RANSOMWARE: CIBERCRIMINOSOS APOSTAM NO SEQUESTRO DE DADOS

O roubo de propriedade intelectual, credenciais, dados financeiros, informações pessoais ou documentos estratégicos são fortes motivadores financeiros de crimes virtuais, desde que o autor do ataque cibernético consiga achar interessados em pagar pelo produto do crime (concorrentes desonestos, quadrilhas de fraudadores etc.). Nesta década, contudo, os delinquentes começam a explorar um esquema mais direto: vender o que já é seu. Por meio de um malware, o criminoso tranca os arquivos e promete liberar a chave mediante um pagamento de resgate.

Além das ferramentas para o sequestro de dados, que sequer precisam sair de onde estão, essa modalidade de ataque cibernético conta hoje com um arsenal as-a-service para mascarar remetentes, e portais que orientam passo a passo o pagamento do resgate em bitcoins.

Carl Leonard, analista de segurança do Forcepoint Security Labs, observa que o ransomware apresenta uma expectativa relativamente fácil de retorno aos ataques cibenéticos. Ele menciona que alguns especialistas já apontaram ganhos de mais de US$ 300 milhões aos autores de algumas variantes do sequestro de dados.

Os valores extorquidos são de até US$ 1 mil na maioria dos casos e chegam a US$ 10 mil em alguns ataques cibernéticos direcionados, que conseguem atingir servidores ou usuários que detenham dados importantes. A ideia, evidentemente, é abreviar a decisão e os procedimentos para pagamento do resgate. Todavia, não há certeza do cumprimento do acordo, assim como se tem alto risco de perda de dados nos processos de lacrar e reabrir os arquivos.

A modalidade de ataque cibernético direcionada ao sequestro de dados traz outros atrativos aos criminosos. Não é preciso conhecer o contexto do dado; o próprio usuário atribui valor a uma anotação em planilha, ou uma foto do parto do filho. Também não é necessário nenhum esforço para extraviar ou violar os dados; mesmo com controles de upload e criptografia de informações confidenciais, no sequestro de dados a vítima não precisa ser deslocada ao cativeiro.

É claro que uma boa estratégia de backup é essencial, não apenas para mitigar o efeito de sequestro de dados por ataques cibernéticos, mas também como premissa básica da estabilidade de todo o ambiente. Contudo, os vetores de ataque cibernético usados nas variantes de ransomware indicam vulnerabilidades que precisam ser endereçadas para se proteger de sequestro de dados, assim como de outras ameaças à segurança da informação.

A primeira grande epidemia de ransomware ocorreu em 2013, com o CryptoLocker. A ataque cibernético tem como principais vetores anexos de e-mail, aplicativos infectados e web sites com código malicioso. Entre as variantes mais recentes, no final do ano passado começou a ser disseminado o Locky, transmitido por meio de uma macro em um anexo em Word. O Locky é capaz de encriptar bases de dados SQL, carteiras de bitcoin, código fonte e arquivos.

Neste caso, o Forcepoint Secutiry Labs frustrou as perspectivas dos criminosos ao destrinchar (por engenharia reversa) e publicar o domain generation algorithm (DGA), usado pelo malware para apontar os servidores de comando e controle que fazem a encriptação. Contudo, os especialistas enfatizam medidas simples de mitigação, como desabilitar a execução na instalação padrão do MS Office, ou simplesmente não abrir anexos de remetentes desconhecidos.

O especialista do Forcepoint Secutiry Labs elenca também outras medidas de prevenção a ransomware:

• Comece considerando esse risco no mapeamento de vulnerabilidades e planos de resposta a incidentes
• Reforce, reveja e teste os processos de backup e recuperação de dados
• Restrinja ao máximo o uso de acessos privilegiados
• Faça programas contínuos de conscientização dos usuários
• Implemente controles na rede, como bloqueio a servidores de comando e controle no firewall; ferramentas de proteção a ameaças avançadas (ATP), de preferência com sandbox; além de filtros de e-mail e conteúdo web
• Implemente ferramentas de controle nos end points, principalmente para usuários A proteção básica é manter o antimalware atualizado e as defesas podem incluir também bloqueio de aplicações e ULRs (com white list nos casos mais críticos) e até técnicas de análise de comportamento do usuário (UBA) para identificar atividades suspeitas, mesmo que os end points estejam desconectados da rede corporativa
• A segregação da rede é ainda mais essencial, tanto para evitar o acesso a áreas          críticas quanto para garantir a integridade do próprio backup

Um fator que tem multiplicado os riscos de ransomware é a atenção do criminoso à “experiência do usuário” atingido. Uma vez que a vítima concorda em pagar o resgate, conta com instruções muito claras de todo o processo, desde como comprar os bitcoins até a decriptação online de seus arquivos. Como ocorre tradicionalmente com casos de estelionato e afins, pior do que ceder ao criminoso é omitir as condições em que se executou o golpe, o que agrava as possibilidades de reincidência.

Veja as top 10 previsões para o mercado de segurança 2017!

Forcepoint é uma marca comercial da Forcepoint LLC. Raytheon é uma marca comercial registrada da Raytheon Company. Todas as outras marcas comerciais e registradas pertencem aos respectivos detentores.