados em proteção, de acordo com Nieva, são os programas de anti-APP ou sandboxing, que rastreiam o comportamento do sistema ou da rede de informação, identificam qualquer software maligno e o eliminam.

“O sandboxingé o que funciona melhor. Quando chega um documento por correio eletrônico, por exemplo, o sistema o abre em um entorno virtual e, se detecta algo suspeito, o remove antes que chegue ao usuário”, explica o expert. O problema, segundo ele, é que se trata de um modelo recente e muitas empresas o utiliza simplesmente como um sistema de detecção em vez de proteção.

O Governo da Espanha emitiu um comunicado no qual orienta os possíveis afetados a aplicar os últimos procedimentos de reparo de segurança publicados nos boletins de maio.

Como o ransomware atua

Depois de criptografar os arquivos do disco rígido, o WanaCrypt0r muda o nome das denominações de extensão dos arquivos afetados para .WNCRY. Em seguida, o vírus faz saltar na tela a seguinte mensagem: “Ooops, os seus arquivos importantes estão codificados” e pede como resgate 300 dólares (940 reais, aproximadamente) em bitcoins (um tipo de moeda digital) para liberá-los. A mensagem inclui instruções sobre como realizar o pagamento e um cronômetro.

“Este ataque demonstra uma vez mais que o ransomware é uma poderosa arma que pode ser utilizada igualmente contra os consumidores e as empresas. O vírus se torna particularmente desagradável quando infecta instituições como hospitais, onde pode pôr em perigo a vida das pessoas”, afirma o Avast em um comunicado.

Ataque em Portugal

Em Portugal foi registrado um ataque cibernético que se concentrou na área de comunicação e no setor bancário e, segundo fontes da investigação, inclui a PT, Caixa Geral de Depósitos e BPI, embora as empresas não tenham admitido, informa Javier Martín de Lisboa. Apesar de o ataque ser muito amplo, somente a Portugal Telecom admitiu ter sido um alvo: “Todas as equipes técnicas estão adotando as medidas necessárias para resolver a situação. Foram ativados todos os planos de segurança. A rede dos serviços de comunicação fixa, móvel, internet e televisão não foi afetada”, diz a operadora. Os atacantes pedem resgate para o desbloqueio dos computadores bloqueados, e o querem em moeda virtual, o bitcoin, que neste momento chegou precisamente à sua cotação recorde, 1.800 dólares (cerca de 5.700 reais), e cujas transações não deixam rastro. A mensagem em português adverte que o valor do resgate (300 dólares) será duplicado num prazo de três dias e que se até sete dias a quantia não for paga, os arquivos serão destruídos. De acordo com a empresa de segurança S21Sec, o ataque afeta computadores com versões do Windows e programas muito populares, como Word e Excel, também da Microsoft, e os especialistas recomendam usar “de modo imediato” o procedimento de segurança MS17-010.

Fonte: El Pais

Brincando com fogo

O ransomware é uma forma de golpe virtual que não para de crescer, mas todos operam de forma parecida: seus dados são “sequestrados” (normalmente protegidos por criptografia) pelo invasor e só há a devolução mediante pagamento em dinheiro. Só que uma nova e criativa forma de resgate foi descoberta por aí — e não duvide se ela virar moda.

Ele se chama rensenware, uma mistura do nome original do golpe com a palavra “rensen”, que em japonês significa “séries de batalhas”. Em vez do dinheiro, tudo o que precisa fazer é atingit 200 milhões de pontos no nível “Lunatic” no jogo TH12 ~ Undefined Fantastic Object.

Parece moleza? Então confira o gameplay abaixo e veja como desembolsar alguns dólares talvez seja menos doloroso. O aviso ainda diz que, se você tentar trapacear no game ou fingir que conseguiu a pontuação, terá que sofrer consequências terríveis.

 

Calma, é só uma brincadeira!

Na verdade, esse ransomware não é fruto de um grupo hacker criminoso ou algo do tipo. O criador atende pelo apelido de Tvple Eraser e criou o programa como uma brincadeira.

No fim das contas, isso não passa de uma piada com a comunidade Touhou Project Series, franquia da qual TH12 faz parte. Ele então disponibilizou o código da brincadeira para que fosse possível “infectar” outras pessoas. Em seguida, ele mesmo soltou uma ferramenta capaz de manipular a pontuação e permitir a liberação de dados sem a necessidade de bater o recorde impossível (mas ainda pedindo o jogo instalado).

Só que o jogo pode virar

Eraser pediu desculpas e disse que a intenção dele nunca foi disseminar um programa com más intenções — e é bem possível que isso seja verdade. Ele nunca tentou enganar pessoas e deixava bem claro o tom bem humorado da ferramenta.

Só que, ao distribuir isso pela internet, ele está dando uma arma poderosa que pode cair na mãos de gente mal intencionada. Quem duvida que essa ideia de fazer um jogo impossível como ransomware (ou até modificar um pouco o código original para impedir o uso do “antídoto”) pode não virar moda daqui para frente? O rapaz pode ter criado sem querer uma nova e ainda mais irritante forma de um ataque que já dá muita dor de cabeça a vítimas e especialistas em segurança do jeito que existe hoje.

Fonte: Tecmundo 

Ransomwares ameaçam os Macs

Os ransomwares estão nas categorias de malwares mais perigosos e, para a infelicidadea dos usuários de computadores MacOS, algumas versões de ransomwares programadas em Swift, a nova linguagem da Apple, já estão soltos e mirando computadores. Uma das versões se chama “Patcher” e está escondida em arquivos de sites que compartilham torrents para download.

A ESET que encontrou o ransomware e notou todos os detalhes de como ele funciona no próprio blog. Os cibercriminosos simularam a aparência do vírus como produtos Microsoft Office ou aplicativos da Adobe Creative Cloud.Assim que o ransomware é aberto no MacOS, os arquivos do computador são encriptados — ou seja, bloqueados — e documento exige um pagamento em bitcoins para a liberação. Acontece que, mesmo após pago, os arquivos não são liberados, segundo a ESET.

Fonte: Tecmundo

Saúde: um dos principais alvos dos cibercriminosos em 2017

ransomA segurança virtual em 2016 foi marcada por diversos casos de ataques a pessoas e empresas, ocasionando vazamento de informações sigilosas. De acordo com uma pesquisa recente, um dos setores mais atingidos foi a saúde e esses problemas tendem a piorar em 2017.

A Palo Alto Networks – organização especializada em soluções de segurança corporativa – divulgou um levantamento indicando que a área da saúde é um dos principais alvos para ataques, por se tratar de um setor essencial para a população. Mas qual é a vantagem de se infiltrar na rede de um hospital? A resposta é simples: é fácil de fazer e dá muito dinheiro aos criminosos.

O principal instrumento utilizado nos ataques é o ransomware – código malicioso infiltrado que torna inacessível os dados armazenados e exige pagamento de resgate por Bitcoin, um modo fácil de transferir valores e difícil de ser rastreado. Os principais alvos são servidores de sistemas, fundamentais para o funcionamento e o dia a dia da instituição.

Outro ponto apresentado no relatório é a fragilidade dos sistemas de segurança das instituições, principalmente as públicas. O processo de inteligência de ameaças na área da saúde é lento, manual e demorado. As organizações justificam que boa parte dos investimentos em tecnologia não são direcionados para computadores e servidores, mas sim para maquinários de exames e laboratórios (extremamente caros e fundamentais para o setor).

De acordo com o documento, ainda não é possível confirmar se algum ataque gerou danos físicos aos pacientes (afinal, equipamentos médicos também são computadores), mas a consultora trabalha com a hipótese de que seja apenas uma questão de tempo até que um agente malicioso se aproveite disso.

Fonte: Tecmundo

70% dos e-mails com malware continham Ransomware

ransomwareNo ano passado quase metade das organizações mundiais foram alvo de ataque “ransomware”. Durante o segundo trimestre, 7 em cada 10 e-mails com conteúdo malicioso traziam como anexo o Locky – uma das variantes mais comuns desse tipo de malware – e quase dois terços dos kits de exploit continham ransomware, segundo informou o site Seginfo”.

Nos EUA, números divulgados pelo FBI mostram perdas de mais de US$ 200 milhões sofridas por empresas do país, entre as quais estão hospitais e até um dos serviços de transporte da cidade de São Francisco, na Califórnia .

Esses são apenas alguns dados que mostram o impacto desse tipo de ameaça, que está longe de ser extinta. Na verdade o ransomware não só está em alta como está em vias de evoluir e se tornar potencialmente ainda mais perigoso, segundo o CTO da WatchGuard Technologies, Corey Nachreiner, que em artigo para o site HelpNet Security alerta para a chegada do ransomworm.

Worms são malwares capazes de se espalhar através de redes de computadores, seja se aproveitando das características de compartilhamento da própria rede ou seja explorando vulnerabilidades encontradas nessa rede, “agora imagine um ramsomware anexado a esse tipo de malware. Depois de infectar uma vítima ele poderia se autocopiar para potencialmente qualquer computador que ele conseguir alcançar dentro de uma rede”, diz o CTO.

Ele alerta que criminosos já fizeram uso de características de varredura de rede em algumas variantes de ransomware e que há uma grande possibilidade de versões mais agressivas desse híbrido surgirem em 2017: “suspeito que neste ano você verá ransomworms que se espalham rapidamente em redes locais, senão na internet”.

Agradecemos ao Davi, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: Convergência Digital

KillDisk: o malware que virou ransomware

killdiskO malware KillDisk foi utilizado em diversos ataques em 2015 e as versões mais recentes agora agem como ransomware.

Ao invés de apagar os dados armazenados, o malware agora criptografa os arquivos e exibe uma mensagem pedindo um pagamento de 222 bitcoins para desbloqueá-los. Esta quantia seria equivalente a US$ 250.000.

Um detalhe sobre o malware é que ele agora também possui uma versão para Linux que pode infectar desktops e servidores.

De acordo com post publicado pelos pesquisadores da empresa de segurança ESET, a rotina e os algoritmos de criptografia da versão para Windows são diferentes da versão para Linux.

Outro detalhe sobre a versão para Linux é que mesmo se o resgate for pago, não será possível desbloquear os arquivos.

Fontes: Baboo e ESET