Por que o ransomware ainda tem tanto êxito?

Não existe um fim previsto para o ransomware. É um ataque muito simple — instala malware, criptografa dados/sistemas e exige um resgate — e então por que não conseguimos impedir o ransomware? Os fornecedores de segurança estão muito atentos à esse problema, assim como os métodos e vetores de ataque. Porém, não conseguem ficar um passo à frente, isso fez com que o ransomware crescesse de US$ 1 bilhão em danos durante 2016 para uma média de US$ 5 bilhões em 2017, de acordo com Cybersecurity Ventures. Existem dois motivos básicos para a “eficácia” do ransomware aos cibercriminosos.

1º Motivo: Os criadores de malwares estão ficando melhores em suas obras

Basta pensar que estamos superando o ransomware que nossos adversários mudam suas táticas ou produzem novas técnicas para replicar e causar danos e sofrimento. Recentemente vimos tipos de ransomware como o WannaCry se aproveitarem de vulnerabilidades não corrigidas do serviço de SMB do Windows para propagar pelas redes, especialmente aquelas que tinham SMB aberto à Internet — Uma técnica astuta que os malwares “worms” de Windows (como o Sasser) já usavam em meados dos anos 90. Também vimos desenvolvedores de malwares criarem técnicas para instalar códigos maliciosos em computadores através do Microsoft Office. Embora a ameaça apresentada por macros maliciosos em documentos do Office tenha existido há vários anos, estamos vendo agora o uso de um protocolo da Microsoft chamado Dynamic Data Exchange (DDE) para executar códigos mal-intencionados. Diferente dos ataques baseados em macros, o ataque DDE não apresenta um pop-up, prompt ou alerta, tornando a invasão muito mais efetiva e bem-sucedida.

Os avanços tecnológicos feitos pelos autores de malwares são significativos, mas suas habilidades interpessoais, como engenharia social, também continuam a melhorar. Escrita melhorada, apresentação por e-mail mais realista, e até táticas consistentes de engenharia social são toda a causa do seu aumento de êxito.
E se você é bom no que faz, nunca faça de graça. Transforme isso em um serviço e lucre em cima dos que têm o mesmo interesse, mas não possuem a mesma habilidade que você. Consequentemente, “crime como serviço” e “malware como serviço” se tornaram reais, perpetuando ainda mais os problemas com ransomware. A disponibilidade e o fácil uso dessas plataformas permitem que qualquer um possa ter acesso a cibercrimes e ransomwares, com pouco ou nenhum conhecimento de codificação ou malwares. Essas plataformas e redes são administradas por gangues de crimes cibernéticos organizados, para alta lucratividade, e por isso ainda vamos ouvir falar delas por um bom tempo.

2º Motivo: Estamos causando nossos próprios problemas

É claro que ainda há um grande problema que precisa ser abordado por muitos de nós, e essa é a fraqueza que nós mesmos causamos e que se tornou a porta de entrada para os cibercriminosos. O WannaCry foi tão eficaz porque aproveitou falhas não corrigidas do Windows. NotPetya fez o mesmo. E quais são essas fraquezas?

  1. Falta de correções – Continuamos a atirar no nosso próprio pé aqui, porque não temos rotinas de prevenção e proteção consistentes que incluem correções de erros de sistemas operacionais e aplicações — especialmente os que são aproveitados por criadores de ransomware como acesso.
  2. Backups (confiáveis) insuficientes – Uma falta de backups validados — a ferramenta primária para recuperação contra ransomware — pode nos deixar em maus lençóis e improdutivos. É uma conta simples: se você possui backups, você escolhe recuperar em vez de pagar resgate.
  3. Conhecimento do usuário – Usuários simplesmente não entendem a ameaça, o impacto, ou o custo de uma contaminação por ransomware. E eles nem deveriam mesmo — eles trabalham com contas ou vendas, não com segurança de TI. Mesmo assim, realizar testes e treinamentos contra phishing pode fazer uma grande diferença.
  4. Uma necessidade de privilégios mínimos – Quanto maior o acesso do usuário, maior é a margem de infecção que o ransomware pode ter. Com 71% dos usuários finais dizendo que possuem acesso aos dados restritos da empresa[1], a TI tem sérios trabalhos a fazer para garantir que esses privilégios sejam restringidos.
  5. Sem defesas em camadas – Uma única solução de segurança, como um antivírus, não pode fazer muito para proteger a organização. Você precisa de soluções como IPS, um gateway de e-mail, proteção de endpoints e tudo trabalhando em conjunto para dar o mínimo de chances possíveis ao ransomware.

Fazendo algo sobre o ransomware

O que você deve fazer para impedir o êxito do ransomware? Esconder-se? Correr? Desligar a Internet? Provavelmente nenhuma dessas idéias resolverá esse problema. Eu mencionei acima a idéia de várias camadas de defesa, e mesmo que uma “defesa abrangente” pareça um pouco “old school” e extinta quando perdemos o controle do perímetro de rede, existem algumas idéias que ainda podemos usar:

  1. Defesa abrangente – Certifique-se de ter um plano de segurança proativo e consistente preparado, incluindo: correções, privilégios mínimos, treinamento de usuários, etc.
  2. Proteção de endpoints – Soluções de proteção de endpoints e desktops podem oferecer um grau de proteção, mas tenha em mente que malwares podem se adaptar contra essas soluções e burlá-las.
  3. Planejamento para o pior – O ransomware consegue sempre achar uma maneira e você precisa ter certeza de que vai se recuperar quando isso acontecer. Backups, backups externos e backups em mídias diferentes são essenciais. Lembre-se de testar sua recuperação também. Você não vai querer descobrir como restaurar um backup com raiva. É como dizem, quanto mais treino, mais fácil a luta. Isso nunca caiu tão bem para o planejamento de contingência de TI.

Faça essas três coisas e você vai estar um passo mais perto de impedir que o ransomware acabe com o seu dia, sua noite ou seu final de semana.

 

[1] Ponemon, Corporate Data: A Protected Asset or a Ticking Time Bomb? (2014)

Article language
Stay up to date on the latest tips and news
By subscribing, you are agreeing to have your personal information managed in accordance with the terms of Veeam’s Privacy Policy
You're all set!
Watch your inbox for our weekly blog updates.
OK