quinta-feira, 25 de agosto de 2016

Ransomware: entenda porque você não deve pagar pelo resgate

25/08 - Fernando Cardoso* / Comunique-se


Empresas dos mais diversos setores vem sendo vítimas de ataques usando ransomware, exemplos disso são o Hollywood Presbyterian Medical Center, a University of Calgary entre outros, que revelaram terem sido forçadas a pagar para recuperar seus dados críticos devido a um ataque cibernético. Somente essas duas empresas juntas, pagaram um valor de aproximadamente US$ 37 mil dólares equivalente a mais de R$125 mil.

O número de cibercriminosos que estão ganhando dinheiro com esse tipo de ataque vem crescendo absurdamente no mundo inteiro. Segundo o FBI, só no ano passado, eles receberam 2.453 denúncias sobre ataques com ransomware, gerando um custo para as vítimas em reais, de R$ 84 milhões.

Para quem não está familiarizado com o significado de ransomware, abaixo um breve resumo: é um tipo de malware (software malicioso) que vasculha os computadores e redes procurando por arquivos como documentos, imagens, vídeos e backup. Após mapeá-los, eles são criptografados, gerando assim um bloqueio no acesso aos arquivos. O alvo só consegue acessá-lo após o pagamento do resgate solicitado pelo cibercriminoso.

O método mais utilizado para infectar os usuários é o phishing, que nada mais é do que e-mails que tentam se passar por confiáveis. No entanto, tais e-mails contêm um link de URL malicioso ou arquivo pequeno com um script para infectar o notebook ou desktop e até mesmo smartphones. Esse tipo de golpe se inicia com mensagens eletrônicas suspeitas sobre extratos de depósitos, sorteios de prêmios e e-mails marketing fingindo ser alguma empresa conhecida.

Um dos pontos cruciais para a conscientização do usuário final, a fim de evitar a disseminação do cibercrime, é negar o pagamento do resgate solicitado pelos cibercriminosos.

Uma vez realizado o pagamento pela vítima por um ataque cibernético de ransomware, o alvo se tornará ainda mais visado. Isso porque os criminosos terão conhecimento que sua empresa tem dinheiro para pagá-los, o que viabiliza mais ataques desse tipo.

Outro motivo a ser repensado quando o alvo se vê a frente de um golpe: qual a garantia na palavra do criminoso depois do pagamento realizado?

Como agravante, existem alguns tipos de ransomware que realizam a criptografia sobre seus dados e autodestroem a chave para abri-los. Em outros casos, o criminoso diz que possui a chave e no momento que você executa o pagamento, o cracker envia uma chave falsa, que não irá abrir suas informações.

Porque os JavaScripts são tão usados para ataques com ransomware? Abaixo alguns pontos que ajudam a responder de maneira simples:

1. O JavaScript é extremamente pequeno e simples de ser enviado para milhares de usuários;
2. Possibilidade de inserção do JavaScript em outros tipos de arquivos, como Excel, PDF, Word entre outros, facilitando ainda mais sua disseminação;
3. Facilidade em incluir o JavaScript em websites para uma maior disseminação.

Na maioria dos casos, ele funciona como um downloader para outros tipos de malware, que não são conhecidos pelo sistema de segurança instalado no laptop/desktop, facilitando a propagação do malware no mundo inteiro.

Com o ágil cenário de ameaças mudando constantemente, as empresas devem rever todo seu modelo de proteção em camadas e validar se os mesmos possuem features que consigam mitigar qualquer novo malware ou ransomware encontrado no ambiente. Esses sistemas em sua maioria, trabalham com sandboxes customizadas para poder detectar arquivos maliciosos que possam atacar a sua empresa por meio de diferentes vetores como web, e-mail, USB, network e outros.

Tais informações e fatores demonstram a importância em conscientizar o usuário e criar soluções de proteção avançadas para e-mails: 74% das novas ameaças hoje em dia se iniciam com spear phishing.

O pagamento do resgate exigido nos sequestros de dados é uma forma de financiar o cibercrime, e faz com que ele cresça ainda mais no mundo inteiro. Com o dinheiro adquirido, os crackers irão investir consideravelmente na melhora dos códigos de ransomware e de outros malwares dificultando a detecção dos mesmos pelas empresas de segurança da informação.

*Fernando Cardoso é especialista de Segurança da Trend Micro Brasil e responsável pela gestão de projetos de segurança para Datacenter e Cloud Computing. Formado em engenharia de computação pela FIAP, possui experiência em segurança para ambientes de missão crítica.

Nenhum comentário:

Postar um comentário