Os ataques através desse malware têm aumentado em todo o mundo e prejudicado diversas corporações. Descubra como ele se dissemina e como resolver esse problema.
O ransomware é um tipo de malware que bloqueia o acesso à máquina ou a determinados arquivos até que uma taxa seja paga. Só assim o criminoso fornece uma chave de decodificação que é capaz de liberar o acesso aos dados.
Normalmente, o resgate é cobrado em bitcoins, moeda virtual, o que dificulta o rastreamento do dinheiro após o pagamento. Caso não seja efetuado, o hacker pode apagar a combinação que liberaria os dados e, assim, eles se perderiam totalmente.
Esse software malicioso costuma infectar as máquinas de formas simples, através de e-mails com spam. Os e-mails costumam conter anexos com vírus, que, caso alguém clique para baixar o conteúdo, a máquina é criptografada por uma chave pública forte, geralmente de 1024 a 4096 bits. Além desse método, outras formas de infecção podem ocorrer, como em redes wifi públicas, sites com segurança duvidosa e até por falhas em serviços remotos, que tem sido a grande preocupação das empresas.
Para roubar informações sigilosas e conseguir dinheiro, hackers estão sempre criando novas técnicas para infectar dispositivos pessoais e corporativos. O malware é um um software malicioso muito usado por esses criminosos, por isso, medidas de segurança, como o uso de senha e criptografia, podem ajudar a prevenir esse problema.
O ransomware tem se tornado um grande problema para as equipes de TI, pois versões mais sofisticadas desse tipo de malware têm sido criadas, dificultando sua identificação e remoção. As novas dificilmente são detectadas até que essa seja sua intenção.
Esse novo ransomware consegue se disseminar rapidamente dentro das corporações, tornando a visibilidade por toda a rede e endpoints o principal desafio da TI, podendo levar até meses para conseguirem identificar a ameaça. Para os hackers, quanto mais tempo conseguirem operar sem serem descobertos, melhor. Eles estão partindo de ataques diretos aos clientes para tentativas laterais aos servidores para não serem detectados e, assim, conseguirem lucrar cada vez mais quando vão pedir pagamentos para liberar o acesso.
Alguns comportamentos estranhos nos dispositivos são úteis para detectar a presença do ransomware e evitar que ele cause danos aos dados da corporação.
Bloqueio da tela
Esse é o sinal mais óbvio e dificilmente acontecerá com os novos modelos de ransomware, pois se torna muito fácil sua identificação.
Arquivos com erro
Caso arquivos e pastas, que antes eram executados normalmente, começarem a dar erros e não abrirem, pode ser outro alerta que o ransomware está presente na máquina.
Extensões diferentes
Arquivos infectados podem conter extensões estranhas, como .crypted, isso significa que foram criptografados por ransonware.
Arquivos na área de trabalho criados sozinhos
Os hackers normalmente deixam instruções sobre o pagamento do resgate dos dados, por isso podem deixar arquivos com mensagens claras para que o usuário encontre facilmente.
Normalmente, antes de completar seus objetivos, o ataque passa por seis etapas. O primeiro é a disseminação, que ocorre por métodos de distribuição já citados como anexos, downloads infectados e outros. O segundo é a infecção, quando as atividades maliciosas são executadas. O próximo passo é a comunicação com os servidores de chaves de criptografia para conseguir a chave pública necessária para criptografar os dados.
Em seguida, o ransonware procura automaticamente por arquivos no sistema que sejam importantes e não podem ser replicados automaticamente, como arquivos com extensões de jpg, docx e pdf. O quinto passo é a criptografia, que torna possível mover e renomear arquivos específicos para restringir o acesso até que sejam descriptografados. A última etapa é o pedido de resgate, quando normalmente um aviso aparece na tela do dispositivo infectado exigindo o pagamento para conseguir a chave que desbloqueia os dados.
É importante que seu cliente conheça detalhadamente a forma como esse ataque acontece e quais sinais podem ajudar a detectá-lo. Assim, é possível criar estratégias eficientes para bloquear o ransomware antes que ele consiga comprometer os dados da empresa.
Antes de tudo, regras e treinamentos que alertem os funcionários sobre os cuidados necessários ao se usar uma rede corporativa e restringir as atividades que podem ser realizadas pelos usuários são medidas essenciais. Além disso, algumas medidas de segurança devem ser implantadas pelas corporações, como:
Melhorar o monitoramento a rede, implantando patches e fazendo as atualizações necessárias.
Implementar defesas nas bordas, incluindo e-mail, segurança web e as novas gerações de firewalls e IPS.
Monitorar o tempo para detecção, para encontrar métodos que possibilitem descobrir ameaças cada vez mais rapidamente e então, mitigá-las imediatamente. Além de tornar essas métricas parte das políticas de segurança da empresa.
Realizar backups dos dados periodicamente.
Garantir proteção aos usuários em todos os lugares em que estejam, tanto dentro da corporação e quando realizam trabalhos remotos.
A prevenção é sempre a melhor forma de assegurar que a empresa estará protegida desses perigos. Por isso, é importante reforçar as normas e políticas de segurança, para que toda a equipe de funcionários esteja preparada para combater o cibercrime.
Escreva seu comentário