0
0
Os ataques de ransomware estão aumentando. A SonicWall reportou um aumento de 109% no ransomware dos EUA durante o primeiro semestre de 2020. Devido aos custos de execução relativamente baixos, altas taxas de retorno e risco mínimo de descoberta em comparação com outras formas de malware, o ransomware rapidamente se tornou um método preferido de ataque para cibercriminosos.
Embora os sistemas de computador continuem sendo a fonte mais comum de infecção por ransomware, os dispositivos de Internet das Coisas (IoT) também são alvos principais por várias razões, incluindo o fato de que os hackers sabem que as empresas geralmente têm menos visibilidade nesses dispositivos e, portanto, podem infligir efeitos devastadores sem serem detectados. Além disso, os dispositivos IoT muitas vezes não são construídos com segurança em mente, deixando-os vulneráveis para explorações. Ataques baseados em IoT também podem se espalhar pela rede muito rapidamente para maximizar os danos, e o ransomware pode tornar as funções físicas desse dispositivo inacessíveis até que o resgate seja pago.
Infelizmente, há um monte de apontar o dedo quando se trata de quem é responsável por reforçar a segurança da IoT. Muitas vezes, cabe às organizações individuais se protegerem de ataques baseados em IoT.
De todos os tipos de ransomware,um dos mais prejudiciais e infames é o WannaCry. Estima-se que tenha afetado mais de 200.000 computadores em 150 países, com danos totais que variam de centenas de milhões a bilhões de dólares. O WannaCry, bem como outras formas de malware e ransomware, aproveitam uma exploração bem conhecida chamada EternalBlue. Ele explora uma vulnerabilidade no protocolo Server Message Block versão 1 (SMB v1) da Janela, que permite que o malware se espalhe para todos os sistemas Windows não recompondo de XP a 2016 em qualquer rede que tenha esse protocolo ativado.
Embora o WannaCry tenha sido detectado pela primeira vez em maio de 2017, de acordo com os Detetives de Segurança, ele ainda representa quase metade de todos os incidentes de ransomware relatados nos EUA hoje. Todo malware baseado em EternalBlue (incluindo o WannaCry) explora a mesma vulnerabilidade do Windows. Uma vez que esses ataques ainda estão aumentando três anos depois, é evidente que há muitos sistemas Windows não reparados ainda por aí.
E, novamente, enquanto o WannaCry tem como alvo principalmente computadores, os dispositivos IoT não eram — e não são — imunes.
Como um hospital parou um ataque
do WannaCry Em 2019, um sistema hospitalar europeu descobriu que seus dispositivos de ultrassom estavam infectados com o WannaCry. Vários dispositivos de imagem digital e comunicações em medicamentos (DICOM) também foram afetados porque estavam executando versões antigas dos sistemas operacionais MS Windows. Estes dispositivos não poderiam ser corrigidos sem quebrar a garantia do fabricante do dispositivo e, devido às despesas desses dispositivos, não poderiam ser facilmente substituídos.
Felizmente, o hospital agiu rápido e conseguiu parar este ataque. Especificamente, eles:
- Confirmou a existência da infecção nas máquinas de imagem.
O hospital selecionou um dos dispositivos DICOM suspeitos, um ultrassom na maternidade do hospital. Este foi um caso particularmente perigoso porque algumas das imagens e relatórios poderiam ser roubados e mantidos para resgate, ou pior, o dispositivo poderia ser tomado o controle e tornado inutilizável. Eles realizaram uma captura de tráfego no dispositivo de ultrassom e encontraram um número significativo de fluxos do ultrassom para a rede, utilizando SMB Over TCP (porta 445). Como esta era a porta preferida e exploração conhecida por EternalBlue/WannaCry, confirmou que a máquina estava infectada. - Aplicou perfis de segurança e isolou os dispositivos afetados.
Como o aparelho de ultrassom não podia ser corrigido ou atualizado, eles não podiam eliminar a infecção. No entanto, o hospital conseguiu contê-lo e continuar usando dispositivos médicos infectados sem se preocupar em infectar a rede mais ampla ou perder as imagens e arquivos do ultrassom. Para isso, o hospital utilizou uma solução de segurança que poderia segmentar e isolar certos dispositivos na rede, para que a infecção pudesse ser contida dentro do aparelho de ultrassom, impedindo a propagação através da rede. A equipe de TI então aplicou políticas ao dispositivo de ultrassom para garantir que nenhuma porta UDP/TCP fosse aberta, exceto aquelas explicitamente permitidas pela equipe de imagem e pelos gerentes de TI. - Monitorou dispositivos autônomos e permaneceu vigilante.
A ação não parou quando o hospital isolou os dispositivos conhecidos. Hospitais e outras organizações que tiveram seus sistemas de computador impactados por várias rodadas de surtos do WannaCry precisam confirmar que quaisquer dispositivos médicos (especialmente aqueles que executam versões antigas do MS Windows Operating Systems) também não foram infectados. O hospital europeu verificou que outros dispositivos não foram afetados, e continuou monitorando de perto qualquer atividade suspeita.
A Cyber Threat Intelligence (CTI) é analisada informações sobre as capacidades, oportunidades e intenções dos adversários que atende a um requisito específico determinado por uma parte interessada.Trazido a você por DomainTools
Os especialistas em Segurança Cibernética da Road Ahead concordam que os ataques de ransomware só vão acelerar e podem representar uma ameaça crescente aos dispositivos IoT em 2020 e além. Além de proteger seus sistemas de computador e dados da empresa contra a ameaça de um ataque de ransomware, é fundamental rever e atualizar suas práticas atuais de segurança de IoT, especialmente para pontos finais críticos da missão, como dispositivos médicos e sistemas de controle industrial.
O Ransomware não vai a lugar nenhum, mas podemos ter certeza de que estamos preparados para a próxima vez que ele atacar.
FONTE: DARK READING