Ransomware: 8 passos para proteger sua empresa

Olá, tudo bem?

Preciso falar com você sobre Ransomware.

Atendemos diariamente ocorrências deste tipo de ataque em nossa central de atendimento. Na maioria dos casos, o cliente está em desespero necessitando da restauração urgente dos dados, sem se preocupar com a origem do ataque e de uma futura proteção.

Sei que já existe muita informação publicada sobre isso, mas observo que são informações oportunistas, baseadas em vendas de produtos, aproveitando-se do desespero do cliente.

Quanto a isto, tenho uma visão conservadora: SEGURANÇA NÃO PODE SER SIMPLESMENTE BASEADA EM PRODUTO. SEGURANÇA É PROCESSO. UM PROCESSO CONTÍNUO DE PREVENÇÃO, DETECÇÃO, RESPOSTA E MONITORAMENTO. 

Portanto, escrevi este artigo da maneira mais objetiva possível. Confira!

O que é o Ransomware?

O Ransomware, ou sequestro virtual de equipamento, é uma técnica cada vez mais utilizada pelos cibercriminosos para extrair dinheiro de suas vítimas. Em geral, o golpe restringe o acesso ao sistema infectado e cobra o valor de “resgate” para que o acesso possa ser restabelecido.

Assim que a infecção pelo Ransomware acontece, o proprietário do equipamento afetado recebe um contato por e-mail, no qual o criminoso virtual pede o pagamento de resgate, em valores que variam conforme a informação sequestrada e, geralmente, pagos na moeda virtual bitcoin, já que isso prejudica qualquer tentativa de rastreamento e localização dos responsáveis pelo golpe.

Empresas infectadas com Ransomware estão sujeitas a diversos problemas que vão desde a perda total de dados –  quando ela não possui um backup de informações ou o mesmo não está atualizado – ou até mesmo interrupção dos serviços desempenhados pela empresa, as vezes as informações são tão importantes que a perda delas podem prejudicar até o atendimento aos clientes.

Sem encontrar alternativa para ter de volta dados importantes, o usuário se vê obrigado a realizar o pagamento, o que pode demorar, especialmente se não houver familiaridade com o bitcoin. Assim que o criminoso recebe o valor exigido, ele libera o seu acesso ou não, já que estamos lidando com criminosos.

Mas como todo resgate, é preciso considerar a possibilidade de novo bloqueio ocorrer. Ou seja, nessa situação, você e suas informações ficariam à mercê da vontade de um criminoso virtual.

Como se prevenir?

1. Treinamento preventivo dos colaboradores

Uma em cada cinco infecções de Ransomware é provocada pelo descuido ou desconhecimento dos colaboradores, assinala a Openlimits. O treinamento é por isso o primeiro passo a dar, para que todos estejam atentos a possíveis ameaças que possam de algum modo atravessar os sistemas de proteção. Os colaboradores devem ser “instruídos a não abrir anexos de e-mail cuja origem é desconhecida ou suspeita”. A não utilizar os computadores da empresa para acessar conteúdo de entretenimento, etc.  A maioria dos golpes virtuais tem origem nestes ambientes e na ingenuidade do usuário.

Confira algumas formas que um funcionário despreparado pode ser a causa de um ataque causado por hackers na empresa:

  • Mensagens de e-mail, às vezes com simulações de ofertas e em outras com anexos que estão infectados.
  • Senhas fracas, são fáceis de serem quebradas.
  • Notícias sensacionalistas, na maioria das vezes são falsas, ao clicar nelas você pode ser encaminhado para sites nocivos.
  • Links duvidosos, não clique em nada que você perceba que tenha algum endereço estranho diferente dos habituais.
  • Anúncios na web, fique atento as vezes o link é muito parecido com o de uma empresa conhecida, mas não é o real. Verifique antes.

2. Reforce a segurança dos endpoints

Os antivírus tradicionais já não são suficientes para proteger os sistemas de informação das empresas. São imprescindíveis, mas as empresas devem recorrer também a “versões corporativas”. Os produtos gratuitos ou domésticos são ineficientes contra Ransomware. Uma solução corporativa de antivírus pode identificar proativamente arquivos em risco, ameaças de dia zero (0day) ou falhas em aplicações. Tudo isso sem prejudicar o desempenho dos computadores,  oferecendo também um monitoramento completo.

Escolha produtos premiados e que estiverem melhores posicionados nos últimos testes de laboratórios independentes.

É importante também verificar se essas ferramentas de segurança estão ativadas. Não basta ter comprado a licença, mas não utilizá-la de maneira eficiente. É comum encontrar computadores que por algum motivo tiveram suas proteções desativadas e o que era pra ser temporário ficou em definitivo por um descuido do administrador da rede.

3. Utilize um firewall de próxima geração para proteger o perímetro de rede

Um firewall tradicional também é ineficiente. Considere a implantação de um firewall de próxima geração. Esta ferramenta combina camadas de proteção contra ataques a rede e de malware. Além disso, possibilita uma gestão eficiente da política de acesso a Internet (por usuário, grupo, Site, URL, Domínio, Endereçamento IP, Mac, ou aplicação, etc.), com relatórios de navegação, controle de banda e gestão da rede wifi, possibilitando mitigar e bloquear as tentativas de ataques.

4. Realize as atualizações dos sistemas operacionais e demais aplicativos

As atualizações dos sistemas operacionais e demais aplicativos não devem ser ignoradas. Clicar no “Lembrar mais tarde” deixa os seus equipamentos vulneráveis. Você deve aplicar uma política rígida de atualização de todos os sistemas. Existem ferramentas que automatizam a distribuição das atualizações, facilitando assim o trabalho do administrador da rede.

Vale a pena lembrar que as atualizações devem ser testadas previamente antes de serem colocadas nos equipamentos da sua empresa.

5. Controle os acessos aos dados

A limitação do acesso a pastas compartilhadas pode prevenir a propagação do Ransomware. Para facilitar a colaboração, a maioria das empresas utiliza pastas compartilhadas para centralizar o trabalho. Ao limitar acesso, se um departamento for infectado, “o Ransomware irá causar menos danos” à partição do sistema operacional ou as demais pastas compartilhadas da empresas,  devido à falta de permissões administrativas. É importante ajustar as permissões das pastas, limitando o acesso por usuário ou grupo.

6. Use VPN para conexões remotas

Em tempos em que a nossa conexão não é tão confiável como era antes, a criptografia de ponta-a-ponta é uma das melhores formas de proteger as conexões entre computadores e dispositivos móveis.

É comum encontrarmos empresas que utilizam conexões RDP pela Internet sem o mínimo de proteção. 70% dos casos de Ransomware que atendemos todos os dias na NETDEEP são oriundos de quebra de senha por RDP. Os atacantes não tem pressa, utilizam ferramentas de força bruta para a descoberta das senhas dos usuários legítimos.

O ideal é estabelecer um túnel seguro para este tipo de comunicação.

VPN é uma sigla, em inglês, para “Rede Virtual Privada” e que, como o nome diz, funciona criando uma rede de comunicações entre computadores e outros dispositivos que têm acesso restrito a quem tem as credenciais necessárias. Neste tipo de conexão, todo o tráfego é criptografado o que dificulta intrusões.

7. Reforce a autenticação

Para navegar com segurança na internet e evitar que sua conta seja invadida, é importante escolher uma boa senha. A maioria dos usuários utiliza a mesma senha para vários serviços. Assim, se um serviço é comprometido e a senha é vazada, todos os demais serviços podem ser comprometidos.

É importante aplicar na empresa uma política de senhas fortes, com prazo curto para alteração da mesma. Considere também opção de utilizar uma solução de duplo fator de autenticação. 

8. Faça um backup diário

O Backup é a última camada de proteção. Deve ser usado em último caso para a recuperação das informações.

Para evitar que os seus backups sejam também invadidos, opte por uma opção remota de armazenamento (em nuvem). Assim não haverá contato do hacker com as suas informações.

Precisa de ajuda?

A NETDEEP possui tecnologias e serviços de segurança da informação. Se você precisa de ajuda para implementar estes itens entre em contato conosco. Será um prazer lhe auxiliar. Até a próxima!

Sites atraem vítimas para ajudá-los na mineração de criptomoedas

É literalmente uma máquina de fazer dinheiro! A mineração de criptomoedas como Bitcoin e Ethereum já se tornou um negócio lucrativo, com várias empresas especializadas nesse serviço: em vez de comprar os equipamentos necessários, qualquer um pode contribuir com um valor menor, recebendo uma fração do faturamento, em uma espécie de cooperativa ou participação societária.

Agora, porém, serviços estão permitindo que a mineração ocorra dentro do navegador do internauta: basta acessar um site, e o computador já começa a fazer “parte” da mineração.

Esta técnica tem sido popular em sites de jogos e torrents, em que um código JavaScript utiliza a CPU do visitante para fins de mineração. Embora promovido como uma alternativa aos anúncios on-line, é freqüentemente empregado sem o consentimento dos usuários.

Continue lendo

Apenas 38% das empresas acreditam que vão se recuperar de um ataque Ransomware

Não há como negar – Ransomware tornou-se uma ameaça significativa para muitas empresas e usuários de computador.Milhões de dólares estão sendo faturados a cada mês por ciber-criminosos, que bombardeam os usuários com anexos de e-mails infectados e anúncios de sites maliciosos. Previsões de especialistas é que nos próximos anos,o Ransomware se espalhe além dos sistemas operacionais Windows e Android, chegando a sistemas como Linux, Mac e iOs.Um novo estudo realizado pela empresa de segurança Tripwire sugere que um número pequeno, porém preocupante de empresas, acredita que eles serão capazes de se recuperarem totalmente de uma infecção Ransomware.

 5ec118_9d70f698070d441489543698605fa37e-mv2

Apenas 38% das empresas questionadas disseram que estavam “muito confiantes” de que eles poderiam se recuperar totalmente após um tal ataque, 49%  que eles seriam “um pouco confiante” e 13% admitiram que não estavam confiantes em que uma total recuperação seria possível.

 Com a onda atual de ataques de Ransomware, isso  é uma estatística assustadora e sugere que muitas empresas não estão seguindo as melhores medidas práticas necessárias para reduzirem as chances de infecção e aumentar a probabilidade de recuperação bem sucedida caso Ransomware ataque seus sistemas.

 Este estudo mostra que empresas e organizações tomam a difícil decisão de pagar as extorsões que infectaram seus sistemas e criptografado seus dados, ao invés de simplesmente recuperarem os dados perdidos a partir de um backup seguro e boas práticas entre os funcionários.

 Se você não quiser que a sua empresa seja a próxima vítima de Ransomware, reduza a ameaça mantendo o seu antivírus atualizado, faça cópias de segurança de dados, oriente sua equipe para que não abram anexos de e-mails suspeitos e cliquem em links no qual não saibam a procedência. Se precisar de ajuda, entre em contato conosco.

Fonte: Bitdefender 

Segurança em dispositivos móveis

Cresce o uso de dispositivos móveis para uma grande quantidade de atividades através de apps. Uma grande quantidade de startups surgem há cada dia, oferecendo novas maneiras de fazermos as coisas através da tecnologia.

Recentemente, Hillary Clinton, causou polêmica por uma atitude, digamos, simples. Em entrevistas, Hillary acabou contando que, enquanto era Secretária de Estado na Casa Branca, acabou usando uma conta de e-mail pessoal para tratar assuntos oficiais por razões, segundo ela, de praticidade e comodidade em não ter que carregar dois celulares! Por questões de segurança do estado americano, os profissional do governo não podem trocar correspondências de qualquer natureza se não pelos meios oficiais, como ocorre nas regras de segurança da informação corporativas.

Tirando a parte burocrática desse exemplo americano EUA, sabemos que, do ponto de vista de segurança digital, chegamos a um momento em que os olhares devem estar mais que voltados para as tecnologias móveis. Técnicas que foram ensinadas para identificar um phishing em um computador nem sempre funcionam para a segurança mobile. Então como superar os desafios de infecção nos celulares?

Hoje já sabemos que 47% da população brasileira com acesso à internet usa o celular para tal fim. Arrisco dizer que a maioria desses usuários acaba não tomando os devidos cuidados com a segurança digital mobile, tanto quanto estão atentos quando usam o PC ou notebook, seja em casa ou no trabalho.

É fato que os riscos mobile estão muito mais ligado à privacidade dos usuários do que com ataques hackers em crime de transações bancárias, por exemplo. Ainda assim, quem quer ter sua intimidade exposta?

Outro grande problema e que muitas vezes os usuários não se preocupam é o tipo de informação que está sendo armazenada no celular ou mesmo na nuvem. Digo isto porque, até um passado recente, nossa grande preocupação era com as informações que estavam salvas em um computador, um HD específico, num lugar “fixo”. Agora o perigo está no seu bolso e na nuvem.

Em resumo, a problemática do malware e toda a questão que envolve segurança digital só está migrando de plataforma. Aos usuários e à Hillary Clinton, fica meu alerta: tenhamos o mesmo cuidado – instalação de anti-vírus, principalmente – com nossos celulares e tablets como buscamos ter um dia com nossos desktops.

Continue lendo

10 principais ameaças digitais de Abril/2015

Apresentamos abaixo as ameaças mais comuns no mês de Abri/2015, de acordo com dados recolhidos pelo sistema estatístico ESET Live Grid:

1. Win32 / Adware.Multiplug

Percentagem detectada: 3,57%

Esta é uma aplicação potencialmente indesejada que, uma vez que executada no sistema exibe uma grande quantidade de banners e pop-ups durante a navegação na Internet.

2. Win32 / Bundpil

Percentagem detectada: 1,81%

Ele é um worm que se espalha através de mídia removível.

3. JS / Kryptik.I

Percentagem detectada: 1,70%

É uma detecção genérica de código malicioso ofuscado em JavaScript. Embutido em uma página HTML, normalmente redireciona o navegador para uma URL maliciosa ou executa um exploit específico.

 

Continue lendo

Ransomware voltando cada vez mais para o Extremo Oriente

Os cybercriminosos que lidam com práticas de ransomware, estão cada vez mais visando oportunidades no Extremo Oriente para capitalizar potenciais novas vítimas. Como grande parte das pessoas interessadas e atuantes no ramo da Segurança da Informação sabe, ransomware foi um fenômeno que surgiu pela primeira vez na Europa e depois se espalhou por todo o mundo. Primeiramente, o foco estava em regiões ricas e de idioma Inglês em todo o mundo. Mas os cybercriminosos cada vez mais tem voltado fortemente a sua atenção para países do Extremo Oriente. Mesmo com um esforço muito grande, atingir um mercado do Extremo Oriente apresenta alguns problemas. Muitos cidadãos do Extremo Oriente não entendem Inglês e se apresentam uma mensagem de pedido de resgate em uma língua estrangeira, eles podem não entender a mesma. Assim, reconhecendo que há um enorme potencial em países como Coréia e Japão para extrair pagamentos de resgate dessas pessoas, os cybercriminosos têm dado o primeiro e mais importante passo para localizar os seus alvos de ransomware para idiomas do Extremo Oriente.

Por exemplo, em dezembro de 2014, foi visto o primeiro caso de ransomware projetado especificamente para atingir usuários de língua japonesa- a partir das atividades de uma variante do TorLocker que foi detectada pela Symantec como Trojan.Cryptolocker. Agora, como mais um sinal desta mudança de estratégia, tem sido possível acompanhar as atividades de uma nova variante de ransomware, que se autodenomina Crypt0L0cker (detectado como Trojan.Cryptolocker.F). Este foi detectado e identificado como uma praga personalizada para, pelo menos, dois países do Leste Asiático. O método utilizado é a infecção drive-by-download, que se dá tipicamente através do uso de kits exploit.

Continue lendo

Análise de um Ransomware clássico

 

CTB_ransomware_1

Neste artigo vamos analisar o comportamento de um ransomware clássico, o CTB-Locker e como essa infecção se espalha. Ela já está causando dores de cabeça a milhares de usuários.

Continue lendo

Novo Malware Xnote atinge servidores GNU/Linux

Um novo trojan de múltiplos propósitos para GNU/Linux foi descoberto e analisado pelos

Linux-Rootkit-Perfect-for-Targeted-Attacks-and-Drive-by-Download-Scenarios-Found-2pesquisadores da Dr. Web. O malware, apelidado de Xnote e que teria sido desenvolvido pelo grupo ChinaZ, infecta servidores GNU/Linux, envia informações sobre o sistema para um servidor e faz a máquina alvo participar de ataques DDoS.

Mais informações podem ser encontradas no Slashdot ou no Net Security.

O antivírus realmente morreu? A importância de seu uso

Em 2014, Bryan Dye, executivo sênior da Symantec, veio a público para dar uma declaração um tanto quanto polêmica: “O antivírus está morto e destinado ao fracasso”. A criadora da linha Norton, revelou que não vê mais o seu aplicativo como uma fonte de dinheiro, chegando a essa conclusão. Depois, a AV-Comparatives, comentou o assunto.VIPRE-antivirus-technology

Peter Stelzhammer, um dos fundadores da AV-Comparatives, umdos laboratórios independentes mais renomados na área de antivírus, disse que acredita que a declaração de Dye ao The Wall Street Journal podem ter sido equivocada, assim como quando Bill Gates disse em 2004 que spams sumiriam da internet em dois anos.

Estamos no final do primeiro semestre de 2015 e a previsão não se cumpriu. Cada vez se vê a necessidade crucial da combinação de várias camadas de proteção, dentre elas, o antivírus.

Continue lendo

Protegendo-se contra malware usando sandbox

Se vírus e malware são um problema constante, ou se você teme que seu antivírus não seja o suficiente, você pode adicionar uma camada extra de segurança ao seu PC usando um aplicativo para criar uma “caixa de areia” (sandbox, em inglês). Um conjunto de aplicativos propriamente isolados pode protegê-lo de malware que passa desapercebido pelos antivírus, mantendo seu PC e suas informações pessoais mais seguros enquanto você faz compras online ou visita sites potencialmente suspeitos.

Sandboxing é uma forma de virtualização de software que permite que programas e processos rodem em um ambiente isolado do restante do sistema. Sob este regime, os programas tem acesso limitado aos seus arquivos e ao restante do sistema, e não podem fazer mudanças permanentes. Ou seja, tudo o que acontece em uma sandbox fica dentro dela.

 

 

Existem aplicativos dedicados à implementação desta técnica, mas alguns programas antivírus também trazem este recurso. Os detalhes variam entre os programas, mas estes são alguns dos usos comuns:

  • Rodar automaticamente ou manualmente um programa desconhecido em uma sandbox, como proteção caso ele contenha vírus, spyware ou malware.
  • Rodar o navegador dentro de uma sandbox para se prevenir contra danos causados por possíveis infecções enquanto você navega, que é a origem mais comum do malware.
  • Rodar o navegador dentro de uma sandbox para impedir malware que eventualmente esteja alojado em seu computador de capturar seus dados de login ou detalhes de pagamento em bancos e sites de compras.

A maioria das ferramentas para sandboxing, como as que discutiremos aqui, pode rodar programas dentro da sandbox ao mesmo tempo em que outros programas do Windows. De forma geral, um programa executado dentro de uma sandbox tem a mesma aparência de um programa “normal”. Entretanto, algumas outras ferramentas exigem a carga de um ambiente separado e tem um visual e comportamento diferentes, e podem até mesmo exigir que você reinicie seu PC ao fim da seção.

Existem vários produtos de segurança no mercado que oferecem este recurso. Entre em contato com a Netdeep Tecnologia que poderemos te orientar sobre a solução mais adequada para a sua empresa.