Ao longo de 2018, os criminosos continuaram a atacar grandes organizações com ransomware. Hoje apresentamos um novo white paper que explica os motivos pelos quais o ransomware se mantém como uma séria ameaça à sua empresa – independentemente da dimensão. Revelamos também o que pode ser feito para reduzir a exposição e os danos causados por este tipo de ataques.
O white paper que pode ser descarregado aqui aborda três vetores de ataque de ransomware particularmente perigosos: acesso remoto, e-mail e supply chain. O documento destina-se a ajudar os CEOs, CIOs, CISOs e responsáveis pelos riscos empresariais a compreenderem o estado atual do ransomware, enquanto ameaça, bem como as várias áreas em desenvolvimento. Os aspetos mais técnicos da resposta ao ransomware são discutidos num apêndice.
Maiores alvos, maior procura
Se a sua organização não foi atingida recentemente por ransomware, pode ter tendência para pensar que esta forma de ameaça já pertence ao passado. De facto, a imprensa quando se refere ao ransomware costuma dizer “até 2017” e “em declínio”.
No entanto, apesar dos indicadores mais óbvios relacionados com a atividade de ransomware poderem revelar um declínio; o ransomware continua a ser uma séria ameaça à sua empresa.
Um exemplo bem patente na cidade de Atlanta
Considere os acontecimentos na cidade de Atlanta nos EUA. Cinco departamentos governamentais dessa cidade foram atingidos por ransomware: correções, gestão de bacias hidrográficas, recursos humanos, parques e recreação e planeamento urbano. Várias funções da cidade foram afetadas, incluindo a capacidade de aceitar pagamentos on-line para contas de água e multas de trânsito. O Wi-Fi no Aeroporto Internacional Hartsfield-Jackson de Atlanta foi desativado durante uma semana.
Embora Atlanta tenha rejeitado (e muito bem) o pagamento de 50.000 dólares, o impacto financeiro foi de milhões de dólares (e pode acabar por chegar aos 17 milhões).
Conforme documentado no white paper, os ataques de ransomware que resultaram em maiores danos atingiram várias organizações no setor dos SLEDs (estado, administração local e educação).
Em muitos casos o facto de não termos conhecimento de ataques não significa que eles não existam. É que estes só foram conhecidos, uma vez que este tipo de entidades têm relatórios públicos. O mesmo acontece no setor de saúde, onde as regulamentações governamentais visam apurar recorrentemente se a segurança do paciente está em risco.
Mas e as organizações que não necessitam de divulgar violações de segurança de dados?
É razoável pensarmos que uma empresa privada que seja atingida por um ataque de ransomware direcionado vai fazer tudo o que estiver ao seu alcance para que este acontecimento não se torne público.
É por esse motivo que não podemos considerar que os únicos ataques que existem são os reportados. Falando com equipas de suporte e fornecedores de segurança, rapidamente percebemos que o ransomware continua a ser um crime muito recorrente e com muitas vítimas em todos as áreas de negócio.
O fator RDP
Outra coisa que sabemos é que alguns dos ataques de ransomware de 2018 contra entidades governamentais e de saúde envolvem uma família de ransomware conhecida como SamSam (detetada pelos produtos da ESET como MSIL / Filecoder.Samas). Os ataques do SamSam em 2018 têm entrado nas organizações “forçando os endpoints RDP” (Departamento de Saúde e Serviços Humanos dos EUA).
Um endpoint RDP é um dispositivo, como um servidor de dados, que executa o software RDP (Remote Desktop Protocol) para que se possa aceder ao mesmo através de uma rede, como a Internet. Se o acesso ao servidor estiver protegido apenas com um nome de utilizador e palavra-passe, um invasor, tendo identificado o servidor como um alvo, vai tentar repetidamente adivinhá-los. Normalmente isto ocorre de forma muito rápida, daí o termo: ataque de força bruta.
Na ausência de qualquer mecanismo para limitar vários palpites errados, estes ataques podem ser muito eficazes e levar a um comprometimento generalizado da rede de uma organização. O Ransomware atingiu a gigante de testes médicos Lab Corp em julho de 2018 via RDP e chegou a 7.000 sistemas e 350 servidores de produção em menos de uma hora.
A 28 de outubro de 2018, o scanner Shodan indicou que mais de dois milhões e meio de sistemas na Internet estavam a executar explicitamente o RDP (pode ser necessário registar-se para visualizar consultas filtradas no Shodan).
Mais de meio milhão desses sistemas estavam nos EUA. Para um invasor, todas estas máquinas são alvos potenciais. Uma vez comprometidas, elas podem ser exploradas ou, como o white paper revela, as credenciais podem ser vendidas no mercado negro como o xDedic.
Em resumo
Atacar o sistema informático de uma empresa, pode ser uma forma de negócio muito lucrativa. Assim, pelo facto dos criminosos perderem tempo a arranjarem novas formas de minar criptomoeda, não vão deixar de parte os ataques às empresas. Na realidade, há muitos à procura de novas técnicas de exploração RDP de modo a criarem um vetor de ataque lucrativo para o ransomware. Da mesma forma, reprimir o uso de RDP na empresa – o que precisa acontecer por várias razões – não significa acabar com todos os vetores de ataque. De facto, nunca se deve negligenciar, por exemplo, o anti-phishing.
O white paper refere que – juntamente com a educação efetiva dos funcionários – as empresas necessitam de:
- políticas sólidas de segurança que sejam aplicadas de forma abrangente e com firmeza;
- a mistura certa de produtos e ferramentas de segurança, incluindo sistemas de backup e recuperação testados;
- um plano de resposta a incidentes constantemente atualizado.
No entanto, mesmo com tudo isto a imunidade nunca é totalmente garantida.
O que importa destacar é que o ransomware ainda é uma séria ameaça a todas as empresas e este white paper vai contribuir para que todas as organizações estejam ainda mais protegidas.
