Ransomware: o que aprendemos em 2018

O ano de 2018 foi marcado por inúmeros incidentes de segurança informática que mereceram cobertura pelos media, pela dimensão das organizações afectadas e tipo de risco. Desde mega-leaks de dados privados e confidenciais a ataques de ransomware massivos capazes de fazer parar hospitais e empresas, de tudo um pouco aconteceu em 2018 e Portugal não foi excepção. 

Tendo como base o feedback que recolhemos através da nossa rede de parceiros e clientes finais (muitos deles ainda não clientes ESET) foram os ataques por ransomware que mais prejuízos e impacto negativo causaram às organizações. 

De todos os pedidos de apoio ao cliente recebidos em 2018, os incidentes relacionados com malware representaram apenas 12% do total de pedidos. Segmentámos os diferentes tipos malware destes incidentes e  identificamos que 71% foram de tipo ransomware (19% destes casos foram reportados por clientes ainda sem soluções ESET). 

Trabalhamos junto dos parceiros e clientes que nos reportaram casos de infecção por ransomware no sentido de identificar as causas de infiltração das quais se destacam ataques de brute-force de passwords e ataques por phishing.

Serviços de ambiente remoto (RDP) e passwords fracas
O risco de exposição deste serviço directamente à Internet é enorme, não só pelas eventuais vulnerabilidades que a versão de RDP possa ter mas também pela facilidade a ataques por brute-force; a ausência de políticas de password complexas facilita ainda mais estes ataques. Temos observado muitos clientes e parceiros que acreditam ter maior segurança se alterarem o porto TCP deste serviços (do standard 3389 para outra porta qualquer), contudo esta medida não é minimamente eficaz uma vez que os ciber-criminosos conseguem facilmente mapear este serviço independentemente do porto em que corre.

Ao conseguir uma autenticação por RDP com sucesso num sistema, um atacante pode facilmente ganhar privilégios de administração (se já não os tiver obtido com a conta atacada) e a partir daí desabilitar ou remover a solução de segurança antivírus (o método frequentemente que temos identificado) e lançar o seu ataque sem obstáculos.

Phishing
phishing continua a ser um dos ataques preferidos para a disseminação de trojans que levam à instalação de ransowmare ou outro malware. Através de técnicas de engenharia social orientadas para empresas, onde se utilizam assuntos como facturas, transportes, redefinição de passwords, etc., os atacantes podem facilmente obter acesso a endpoints ou servidores se não estiverem implementadas as camadas certas de protecção.

Como reforçar a segurança em 2019
A segurança deve ser ajustada ao risco de cada cliente, tendo sempre em conta que qualquer sistema ligado em rede (física ou sem fios) ou à Internet é um potencial alvo com interesse financeiro. Assim, recomendamos como prioritário o seguinte:

– Implementação de uma solução de 2 factores de autenticação (2FA) – ESET Secure Authentication;
– Implementação de um servidor VPN para acesso a serviços como o RDP, partilha de ficheiros, etc.;
– Reduzir a existência de contas de utilizador com privilégios de administração;
– Verificação da solução de segurança ESET:

  • protecção das definições com password para que em caso de acesso não autorizado ocorra a sua desinstalação;
  • verificar se o LiveGrid está activado;
  • verificar se a detecção de aplicações potencialmente inseguras/ indesejadas (PUA) estão activas;
  • manter os produtos actualizados com as últimas versões disponíveis;
  • confirmar se o produto instalado é o adequado à plataforma/SO e/ou necessidades de segurança do cliente.

Não menos importante, é a sensibilização dos colaboradores das empresas/organizações para a matéria de ciber-segurança alertando para comportamentos considerados de risco e prevenção de situações de risco. De igual forma, é importante que os clientes compreendam os potenciais ciber-riscos na sua actividade e eventuais falhas de configuração, implementação que possam comprometer a segurança do seu negócio/actividade. 

A ESET Portugal irá organizar em 2019 diversas acções de sensibilização e percepção do ciber-risco destinadas a parceiros e clientes ou potenciais clientes.

Nuno Mendes
CEO WhiteHat/ ESET Portugal

DEIXE UMA RESPOSTA

Please enter your comment!
Please enter your name here

13 + 1 =