Como proteger sua empresa do Ransomware

O Brasil é o país da América Latina que mais sofre com ataques do tipo ransomware. Diante disso, como proteger sua empresa do ransomware?

De todos os ataques registrados no continente, 55% tiveram como alvo as empresas e usuários brasileiros. Desses ataques o segmento mais visado é o setor de saúde, como clínicas e hospitais, seguido das pequenas e médias empresas. Em 2017 cerca de 22% das pequenas e médias empresas tiveram que fechar as portas por mais de 25 horas devido a ataques de ransomware. Algumas passaram mais 100 horas de inatividade por conta da infecção. Diante desse cenário uma perguntar persiste: como proteger sua empresa do ransomware? 

O que é Ransomware?

O ransomware é um tipo de malware que codifica os dados da vítima bloqueando completamente o acesso a eles. Os cibercriminosos que utilizam esse tipo de ataque cobram um valor de resgate, prometendo a liberação dos dados após a vítima efetuar o pagamento. Geralmente esse pagamento deve ser realizado com algum tipo de criptomoeda, como o bitcoin, o que torna essa transação quase impossível de ser rastreada, dificultando e até impossibilitando a localização do criminoso digital. 

O primeiro registro de ataque ransomware ocorreu em 1989 e infectou disquetes do biólogo Joseph Popp com Cavalo de Tróia. O malware aguardava os computadores reiniciarem 90 vezes para então codificar os arquivos da vítima. Essa estratégia possibilita que mais usuários sejam infectados através da transferência de dados entre diversos dispositivos. O valor de resgate cobrado pelo criminoso foi de US$ 189, porém especialistas conseguiram criar ferramentas para remover o malware e decodificar os arquivos bloqueados. 

Ransomware é um vírus?

Não. Vírus são programas que se espalham facilmente pelo sistema criando cópias de si para infectar outros dispositivos da rede. O vírus pode comprometer o desempenho da máquina e destruir arquivos, criando uma vulnerabilidade para roubo de dados, senhas e outras informações. O ransomware bagunça seus arquivos para torná-los inacessíveis e posteriormente cobra um valor de resgate. Eles podem ser removidos, mas dependendo do nível de criptografia, é possível que os dados nunca sejam recuperados. 

Tipos de ransomware

Há diversos tipos de ransomware. Alguns são mais prejudiciais que outros, mas todos visam uma coisa em comum: o pagamento do resgate. 

    • Blockers infectam o sistema operacional impedindo completamente o usuário de utilizar o computador e acessar qualquer aplicativo ou arquivo.
       
    • Encrypters  ou Crypto malware é tipo de ransomware mais comum e pode causar muito prejuízo. Em 2017 um ataque de grandes proporções atingiu ao menos 74 países fazendo milhares de vítimas e impedindo até profissionais de saúde de acessar os dados dos seus pacientes.

    • Doxware ou leakware é um tipo de ransomware que ameaça publicar as informações da vítima online caso o pagamento do resgate não seja efetuado. Imagine ter seus documentos pessoais, fotos, vídeos e contratos publicados na rede. É fácil entender o pânico que isso causaria a vítima.
    • Sacareware é um programa falso que diz ter encontrado vulnerabilidades ou problemas em seu computador e demanda um pagamento para a correção de tais problemas. Outras variantes podem bloquear o acesso a máquina ou exibir constantemente falsos alertas e pop-ups. 
Como saber se o ransomware infectou seu dispositivo?

Após o malware se instalar no computador a partir de um anexo de e-mail baixado, acesso a páginas falsas que exploram vulnerabilidades do sistema ou escondidos em sites de downloads, nada demais acontece. Ao menos por um tempo. Enquanto isso o malware conecta-se ao servidor do criminoso e gera um par de chaves, uma pública para criptografar os arquivos da vítima e uma privada que é armazenada no servidor do criminoso e serve para decodificá-los. 

Ao entrar em ação, o ransomware começa a criptografar os arquivos da vítima e se revelará somente quando o estrago estiver feito, exibindo uma mensagem de resgate com o valor que deverá ser pago e os dados para transferência. Para pressionar ainda mais a vítima, algumas mensagem incluem um cronômetro estipulando um prazo para o pagamento e, caso o prazo não seja respeitado, o valor aumenta.

Se você tentar acessar os arquivos criptografados receberá do sistema uma mensagem de erro informando que o arquivo foi corrompido ou é inválido. 

Como recuperar os arquivos codificados?

Recuperar os arquivos codificados por ransomware é uma tarefa árdua e nem sempre possível. Há ferramentas capazes de quebrar a chave de criptografia de ransomwares mais obsoletos que utilizam 32 e 64 bits em suas chaves. 

Contudo, grande parte dos ransomwares utilizam criptografias de 128 ou 256 bit. Esse é o mesmo nível de segurança utilizados por navegadores e servidores para proteger seus dados, pois é seguro e inviolável. 

Caso seus dados tenham sido infectados por ramsoware que utiliza esse nível de criptografia, saiba que a recuperação é praticamente impossível. 

O projeto No More Ransom é uma iniciativa de autoridades europeias e empresas de cibersegurança, criado com o objetivo de ajudar as vítimas de ransomware a recuperar os dados codificados. No site do projeto você encontra ferramentas que auxiliam na tentativa de recuperação dos arquivos. 

Devo pagar o resgate?

Tenha em mente que o objetivo do cibercriminoso é infectar o máximo de dispositivos possível a fim de ganhar dinheiro com o resgate. Em outras palavras, é um “negócio” que movimenta centenas de milhares de dólares. 

Lembre-se que você está lidando com golpistas e pagar o resgate não garantirá seus arquivos de volta. É provável até que aumentem o valor do resgate quando encontram uma vítima disposta a pagar. 

Minha empresa foi hackeada, o que fazer?

O ransomware Petya, por exemplo, tinha um bug em seu código que impossibilita qualquer recuperação. Mesmo que o criminoso quisesse, ele não conseguiria recuperar os dados. Quanto mais pessoas pagam pelo regaste, mais dinheiro esse “negócio” movimenta e mais incentiva os criminosos a continuarem agindo.

Em resumo, nunca pague pelo resgate. Além disso, denuncie nas delegacias especializadas e invista em segurança para prevenir essa e outras ameaças. 

Calculando o prejuízo 

Para se ter ideia do prejuízo financeiro que o ransomware pode causar em sua empresa, basta calcular a média do seu faturamento diário e multiplicá-la pelo tempo de interrupção dos serviços. Lembrando que além desse prejuízo também haverá custos para reparos e transtornos junto aos clientes. 

Por que pequenas e médias empresas são tão atrativas?

Além da falta de investimento em prevenção, o acesso que estas empresas têm a grandes companhias é um dos fatores que atraem a atenção dos cibercriminosos.

Façamos um exercício: certamente você envia notas fiscais para uma grande empresa, seus colaboradores trocam e-mails com fornecedores e provavelmente você possui informações confidenciais na sua base de dados. É justamente nessa troca de informações que percebemos porque os criminosos visam pequenas e médias empresas.  

Como as grandes companhias investem massivamente em segurança digital, é mais difícil ter sucesso em um ataque direto a elas. Dessa forma, negócios menores tornam-se um alvo que poderá servir de ponte para ataques a grandes empresas. 

O crime digital é a preocupação número 1 das organizações que trabalham com dados sigilosos, contudo isso não significa que usuários comuns estejam a salvo. 

Como proteger sua empresa do Ransomware 

Alguns cuidados são essenciais para minimizar os riscos e as ameaças proporcionadas pelos cibercriminosos. Elencamos seis passos fundamentais para se prevenir do ransomware.

1. Segurança Perimetral

Proteger o que chamamos de “borda ou perímetro” da rede da empresa é o primeiro passo. Os antivírus não atuam nessa área da infraestrutura de TI, quebrando o mito de que “comprando uma licença de antivírus eu estou seguro”. 

O firewall é a solução criada para isto. Ele é nosso porteiro digital, conferindo tudo o que vem da internet e o que sai de nossa rede (navegação) bloqueando aquilo que não é permitido passar. Quando um criminoso digital quiser invadir algum computador da empresa para implantar um ransomware, ele irá detectar o endereço IP que o seu provedor fornece e nele procurar por “portas” vulneráveis para invasão. Sem um firewall bem configurado ele fará isso sem nenhum problema e, o pior, sem ser detectado. 

2. Antivírus Corporativo

A cultura do uso do antivírus, diferente do firewall, foi bastante difundida no mundo corporativo. Se falarmos com proprietários de empresas sobre o assunto, a porcentagem dos que sabem do que se trata e a importância da ferramenta é inquestionável, mas, por incrível que pareça, poucas são as pequenas e médias empresas que investem em licenças de antivírus corporativas. 

Diferente de outros tempos, o aumento da concorrência no setor fez o valor da licença desses produtos cair bastante, facilitando a contratação. É comum pequenas empresas comprarem aquelas licenças vendidas diretamente nos sites das fabricantes, sendo que estas são voltadas para o público doméstico. 

A venda de licenças corporativas geralmente é feita por representantes ou parceiros, que são empresas locais que detém o direito da venda destas licenças. Isso se dá pela implantação e configuração do antivírus. Como é uma ferramenta moldada para empesas, uma série de procedimentos têm de ser adotados para que o dia a dia dos usuários da rede, no pós-implantação, não seja afetado, evitando dores de cabeça com softwares e serviços que não deveriam ser bloqueados, impactando assim, na operação da empresa. 

Essas ferramentas feitas para o mercado corporativo já tem módulos integrados que detectam atividades de ransomware, atuando como uma segunda camada de proteção para este e vários outros tipos de ameaças digitais. 

3. Filtro de conteúdo web

Você pode pensar: quais os riscos de não ter esse filtro? Se é permitido o acesso a qualquer site em sua empresa, o risco de infecção por vírus aumenta consideravelmente, agravando-se quando seus colaboradores não recebem um treinamento voltado a boas práticas de acesso à web. 

Os colaboradores podem aproveitar a falta de restrições e utilizar-se do tempo ocioso para navegar em sites de jogos, redes sociais, sites de streaming, sites de downloads, entre outros, que podem corroborar para a diminuição de sua produtividade impactando diretamente no aumento de custos e diminuição do faturamento da empresa. 

4. Filtro AntiSpam

Os Spams são os e-mails não solicitados e indesejados que chegam em sua caixa de entrada diariamente. Estes geralmente trazem anexos ou links que te levam a baixar algum programa, quase sempre com propósito malicioso. 

Este tipo de ataque aliado ao que chamamos de “engenharia social”que são as famosas chamadas: “seu boleto atrasou, clique aqui e emita segunda via”, “seu nome está no SPC, clique aqui e regularize”, entre outros, fazem vítimas diariamente e principalmente nas pequenas e médias empresas, pela falta de treinamento e ingenuidade dos usuários. 

Se você recebe dezenas de mensagens semelhantes as citadas anteriormente, significa que seu serviço de e-mail não tem um Filtro AntiSpam, o que aumenta consideravelmente as chances de infecção por ataques do tipo, além de impactar a produtividade do colaborador da empresa. 

Temos um relato de um cliente que apagava por dia entre 100 e 150 e-mails de Spam antes da contratação do filtro, processo que demorava em torno de meia hora. Pode parecer pouco, mas em uma semana de trabalho já acumulam-se três horas perdidas, sem falar em mensagem importantes que eventualmente eram apagadas por engano. 

Atualmente, o principal meio de propagação de ransomware é o Spam, por isso o Filtro AntiSpam é mais uma camada de proteção contra este tipo de ataque. 

5. Atualização de patches

Mesmo com todas essas proteções mencionadas anteriormente, existem outras brechas que os criminosos costumam explorar para infectar dispositivos com ransomware.

Em programas desatualizados instalados nos computadores da rede local, principalmente os navegadores (Chrome, Mozilla, Safari, entre outros), se você abrir algum site que explore alguma vulnerabilidade existente em versões mais antigas de navegadores, qualquer tipo de vírus poderá ser implantado na máquina, passando despercebido pelas prevenções mencionadas anteriormente. 

Programas como o Adobe e plugins como o Java, além do próprio Sistema Operacional (Windows, Linux, Mac OS) deverão estar sempre atualizados. Mas como verificar se isso tudo está atualizado sem ter conhecimento na área? 

Existem ferramentas que varrem o seu computador a procura de patches (navegadores, programas, atualizações do S.O. e plugins) desatualizados e os atualizam de forma automática. Caso seu negócio não possua uma, procure alguma empresa que oferte soluções baseadas em segurança digital para fazer uma cotação. Esta é mais uma camada de proteção que deve ser adotada por qualquer empresa que quer ficar livre de ransomware. 

6. Backup  Online

Esta é a última camada de proteção que propomos para seu negócio. Ter todas as proteções citadas aqui dificultará a ação do invasor. Estes, por padrão, não perdem tempo com quem tem proteção e procuram vítimas mais fáceis para propagar ransomware.  

Nenhuma medida de segurança garantirá 100% de proteção. A única solução para não parar sua empresa por conta ransomware é o Backup dos dados importantes. 

Esta cópia será usada no caso do comprometimento dos dados originais, evitando que seu negócio tenha que fechar as portas para a correção do problema. Backups em nuvem são as melhores soluções por serem mais seguros e há planos acessíveis para empresas de qualquer porte no mercado. 

Considerações finais

Para a segurança digital da sua empresa o ideal é incluir no seu planejamento o investimento para implantar uma defesa em multicamadas, não só para o ransomware, mas para quaisquer outros tipos de ameaças do mundo digital que podem chegar até seu ambiente.

Procure uma empresa especializada, que ofereça as ferramentas aqui citadas e faça seu orçamento. Dessa forma, sua empresa não será um alvo atrativo para criminosos digitais e grandes prejuízos poderão ser evitados.

como proteger sua empresa do ransomware

Nayrgton Veras

Especialista em Segurança de Redes de Computadores, Sistemas Operacionais e Supervisor Técnico de Infraestrutura de TI no departamento de Serviços Gerenciados da AM3 Soluções.

Deixe um comentário

avatar
  Subscribe  
Notify of