Os ransomwares continuam a atacar! Você sabe como se manter protegido?
Autor: Telium Networks
Publicação: 14/09/2018 às 02:27
Maio de 2017 ficou marcado por uma dos maiores ocorrências hackers da história. Estamos falando do ataque ransomware WannaCry, que devastou a internet e impactou principalmente computadores europeus. O WannaCry explorou uma vulnerabilidade do Windows descoberta inicialmente pela NSA e posteriormente revelada para todo o mundo pela Shadowbrokers.
Nas primeiras horas de infecção, 200 mil máquinas já haviam sido impactadas, e até mesmo grandes organizações, como a Renault, foram atingidas pelo malware.
Você provavelmente ouviu falar de tudo isso, mas será que sabe o que é um ataque ransomware e quais opções um negócio tem para se proteger? Caso a resposta seja negativa, continue lendo este texto.
O que é um ataque ransomware?
Um ataque ransomware é um tipo de malware que acomete o seu computador, sequestrando o acesso às informações e funcionalidades. Ele pode travar seu teclado ou impedir que você visualize arquivos, até que pague um resgate, geralmente em Bitcoin. A moeda virtual, basicamente irrastreável, é a escolha favorita de cibercriminosos para cobrar pela chave de criptografia dos seus arquivos.
Chave de criptografia? Isso mesmo. O ransomware não age “sequestrando” de verdade os seus arquivos, mas criptografando-os, a fim de que você não possa fazer nada com eles. Sem essa chave, armazenada nos servidores dos hackers, todos os arquivos na sua rede tornam-se virtualmente inúteis.
Ransomware é um negócio que anda crescendo, pois é bastante lucrativo. Se em 2012 a Symantec estimava que o CryptoDefense faturava 34 mil dólares por dia, hoje ferramentas evoluídas e mais poderosas, como o Petya, conseguem movimentar milhões em grandes ataques ao redor do globo.
WannaCry e Petya são a evolução do ransomware?
Desde o CryptoDefense, esse primeiro ransomware que assustou o mundo em 2012, muita coisa mudou. Hoje, os ataques dessa natureza que aterrorizam as empresas e usuários ao redor do mundo são muito mais complexos do que naquele momento inicial. Isso significa que eles também são muito mais difíceis de derrotar.
Um avanço global, de extensão gigantesca, chamado Petya vitimizou o mundo inteiro apenas dois meses depois do susto dado pelo WannaCry. Se o WC afetou 230 mil computadores em mais de 150 países, o Petya teve um impacto ainda maior.
Explorando a vulnerabilidade EternalBlue do Windows — para a qual havia um patch de atualização, mas que não teria sido instalado por todos os usuários —, o malware se espalhava pelo computador hospedeiro. E caso não obtivesse sucesso nessa primeira tentativa, ele tinha um plano B: usar as ferramentas administrativas do sistemas para infectá-lo.
Essa é a grande diferença entre o Petya e o WannaCry. O ataque era mais complexo e já previa a possibilidade de ser impedido por atualizações de segurança. O fato de ter um mecanismo mais eficiente para se espalhar apenas significou um número maior de infecções.
Se isso não fosse aterrorizante o bastante, o Petya ainda sabia quando poderia ser detectado. E ao prever que uma rede teria capacidade de interromper seu ataque, ele ficava inerte no computador hospedeiro, escolhendo infectar outras máquinas na mesma rede. Por isso o malware causou uma disrupção séria em empresas ao redor do mundo — e foi responsável por uma parada na TI brasileira.
No País, ele afetou diversos hospitais do interior de São Paulo e fez com que inúmeros pacientes ficassem sem atendimento. Mas o dano mais sério foi causado a empresas ucranianas, que viram sistemas como o de metrô e o dos seus aeroportos serem comprometidos.
Como minha empresa pode se proteger de ataques ransomware?
A boa notícia é que sua empresa não precisa ficar refém (literalmente) do ransomware. Há uma série de medidas que ela pode tomar para proteger sua infraestrutura de TI e responder no caso de um desastre. Selecionamos algumas delas para que você saiba o que fazer antes, durante e depois de um ataque.
Antes de um ataque ransomware
A prevenção de ransomwares deve ser uma prioridade da sua TI, visto que as ameaças nessa área da cibersegurança só têm aumentado.
Fique de olho para não:
- cair em campanhas de spam que contenham links maliciosos ou anexos suspeitos;
- baixar software de fontes desconhecidas;
- usar dispositivos de mídia externos suspeitos;
- usar software ou sistemas operacionais desatualizados, que deixam a sua equipe vulnerável;
- infectar outros computadores na mesma rede. Caso suspeite de uma infecção, desconecte-se imediatamente dos servidores da empresa.
Ao mesmo tempo, invista em políticas proativas, como:
- o desenvolvimento de um plano de recuperação de desastres;
- a criação de backups diários, semanais e mensais dos seus arquivos corporativos;
- a instalação de bons softwares antivírus e antimalware.
Apenas com backups é possível reverter o dano causado pelos ransomwares. Por isso, uma infraestrutura de backup é o investimento mais urgente para qualquer negócio.
Durante um ataque ransomware
Pode acontecer de você ser infectado por ransomware mesmo tomando todas essas precauções. Afinal, hackers são tipos criativos e, a cada dia que passa, inventam novas estratégias para conseguir acesso aos seus arquivos. Por isso descubra o que fazer durante um ataque ransomware:
- tente descobrir o que o ransomware infectou e qual é o tamanho do dano;
- isole a máquina infectada e desconecte-a da rede, como mencionamos no tópico anterior;
- procure por arquivos com extensões desconhecidas, como .zepto ou .locky para calcular a dimensão da infecção;
- tente identificar qual foi a fonte da infecção. Isso pode ajudar a contê-la.
Depois de um ataque ransomware
Depois de ser infectado por um ransomware, não há muito que você possa fazer além de recuperar seus backups. Você deve ter um plano de recuperação de desastres no lugar para esse tipo de situação e cópias de segurança armazenadas fora do local, que podem ser acessadas com facilidade e agilidade. Dessa forma, o seu negócio pode voltar a operar em alguns instantes.
Nunca, em hipótese alguma, faça o pagamento do resgate. Essa é uma péssima ideia, pois não há garantia nenhuma de que os hackers vão devolver o acesso aos seus arquivos nem que eles livrarão seu computador da infecção.
Um ataque ransomware pode ter consequências devastadoras, mas não precisa significar o fim do seu negócio. Com planejamento e políticas de segurançaatualizadas, a sua empresa pode evitar o pior.
Gostou de conhecê-los melhor e entender como não ser vitimizado por ransomwares? Esperamos que sim. Aproveite e siga agora a Telium nas redes sociais (Facebook e LinkedIn) e fique por dentro das grandes novidades da TI!