Você já viu esta mensagem no seu computador???
Esta mensagem é real, e aconteceu sexta feira, dia 15 de setembro de 2017.
É SEQUESTRO DE DADOS, conhecido por "ransomware".
55% dos ataques de ransomware relatados na América Latina acontecem no Brasil.
De 2014 a 2017 o aumento dos ataques foi de 30%, senhas fracas e
serviços incorretamente configurados facilitam esses ataques que são
realizados remotamente. Pequenas e médias empresas são alvos
frequentes. É fundamental manter a segurança de dados da empresa
sempre atualizada e tratada por profissional experiente e capacitado, não se trata de apenas ter mais um custo operacional e sim evitar grandes prejuízos.
fonte (http://www.convergenciadigital.com.br)
Ransomware
é um tipo de software malicioso (malware) criado com o intuito de bloquear o acesso a arquivos ou sistemas para só liberá-los após o pagamento de um valor especificado. É como se fosse um sequestro, mas virtual. Nas próximas linhas, você entenderá melhor o que é ransomware, terá dicas de prevenção e verá instruções sobre como agir caso seu computador ou sistema seja infectado por uma praga do tipo.
A palavra ransomware já deixa claro a razão de esse tipo de malware ser tão assustador: "ransom" é um termo em inglês que é usado em referência a resgate, exigir resgate, pagar para resgatar e assim por diante. A associação de ransomwares com práticas de sequestro, portanto, não é exagero.
Apesar de serem vistos como um problema de segurança recente, os ransomwares não são um conceito novo: as primeiras referências a esse tipo de praga digital remetem ao final da década de 1980.
Naquela época, era possível encontrar um vírus de DOS chamado Casino que, todo dia 15 de abril, copiava dados da memória RAM e do sistema de arquivos FAT, e apagava todo o conteúdo do HD. O usuário não tinha que desembolsar nenhum dinheiro, mas só podia recuperar os dados se pontuasse em um jogo estilo caça-nível que o Casino exibia na tela.
Também é comum o ransomware se passar por antivírus, jogo ou aplicativo. Nesses casos, o usuário pode cair em uma página que promove aquele software ressaltando as suas vantagens. A pessoa, então, é levada a acreditar que o software é legítimo. Mas, quando o instala, acaba permitindo que o malware contamine o seu computador ou dispositivo móvel.
Há casos de ransomwares que exploram falhas no sistema operacional, em aplicativos ou em plug-ins (como Java e Flash), mas o uso de técnicas de engenharia social tem mesmo mais efeito. Imagine, por exemplo, que você recebeu um e-mail de uma loja de comércio eletrônico avisando que o seu pedido já está em rota de entrega. Acontece que você não fez nenhuma compra! Curioso, você clica no link que supostamente dá mais detalhes sobre o pedido e acaba baixando o malware.
Você nunca cairia em truque desses? Que bom! Mas muita gente caiu: essa tática foi usada no primeiro semestre de 2016 para disseminar um ransomware de nome Locky. Nesse caso, os e-mails estavam em nome da Amazon, uma das mais conhecidas lojas de comércio eletrônico do mundo.
Como os ransomwares agem
A palavra ransomware já deixa claro a razão de esse tipo de malware ser tão assustador: "ransom" é um termo em inglês que é usado em referência a resgate, exigir resgate, pagar para resgatar e assim por diante. A associação de ransomwares com práticas de sequestro, portanto, não é exagero.
Apesar de serem vistos como um problema de segurança recente, os ransomwares não são um conceito novo: as primeiras referências a esse tipo de praga digital remetem ao final da década de 1980.
Naquela época, era possível encontrar um vírus de DOS chamado Casino que, todo dia 15 de abril, copiava dados da memória RAM e do sistema de arquivos FAT, e apagava todo o conteúdo do HD. O usuário não tinha que desembolsar nenhum dinheiro, mas só podia recuperar os dados se pontuasse em um jogo estilo caça-nível que o Casino exibia na tela.
Também é comum o ransomware se passar por antivírus, jogo ou aplicativo. Nesses casos, o usuário pode cair em uma página que promove aquele software ressaltando as suas vantagens. A pessoa, então, é levada a acreditar que o software é legítimo. Mas, quando o instala, acaba permitindo que o malware contamine o seu computador ou dispositivo móvel.
Há casos de ransomwares que exploram falhas no sistema operacional, em aplicativos ou em plug-ins (como Java e Flash), mas o uso de técnicas de engenharia social tem mesmo mais efeito. Imagine, por exemplo, que você recebeu um e-mail de uma loja de comércio eletrônico avisando que o seu pedido já está em rota de entrega. Acontece que você não fez nenhuma compra! Curioso, você clica no link que supostamente dá mais detalhes sobre o pedido e acaba baixando o malware.
Você nunca cairia em truque desses? Que bom! Mas muita gente caiu: essa tática foi usada no primeiro semestre de 2016 para disseminar um ransomware de nome Locky. Nesse caso, os e-mails estavam em nome da Amazon, uma das mais conhecidas lojas de comércio eletrônico do mundo.
Como os ransomwares agem
Após a contaminação, o ransomware parte a ação impeditiva, ou seja, executa as instruções que bloquearão o sistema inteiro ou um conjunto de arquivos. Como essa ação é executada? Tudo depende da forma como o malware foi escrito e dos recursos explorados.
Um ransomware pode, por exemplo, explorar uma falha de segurança que permite a troca da senha de um sistema. Em casos como esse, o responsável pela praga contata a vítima de alguma forma para que ela pague (ou realize outra ação) para ter a senha antiga reestabelecida ou conhecer a nova.
Outra abordagem — esta bastante explorada — consiste em instalar pequenos softwares que exibem uma tela de bloqueio que, como tal, impedem que o usuário acesse recursos do sistema ou um conjunto de arquivos. Perceba que os dados estão lá, mas há um bloqueio no caminho até eles.
Para fazer pressão psicológica, algumas telas de bloqueio até exibem um contador dizendo que, se o pagamento não for feito até tal hora, todos os arquivos serão deletados. Um ransomware chamado Jigsaw (inspirado nos filmes Jogos Mortais), identificado em 2016, agia assim: o usuário tinha 72 horas para efetuar o pagamento; a cada hora, uma parte dos dados era deletada para aumentar o senso de urgência.
A situação fica mais grave quando servidores ou sistemas corporativos são atacados: como nenhum usuário consegue acessar o sistema, impedindo completamente o funcionamento da aplicação, a pressão acaba sendo ainda maior.
Um ransomware de bloqueio de tela que ficou relativamente famoso é o WinLock, que surgiu na Rússia em 2010. O bloqueio exibia uma mensagem com uma imagem de teor erótico e exigia que o usuário usasse um sistema de pagamento por SMS no valor de US$ 10 para ficar livre do invasor. Os responsáveis pelo WinLock foram presos (após obterem US$ 16 milhões com o esquema), mas variações surgiram nos anos seguintes.
Um ransomware pode, por exemplo, explorar uma falha de segurança que permite a troca da senha de um sistema. Em casos como esse, o responsável pela praga contata a vítima de alguma forma para que ela pague (ou realize outra ação) para ter a senha antiga reestabelecida ou conhecer a nova.
Outra abordagem — esta bastante explorada — consiste em instalar pequenos softwares que exibem uma tela de bloqueio que, como tal, impedem que o usuário acesse recursos do sistema ou um conjunto de arquivos. Perceba que os dados estão lá, mas há um bloqueio no caminho até eles.
Para fazer pressão psicológica, algumas telas de bloqueio até exibem um contador dizendo que, se o pagamento não for feito até tal hora, todos os arquivos serão deletados. Um ransomware chamado Jigsaw (inspirado nos filmes Jogos Mortais), identificado em 2016, agia assim: o usuário tinha 72 horas para efetuar o pagamento; a cada hora, uma parte dos dados era deletada para aumentar o senso de urgência.
A situação fica mais grave quando servidores ou sistemas corporativos são atacados: como nenhum usuário consegue acessar o sistema, impedindo completamente o funcionamento da aplicação, a pressão acaba sendo ainda maior.
Um ransomware de bloqueio de tela que ficou relativamente famoso é o WinLock, que surgiu na Rússia em 2010. O bloqueio exibia uma mensagem com uma imagem de teor erótico e exigia que o usuário usasse um sistema de pagamento por SMS no valor de US$ 10 para ficar livre do invasor. Os responsáveis pelo WinLock foram presos (após obterem US$ 16 milhões com o esquema), mas variações surgiram nos anos seguintes.
Os ransomwares que, de fato, criptografam dados são os que mais aparecem atualmente. Tanto que já receberam nome: crypto-ransomware. Há várias razões para o crescente surgimento dessa variedade. Uma é o fato de computadores e dispositivos móveis (tablets e smartphones) terem, hoje, poder de processamento suficiente para criptografar arquivos rapidamente. A outra é que, como só o invasor tem as chaves criptográficas usadas no ataque, fica muito difícil para a vítima recuperar os arquivos afetados.
Outra razão para o fortalecimento dos crypto-ransomwares é que, mesmo quando eles são removidos do sistema operacional, os arquivos criptografados permanecem dessa forma. Assim, as chances de o usuário "se render" e aceitar fazer o pagamento aumentam consideravelmente.
Um dos crypto-ransomwares mais conhecidos é o CryptoLocker, que utilizava criptografia do tipo RSA de até 2048 bits. Quando esse malware bloqueava dados, exibia uma mensagem na tela informando que o usuário só teria seus arquivos de volta (documentos, fotos, vídeos, etc.) se pagasse valores que variavam entre US$ 100 e US$ 500 (outras moedas também foram usadas, como o euro).
Métodos de pagamentos explorados
Outra razão para o fortalecimento dos crypto-ransomwares é que, mesmo quando eles são removidos do sistema operacional, os arquivos criptografados permanecem dessa forma. Assim, as chances de o usuário "se render" e aceitar fazer o pagamento aumentam consideravelmente.
Um dos crypto-ransomwares mais conhecidos é o CryptoLocker, que utilizava criptografia do tipo RSA de até 2048 bits. Quando esse malware bloqueava dados, exibia uma mensagem na tela informando que o usuário só teria seus arquivos de volta (documentos, fotos, vídeos, etc.) se pagasse valores que variavam entre US$ 100 e US$ 500 (outras moedas também foram usadas, como o euro).
Métodos de pagamentos explorados
Por envolver extorsão, o desenvolvimento e a disseminação de ransomwares podem ser consideradas atividades criminosas, razão pela qual os responsáveis por esses malwares costumam ser bastante cuidadosos: uma operação de pagamento pode ser rastreada rapidamente pelas autoridades.
Dificilmente você verá um ransomware exigindo pagamento em serviços conhecidos, como o PayPal (que possui um sistema avançado de combate a fraudes), ou diretamente em contas bancárias, a não ser quando estas pertencem a terceiros — os chamados "laranjas".
É mais frequente o uso de serviços de pagamentos menos conhecidos ou mais discretos, como aqueles que são usados em sites de apostas ou conteúdo erótico. Mas, como estes também podem ser rastreados, é cada vez mais comum o uso das chamadas criptomoedas, com destaque para o Bitcoin.
Explicando rapidamente, o Bitcoin é uma espécie de "moeda digital" baseada em criptografia. Assim, é possível proteger as transações, o que evita (ou dificulta ao extremo) que a origem e o destino do pagamento sejam rastreados.
Por conta disso, o Bitcoin é bastante utilizado em atividades ilegais (mas atividades legais também podem se beneficiar dessa moeda virtual, é bom destacar). Porém, como o uso desse meio é mais complexo, os criminosos preferem trabalhar com o Bitcoin apenas quando valores altos estão em jogo.
Como se proteger dos ransomwares
Os cuidados preventivos em relação aos ransomwares praticamente não diferem das medidas de segurança recomendadas no combate a outros malwares. Eis as práticas mais indicadas:
- Tome cuidado com anexos e links em e-mails, especialmente com mensagens em nome de bancos, lojas ou autoridades judiciais: o teor desses e-mails tenta te deixar preocupado para você clicar ali sem pensar;
- Também tome cuidado com links em redes sociais (como Facebook) e serviços de mensagens instantâneas (com WhatsApp), mesmo que a mensagem venha de uma pessoa conhecida — pode acontecer de o computador ou dispositivo móvel dela ter sido contaminado e enviado a mensagem sem ela perceber;
- Nunca baixe arquivos de sites de qualidade duvidosa;
- Mantenha sistema operacional e aplicativos sempre atualizados (especialmente navegadores);
- Ative os recursos de segurança e privacidade do seu navegador;
- Tome cuidado com plug-ins de navegadores. É uma boa ideia deixar extensões do Java e Flash desativados por padrão;
- Use softwares de segurança (principalmente antivírus) de empresas com boa reputação;
- Evite usar serviços públicos de Wi-Fi, ao menos aqueles que são desconhecidos. Algumas redes podem redirecionar seu navegador para sites falsos sem que você perceba;
- Faça backup (cópia) de seus arquivos regularmente. Assim, você pode recuperá-los facilmente em caso de "sequestro" de dados.
Como as empresas podem se proteger dos ransomwares
- Tome cuidado com anexos e links em e-mails, especialmente com mensagens em nome de bancos, lojas ou autoridades judiciais: o teor desses e-mails tenta te deixar preocupado para você clicar ali sem pensar;
- Também tome cuidado com links em redes sociais (como Facebook) e serviços de mensagens instantâneas (com WhatsApp), mesmo que a mensagem venha de uma pessoa conhecida — pode acontecer de o computador ou dispositivo móvel dela ter sido contaminado e enviado a mensagem sem ela perceber;
- Nunca baixe arquivos de sites de qualidade duvidosa;
- Mantenha sistema operacional e aplicativos sempre atualizados (especialmente navegadores);
- Ative os recursos de segurança e privacidade do seu navegador;
- Tome cuidado com plug-ins de navegadores. É uma boa ideia deixar extensões do Java e Flash desativados por padrão;
- Use softwares de segurança (principalmente antivírus) de empresas com boa reputação;
- Evite usar serviços públicos de Wi-Fi, ao menos aqueles que são desconhecidos. Algumas redes podem redirecionar seu navegador para sites falsos sem que você perceba;
- Faça backup (cópia) de seus arquivos regularmente. Assim, você pode recuperá-los facilmente em caso de "sequestro" de dados.
Como as empresas podem se proteger dos ransomwares
No caso de empresas e outras organizações, os ransomwares podem interromper todo o negócio, por isso, os cuidados devem ser redobrados. É recomendável:
- Orientar funcionários sobre os cuidados indicados no tópico anterior;
- Monitorar a rede e protegê-las com mecanismos específicos para cada tipo de atividade (e-mail, web, transações de pagamento, etc.);
- Instalar atualizações no sistema operacional dos servidores em tempo hábil;
- Criar regras de segurança digital abrangentes;
- Controlar com rigor o acesso a sistemas (um funcionário do RH não deve acessar um módulo do departamento financeiro, por exemplo);
- Revisar políticas de segurança, ferramentas de proteção e módulos dos sistemas periodicamente;
- Fazer backup rotineiro (isso é essencial!), especialmente de dados críticos.
Vale lembrar que sistemas baseados no Windows são muito visados por serem mais numerosos, mas há ransomwares em praticamente todas as plataformas, inclusive móveis. Assim, também é necessário haver cuidados em sistemas como OS X, iOS, Linux e Android.
Ataques a hospitais
Em fevereiro de 2016, o Centro Médico Presbiteriano de Hollywood, nos Estados Unidos, teve as atividades seriamente comprometidas por mais de uma semana por conta do ataque do já mencionado ransomware Locky. Até o FBI entrou no caso, mas, por conta da gravidade do assunto, o hospital pagou um resgate de 40 Bitcoins — na ocasião, um valor equivalente a US$ 17 mil.
Quase na mesma época, o Hospital Metodista de Kentucky, também nos Estados Unidos, sofreu um ataque similar. A diferença é que, nesse caso, não houve pagamento de resgate: o hospital desligou a rede, fez correções no sistema e restaurou os dados a partir de um backup. Mesmo assim, o impacto foi grande: as operações do hospital foram prejudicadas por cinco dias.
Em ambos os casos, tudo indica que funcionários receberam um arquivo contaminado por e-mail. Mas os ataques foram direcionados, ou seja, os hospitais não foram alvos por acaso: vários outros estabelecimentos do tipo foram afetados nos meses seguintes, inclusive na Europa e no Brasil.
O foco em hospitais mostra como os criminosos responsáveis por esses malwares podem ser meticulosos: um hospital lida com vidas humanas, logo, a pressão para que o pagamento seja efetuado é muito grande. Se os sistemas param, os hospitais têm dificuldades para acessar exames, obter dados de doenças, se comunicar com outros centros médicos, fazer reposição de remédios e assim por diante. Nessas circunstâncias, os pacientes não recebem tratamento adequado.
Além disso, os sistemas dos hospitais guardam informações confidenciais dos pacientes: prontuários e históricos médicos são documentos particulares. Se expostos publicamente ou perdidos, os hospitais podem sofrer processos judiciais que resultam em indenizações e multas pesadas. Mas, se a ação envolve sequestro de dados e / ou atividade bem-sucedida de um crypto-ransomware, o caso precisa ser analisado com cuidado.
Contaminação por um ransomware: pagar ou não pagar?
O exemplo dos hospitais levanta a pergunta: em caso de ataque por um ransomware, pagar ou não pagar o resgate? Em muitos casos, a reparação da vulnerabilidade que viabilizou a invasão e a eliminação do malware são suficientes para resolver o problema.
Via de regra, pagar não é recomendável porque serve de incentivo para a prática — os criminosos percebem que essa atividade pode mesmo ser rentável e insistirão nela. Além disso, não há garantias de que os dados serão desenvolvidos, embora a maioria dos invasores prefira fazer a devolução para não "queimar o filme": se surgirem relatos de que não houve recuperação após o pagamento, usuários ou entidades vitimadas que precisam dos dados rapidamente ou querem resolver o problema rápido podem desistir da ideia.
O pagamento deve ser feito, consequentemente, quando todas as outras opções foram testadas e não há outra saída. É a última coisa a ser tentada. Em caso de contaminação que envolva dados críticos ou sistemas corporativos, é recomendável alertar as autoridades e, se for o caso, contratar uma empresa de segurança com experiência no assunto para tentar uma solução mais adequada.
Como não há solução para eliminar de vez a ação dos ransomwares, a prevenção continua sendo o melhor remédio: softwares de segurança (antivírus, firewall, etc.) devidamente implementados e funcionários orientados ajudam enormemente na proteção. Como nada é 100% seguro, o backup também tem papel essencial: as cópias dos dados podem ser usadas para recuperar o sistema após o problema ser resolvido.
este texto foi extraído de https://www.infowester.com
- Monitorar a rede e protegê-las com mecanismos específicos para cada tipo de atividade (e-mail, web, transações de pagamento, etc.);
- Instalar atualizações no sistema operacional dos servidores em tempo hábil;
- Criar regras de segurança digital abrangentes;
- Controlar com rigor o acesso a sistemas (um funcionário do RH não deve acessar um módulo do departamento financeiro, por exemplo);
- Revisar políticas de segurança, ferramentas de proteção e módulos dos sistemas periodicamente;
- Fazer backup rotineiro (isso é essencial!), especialmente de dados críticos.
Vale lembrar que sistemas baseados no Windows são muito visados por serem mais numerosos, mas há ransomwares em praticamente todas as plataformas, inclusive móveis. Assim, também é necessário haver cuidados em sistemas como OS X, iOS, Linux e Android.
Ataques a hospitais
Em fevereiro de 2016, o Centro Médico Presbiteriano de Hollywood, nos Estados Unidos, teve as atividades seriamente comprometidas por mais de uma semana por conta do ataque do já mencionado ransomware Locky. Até o FBI entrou no caso, mas, por conta da gravidade do assunto, o hospital pagou um resgate de 40 Bitcoins — na ocasião, um valor equivalente a US$ 17 mil.
Quase na mesma época, o Hospital Metodista de Kentucky, também nos Estados Unidos, sofreu um ataque similar. A diferença é que, nesse caso, não houve pagamento de resgate: o hospital desligou a rede, fez correções no sistema e restaurou os dados a partir de um backup. Mesmo assim, o impacto foi grande: as operações do hospital foram prejudicadas por cinco dias.
Em ambos os casos, tudo indica que funcionários receberam um arquivo contaminado por e-mail. Mas os ataques foram direcionados, ou seja, os hospitais não foram alvos por acaso: vários outros estabelecimentos do tipo foram afetados nos meses seguintes, inclusive na Europa e no Brasil.
O foco em hospitais mostra como os criminosos responsáveis por esses malwares podem ser meticulosos: um hospital lida com vidas humanas, logo, a pressão para que o pagamento seja efetuado é muito grande. Se os sistemas param, os hospitais têm dificuldades para acessar exames, obter dados de doenças, se comunicar com outros centros médicos, fazer reposição de remédios e assim por diante. Nessas circunstâncias, os pacientes não recebem tratamento adequado.
Além disso, os sistemas dos hospitais guardam informações confidenciais dos pacientes: prontuários e históricos médicos são documentos particulares. Se expostos publicamente ou perdidos, os hospitais podem sofrer processos judiciais que resultam em indenizações e multas pesadas. Mas, se a ação envolve sequestro de dados e / ou atividade bem-sucedida de um crypto-ransomware, o caso precisa ser analisado com cuidado.
Contaminação por um ransomware: pagar ou não pagar?
O exemplo dos hospitais levanta a pergunta: em caso de ataque por um ransomware, pagar ou não pagar o resgate? Em muitos casos, a reparação da vulnerabilidade que viabilizou a invasão e a eliminação do malware são suficientes para resolver o problema.
Via de regra, pagar não é recomendável porque serve de incentivo para a prática — os criminosos percebem que essa atividade pode mesmo ser rentável e insistirão nela. Além disso, não há garantias de que os dados serão desenvolvidos, embora a maioria dos invasores prefira fazer a devolução para não "queimar o filme": se surgirem relatos de que não houve recuperação após o pagamento, usuários ou entidades vitimadas que precisam dos dados rapidamente ou querem resolver o problema rápido podem desistir da ideia.
O pagamento deve ser feito, consequentemente, quando todas as outras opções foram testadas e não há outra saída. É a última coisa a ser tentada. Em caso de contaminação que envolva dados críticos ou sistemas corporativos, é recomendável alertar as autoridades e, se for o caso, contratar uma empresa de segurança com experiência no assunto para tentar uma solução mais adequada.
Como não há solução para eliminar de vez a ação dos ransomwares, a prevenção continua sendo o melhor remédio: softwares de segurança (antivírus, firewall, etc.) devidamente implementados e funcionários orientados ajudam enormemente na proteção. Como nada é 100% seguro, o backup também tem papel essencial: as cópias dos dados podem ser usadas para recuperar o sistema após o problema ser resolvido.
este texto foi extraído de https://www.infowester.com
