Vivemos numa era em que o panorama das ciberameaças evolui quase à mesma velocidade que a tecnologia e é uma necessidade hoje, mais do que nunca, estar totalmente protegido contra todo o tipo de ciberataques.
Quando tudo indicava que o ransomware se estava a tornar numa ameaça do passado, ele volta em força. E embora o criptomining tenha dominado o panorama de malware durante o ano de 2018, substituindo o ransomware e passando a ser o método ilícito mais utilizado pelos cibercriminosos para ganhar dinheiro, este último não desapareceu totalmente, apenas se tornou mais segmentado.
Os cibercriminosos deixaram de distribuir milhares de emails sem terem uma vítima específica em mente, para passarem a fazê-lo de forma planeada e mais segmentada. Um exemplo muito ilustrativo desta situação é o ataque, que aconteceu recentemente à Norsk Hydro, um dos maiores fabricantes de alumínio do mundo, e que veio provar que o ransomware não perdeu poder para causar danos.
Durante o mês de março a Norsk Hydro foi atingida pelo “LockerGoga”, uma variante de ransomware relativamente nova, vista pela primeira vez em janeiro de 2019. Este malware forçou a empresa a isolar todas as fábricas e operações nos EUA e Europa e a passar as suas operações e procedimentos para modo manual no que era possível. O malware encriptou sistemas críticos e foi efetuado um pedido de pagamento de resgate.
Embora a empresa tenha conseguido recuperar rapidamente muitos dos sistemas e conseguido normalizar o funcionamento de algumas das operações, não se escapou de enfrentar “desafios de produção e paralisações temporárias em várias fábricas”. A empresa afirmou que está, lentamente, a recuperar os sistemas afetados, mas o custo preliminar do incidente foi estimado em cerca de 30 milhões de dólares.
Agora que o impacto deste tipo de ataques ficou demostrado pelo sucedido à Norsk Hydro, é importante saber como lhe dar resposta e evitar os potenciais prejuízos. Será que está protegido contra os ataques de ransomware?
4 passos para prevenir a um ataque de Ransomware
Mesmo os ataques mais sofisticados de malware podem ser neutralizados, ou mesmo prevenidos na totalidade, com ferramentas e processos relativamente simples.
1 – A segmentação da rede, por exemplo, é fácil de implementar – é um princípio básico das arquiteturas de rede inteligentes – mas é bastante efetiva na contenção da disseminação de malware, prevenindo que este se mova lateralmente através das redes, infete e se misture com outros sistemas.
2 – Efetuar backups da informação, armazenados separadamente da rede principal da empresa. Esta é a única forma de assegurar que, mesmo que o pior aconteça e o ataque de ransomware assuma o controlo do sistema, os ficheiros críticos e a informação podem ser recuperados assim que a infeção for removida.
3 – Formar os colaboradores da forma correta pode ser numa arma poderosa. Os anexos e links que muitas vezes são recebidos por email, apenas deverão ser abertos quando são enviados por fontes seguras.
4 – Manter os antivírus tradicionais e outras proteções atualizadas é outro fator crucial. No entanto, qualquer uma destas medidas pode ser contornada pelas versões modernas de ransomware. Medidas de proteção mais avançadas como é o caso da extração de ameaças e SandBox avançados, são necessários para reforçar os mecanismos de defesa que já existem.
Mas mesmo estas medidas não garantem 100% da segurança. Existe sempre uma ínfima chance do ransomware escapar. No entanto, uma camada adicional de proteção está disponível para anular até o ransomware mais avançado que consegue invadir a proteção das organizações.
A última linha defensiva funciona através da monitorização de endpoints de forma contínua, para os indicadores comportamentais, seguidos por todas as variantes e tipos de ransomware. Esses indicadores são:
- A criação de um documento de texto que inclui a mensagem ransom, dirigida ao utilizador.
- A eliminação ou tentativa de eliminação de uma shadow copy e backup dos ficheiros para que essa informação não seja facilmente recuperada.
- Inicio de encriptação de alguns, ou mesmo todos, os ficheiros da máquina
Isto oferece uma oportunidade às ferramentas forenses de ransomware para identificar um ataque em microssegundos e agir de forma a mitigar totalmente o seu impacto.
Rui Duro
Sales Manager, Check Point Software
