Tem havido muita discussão na comunidade InfoSec sobre ransomware – por que tem aumentado, se os resgates devem ser pagos e como mitigar essa ameaça que cresce rapidamente.
O culpado que abre as portas para esses ataques, aparentemente incluindo o ataque da cidade de Nova Orleans na semana passada , geralmente é um protocolo de desktop remoto fraco, ou RDP, credenciais de servidor que permitem que atacantes entrem diretamente na rede.Para montar uma defesa cibernética eficaz, você precisará envolver e comprometer toda a sua empresa em uma missão. Essa missão é “gerenciamento racional de riscos de segurança cibernética”.
O valor agregado em dólares dos resgates que os criminosos obtiveram com sucesso das vítimas mostra uma tendência alarmante. O total de resgates aumentou de US $ 325 milhões em 2015 para US $ 5 bilhões em 2017 e deve atingir US $ 11,5 bilhões em 2019, de acordo com a Cybersecurity Ventures.
Esteja ciente de todos os custos
No planejamento de estratégias defensivas, as organizações devem reconhecer que o custo de um ataque de ransomware vai muito além do pagamento da extorsão. Uma lista cada vez maior de empresas vitimadas relatou que outros custos associados a um ataque – tempo de inatividade, oportunidades de vendas perdidas, clientes irritados, despesas com mitigação e recuperação de ataques, danos à reputação da marca da empresa, multas por obrigações contratuais não cumpridas com clientes e multas por não conformidade – faça com que o custo do resgate pareça trivial.
A cidade de Atlanta gastou quase US $ 5 milhões apenas na aquisição de serviços de TI de emergência após um ataque de ransomware em março de 2018 que paralisou os serviços essenciais da cidade por dias. Os custos adicionais, incluindo os associados a serviços de resposta a incidentes de terceiros, comunicação a crises, aumento da equipe de suporte e serviços de consultoria especializada no assunto, agora excederam US $ 17 milhões e ainda estão sendo acumulados.
Aparentemente, Atlanta tinha US $ 22 milhões em despesas porque não pagou alguns milhares de dólares para corrigir 2.000 vulnerabilidades conhecidas.
Por que os ataques estão proliferando?
Os ataques de ransomware causaram muitos períodos de inatividade e danos econômicos em muitos setores, incluindo departamentos de polícia, governos locais, fabricantes de automóveis, empresas de logística, instituições de serviços financeiros, provedores de assistência médica e sistemas de transporte em todo o mundo.
O ransomware tem crescido, em parte, porque as vítimas estão pagando prontamente os resgates e porque é super fácil lançar esses ataques. Outro fator importante: as organizações-alvo se recusam firmemente a fazer as pequenas coisas necessárias para combater esses ataques.
Por que eles não? Eu tenho tentado desvendar esse enigma nos últimos oito anos e ainda não tenho idéia. Mas, em vez de apenas reclamar sobre o quão perigoso o ransomware se tornou e a rapidez com que a ameaça está crescendo, eu gostaria de especificar as etapas de mitigação de riscos a serem tomadas, a um custo acessível, que poderiam impedir o êxito da grande maioria desses ataques.
Mas primeiro, vamos ver como é fácil para os hackers colocarem as mãos na munição necessária para iniciar um ataque de ransomware.
Ransomware como um serviço
Centenas de produtos e serviços de baixo custo estão disponíveis na deep web para ajudar hackers inexperientes a travar seus ataques.
O mercado de hackers deep web floresce graças ao anonimato oferecido pelos protocolos de comunicação implementados nesta parte da web. As gangues de ransomware copiavam o modelo de fornecedores de tecnologia como a Salesforce.com, desenvolvendo e aprimorando contínua e rapidamente seus produtos e contando com uma rede de “distribuidores” baseados na Internet – criminosos de nível inferior e relativamente pouco qualificados, dispostos a colocar o malware o maior número possível de máquinas em troca de um corte no resgate – para colocar seu produto no mercado.
Esses criminosos usam uma variedade de técnicas para propagar ataques de ransomware, incluindo enviar e-mails de phishing com links ou anexos infectados e colocar anúncios on-line falsos que levam os usuários a sites falsos que baixam malware de forma invisível para quem os visita.
Enquanto isso, os desenvolvedores de back-end altamente qualificados trabalham para criar novas variantes que podem explorar as vulnerabilidades do sistema operacional e dos aplicativos, tirar proveito de usuários finais incautos e evitar o software antivírus e outras defesas criadas pelo setor de segurança de TI. Eles também constroem sofisticadas infraestruturas de distribuição, monitoramento, notificação e pagamento, que disponibilizam gratuitamente aos seus “distribuidores”.
Tudo o que alguém precisa para entrar na raquete de distribuição de ransomware é flexibilidade moral, um navegador e uma conexão à Internet para acessar essas ferramentas fáceis de usar, começar a espalhar o ransomware e a extorquir dinheiro das vítimas.
A abordagem é conhecida como ransomware como serviço.
A adição do que é essencialmente um help desk de suporte técnico para as ferramentas de hackers – interfaces amigáveis, canais Quoras e canais de Internet Relay Chat da deep web, ou IRC – reduz drasticamente o nível de dificuldade dos usuários comuns. Os kits de ransomware são oferecidos a iniciantes por cerca de US $ 50 e são extremamente eficazes.
Escolhendo metas
Então é daí que todas as armas e munições vêm, mas como os hackers escolhem quais vulnerabilidades devem ser alvo?
As campanhas recentes de ransomware mais bem-sucedidas envolveram malware que contava com servidores RDP abertos como ponto de acesso inicial. Famílias de ransomware como SamSam prosperaram, enquanto outras campanhas falharam porque estavam tentando outras vias mais seguras.A razão pela qual os servidores RDP acessíveis ao público estão amplamente disponíveis é que muitas organizações usam o RDP em vez de uma VPN para obter acesso remoto às suas máquinas.
As campanhas bem-sucedidas procuram redes com servidores voltados para a Internet executando o serviço RDP. Os invasores aproveitam as vulnerabilidades (conhecidas) em servidores sem patch ou usam um ataque de senha de força bruta. Depois que os invasores obtêm acesso ao sistema exposto, eles o utilizam como ponto de partida no núcleo da rede, instalando seu ransomware nas máquinas de destino e geralmente desativando backups e outros arquivos.
O RDP não é a única vulnerabilidade que os invasores usam e, como vimos com SamSam, CrySiS e BitPaymer. Os bandidos procuram qualquer serviço que possa lhes dar acesso.
Este e no ano passado, os ataques de ransomware atacaram vulnerabilidades conhecidas no JBoss, FTP e outros serviços, mas os servidores RDP abertos são o alvo preferido. Existem muitos, são fáceis de encontrar e fáceis de explorar. Melhor ainda, se um invasor está tendo problemas para explorar servidores RDP abertos, ele pode comprar um kit de exploração por cerca de US $ 15.
A razão pela qual os servidores RDP acessíveis ao público estão amplamente disponíveis é que muitas organizações usam o RDP em vez de uma VPN para obter acesso remoto às suas máquinas. Além disso, as organizações freqüentemente não sabem que o serviço RDP está sendo executado em servidores voltados para a Internet. Isso pode ser o resultado de um erro de configuração ou uma falha na verificação de segurança – ou pode ser iniciado por outro serviço após a implantação do servidor.
A correção disso exige um teste de penetração como parte de uma avaliação de risco que pode ser realizada por vários fornecedores de serviços, além de aplicativos e testes de patches subsequentes. O custo total deve ser inferior a US $ 25.000.
O orçamento de publicidade para 2019 apenas para o Conselho da Cidade de Atlanta, não para toda a cidade, era de US $ 103.000. Você acha que a cidade poderia economizar 25% da campanha de relações públicas da prefeitura para fazer isso? Ironicamente, toda a publicidade e relações públicas do mundo não ajudará a imagem do conselho da cidade agora.
Campanhas de phishing
O outro caminho para ataques de ransomware é através de campanhas de phishing.
O ransomware GandCrab depende muito das macros do Microsoft Office, VBScript e PowerShell para evitar a detecção. Embora ferramentas de consumidor, como serviços de correio gratuitos e fornecedores de antivírus tenham melhorado na detecção de ransomware, o GandCrab continua a obter sucesso usando um modelo avançado de ransomware como serviço e fazendo dezenas de ajustes e pelo menos cinco novos lançamentos de código desde a sua criação.
Um programa de treinamento simples e repetitivo de conscientização sobre segurança pode ajudar bastante os funcionários a reconhecer ataques de phishing por cerca de US $ 6.000 por ano. E as contramedidas técnicas de phishing também são de baixo custo.
Mas os atores de ransomware são muito ágeis e rapidamente adaptam suas técnicas ao cenário de segurança em mudança. Esta batalha não será vencida com uma mentalidade única.
Determinar onde estão suas vulnerabilidades e corrigi-las – e implementar contramedidas no caminho do ataque, como tecnologias anti-phishing – são componentes de um requisito de processo contínuo para melhorar continuamente a higiene da segurança cibernética. Colocar um software no lugar e programar algumas classes não impedirá um ataque de ransomware. Para montar uma defesa cibernética eficaz, você precisará envolver e comprometer toda a sua empresa em uma missão.
Essa missão é “gerenciamento racional de riscos de segurança cibernética”. E deve ter o apoio do conselho e dos executivos de nível C em toda a organização de TI. Caso contrário, falhará.
Use um MSSP?
Abaixo, você encontrará uma lista de etapas críticas a serem adotadas para começar a implementar o gerenciamento racional de riscos de segurança cibernética. Você pode tentar fazer isso sozinho ou terceirizá-los para um provedor de serviços de segurança gerenciado competente – ou uma mistura de ambos.
Dezenas de MSSPs qualificados fornecem todos os serviços descritos abaixo. Os possíveis motivos para parceria com um deles são:
- Eles são profissionais com profunda experiência no espaço enquanto você não é.
- Eles se comprometeram com um conjunto de produtos e práticas que comprovadamente funcionam.
- Você não pode encontrar nem se dar ao luxo de contratar ou gerenciar as habilidades necessárias em segurança cibernética.
- O custo total será menor que a versão DIY ou híbrida.
- Eles estão contratualmente comprometidos a cumprir um contrato de nível de serviço.
- O projeto será concluído e realizado muito mais rapidamente – e o tempo supera o dinheiro.
Cinco componentes principais
O desenvolvimento e a administração de um programa abrangente de riscos de segurança cibernética são complexos, difíceis e exigem profundo conhecimento do espaço do problema. Você precisará abordar cinco componentes principais.
- Avaliação e mitigação de riscos;
- Tecnologias de cibersegurança para monitoramento, prevenção, proteção, detecção, alerta e correção;
- Gerenciamento de processos e políticas;
- Treino e educação;
- Comunicação e protocolo de recuperação.
Se você se sentir competente para abordar e gerenciar o que é necessário em cada uma dessas áreas, deve fazê-lo. Aqui está o que você precisará fazer:
1. Sistemas de backup localmente e na nuvem
Execute regularmente os backups do sistema e mantenha-os separados com uma cópia local, uma cópia externa e pelo menos uma cópia na nuvem. Isso manterá o backup das informações em uma área segura que os hackers não podem acessar facilmente e facilitará a limpeza do sistema antigo e a restauração com os arquivos de backup em caso de ataque.
Mas apenas fazer o backup dos arquivos é apenas metade da tarefa. Você também precisa testar os backups e instituir um programa para que, toda vez que o fizer, seja capaz de provar que tudo funcionou.
Os backups na nuvem são baratos, eles introduzem redundância e adicionam uma camada extra de proteção.
2. Segmente o acesso à rede
Limite os dados que um invasor pode acessar. Com o acesso ao controle dinâmico, você ajuda a garantir que toda a segurança da rede não seja comprometida em um único ataque. Separe sua rede em zonas distintas, cada uma exigindo credenciais diferentes para privilégios de acesso.
3. Use princípios de ‘mínimo privilégio’
Configure seus controles de acesso (arquivo, diretório e permissões de compartilhamento de rede) com base nos princípios de “menor privilégio”. Em outras palavras, os usuários que precisam acessar apenas a leitura de documentos ou arquivos não devem editar esses arquivos, diretórios ou compartilhamentos específicos – sem exceções, incluindo os executivos de nível C ou corporativos.
4. Implementar sistemas de detecção precoce de ameaças e monitoramento
Instale o software de contra-medida de ransomware que ajudará a identificar possíveis ataques.
Os programas mais populares de gerenciamento unificado de ameaças podem encontrar invasões à medida que ocorrem e evitá-las – e também oferecem software antivírus para gateway. Mesmo SIEMs convencionais ou serviços de monitoramento de rede disponíveis através de MSSPs aproveitarão IDS e IPS avançados, firewall, análise comportamental, inteligência de ameaças, defesa de ponto final e recursos de detecção de ameaças que identificarão e alertarão sobre a presença de malware e recomendarão etapas de correção ou fornecerão a ele diretamente através dos socorristas do SOC.
Se você estiver fazendo isso você mesmo, precisará comprar um sistema UTM ou SIEM e construir um centro de operações de segurança para fornecer um recurso de resposta imediata.
Além disso, você precisará implementar as práticas recomendadas de segurança de email e a filtragem de spam para impedir que anexos indesejados apareçam na sua caixa de entrada de email. O Windows possui recursos que devem ser aproveitados para controlar o gerenciamento de identidade e acesso.
Faça o download e instale rigorosamente todas as atualizações ou patches de software regularmente. Muitos sistemas contínuos de avaliação e gerenciamento de vulnerabilidades, ou CVAMs, estão disponíveis para varrer e avaliar a atenção à vulnerabilidade. Muitos provedores de SIEM como serviço incluem CVAMs como parte de seu serviço.
A aplicação de patches é a melhor maneira de impedir a maioria dos ataques de ransomware. Todas essas ferramentas de avaliação e verificação de vulnerabilidades podem ser executadas continuamente, para que você não precise se lembrar de iniciar as verificações por conta própria. Essas verificações devem incluir todos os dispositivos de rede, incluindo telefones celulares, tablets e quaisquer dispositivos IoT conectados.
5. Instale o software anti-ransomware
Não presuma que você tenha o antivírus mais recente para proteger contra ransomware. Seu software de segurança deve consistir em proteção antivírus, anti-malware e anti-ransomware. Também é crucial atualizar regularmente suas definições de vírus.
Até agora, você provavelmente já detectou um tema aqui. Atividades regulares, rigorosas, disciplinadas e programadas por pessoas dedicadas ao seu programa de defesa contra riscos de segurança cibernética são essenciais. Caso contrário, toda a tecnologia do mundo não ajudará e você se tornará uma vítima de ransomware.
6. Treine seus funcionários
A maioria dos ataques de ransomware pode ser atribuída a práticas inadequadas de segurança cibernética dos funcionários, decorrentes da falta de treinamento e educação. Ataques de phishing, senhas fracas, configurações incorretas e gerenciamento inadequado de acesso são algumas das principais causas que abrem a porta para ataques bem-sucedidos de ransomware.
Muito disso pode ser resolvido por meio de treinamento de funcionários e educação sobre segurança. Mas deve ser divertido, repetitivo (uma vez por ano não é suficiente) e envolvente (resultados de testes e pontuações). E isso precisa ser feito desde o topo – seu CEO precisa estar na primeira fila a cada trimestre.
Os funcionários devem reconhecer os sinais de um ataque de phishing. Você e seus funcionários precisam estar atualizados sobre as mais recentes variações de ransomware e sobre as técnicas usadas pelos distribuidores de ransomware. Ensine a equipe a ter cuidado com os anúncios on-line e os links de e-mail em que clicam, os sites que visitam e os anexos que abrem.
Saliente a importância de examinar links e anexos para garantir que eles sejam de uma fonte confiável. Avise a equipe sobre os perigos de fornecer informações pessoais ou da empresa em resposta a um e-mail, carta ou telefonema.
Para os funcionários que trabalham remotamente, deixe claro que nunca deve usar Wi-Fi público, porque os hackers podem facilmente invadir esse tipo de conexão.
Além disso, deixe claro que qualquer pessoa que relate atividades suspeitas não precisa ter certeza de que realmente existe um problema. Esperar até que um ataque ocorra pode significar responder tarde demais. Não deve haver penalidade por identificações equivocadas de ameaça.
7. Insista em segurança de senha forte
Utilize uma estratégia de gerenciamento de senhas que incorpore um gerenciador de senhas corporativo e adote as melhores práticas de segurança de senhas.
Três em cada quatro pessoas usam a mesma senha para vários sites e um terço usa uma senha significativamente fraca, segundo vários estudos. Se sua organização não aceitar a autenticação multifatorial, insista pelo menos no uso de várias senhas fortes e force uma mudança a cada 90 dias.
8. Implemente o bloqueio do servidor de email
Comece a filtrar e rejeitar as mensagens recebidas de fontes desconhecidas com anexos executáveis. Além disso, configure seu servidor de email para rejeitar endereços de spammers e malware conhecidos.
A instalação de software antivírus e malware no servidor de email pode funcionar como uma proteção adicional. Se você não possui um servidor de correio interno, verifique se o seu provedor de serviços de segurança pode pelo menos filtrar o correio recebido.
9. Gerenciar plug-ins vulneráveis
Os hackers usam vários plug-ins da Web como alvos para infectar seu sistema. Dois dos mais comuns são Java e Flash. Esses programas são padrão em muitos sites e são fáceis de atacar. Atualize-os regularmente para garantir que eles tenham os níveis adequados de proteção ou bloqueie totalmente seu uso.
Eu também sou um defensor da eliminação de todos os programas BYOD e BYOC. Fazer isso não ganhará nenhum concurso de popularidade, mas eliminá-los pode impedir o próximo ataque de ransomware.
10. Compre um plano de seguro de segurança cibernética
O seguro de responsabilidade civil cibernética cobre reivindicações relacionadas a violações de dados, ransomware e outros ataques cibernéticos em sua empresa e ajuda a pagar despesas relacionadas à notificação do cliente, serviços de monitoramento de crédito, campanhas de relações públicas, perda de renda e até pagamento de resgate.
O seguro de responsabilidade cibernética de terceiros cobre sua responsabilidade pelos dados de seus clientes. Reivindicações sobre cobertura de terceiros podem ser desencadeadas por acusações de que sua empresa falhou em impedir um vírus ou a divulgação de informações confidenciais. Essa cobertura normalmente paga honorários advocatícios, acordos ou julgamentos contra seus negócios, multas e penalidades governamentais e o custo de defesa perante os órgãos reguladores.
No caso de Lake City, na Flórida, o gerente da cidade, Joseph Helfenberger, recomendou ao prefeito que a cidade permita que sua seguradora cibernética pague o resgate de 42 bitcoin, que vale cerca de US $ 460.000. Lake City, que estava coberto por ransomware sob sua apólice de seguro cibernético, só seria responsável por uma franquia de US $ 10.000. A cidade optou por pagar o resgate porque o custo de uma recuperação prolongada dos backups teria excedido seu limite de cobertura de US $ 1 milhão.
O perigo? Os hackers agora sabem que as seguradoras têm bolsos profundos e obviamente optarão por capitalizar decisões como essa.
11. Não pague resgate – exceto sob uma condição
Especialistas em aplicação da lei e segurança concordam que pagar o resgate é uma defesa muito ruim: mais da metade das vítimas de ransomware que pagam um resgate não recuperam seus arquivos com êxito, porque os extorsionistas não conseguem entregar as chaves prometidas ou implementaram os algoritmos de criptografia / descriptografia tão mal que as chaves não funcionam, vários estudos mostraram.
A única exceção é a seguinte: se você possui uma apólice de seguro cibernético que cobre despesas com ransomware, incluindo resgates, certifique-se: deixe sua seguradora pagar para que você possa voltar e recuperar o mais rápido possível. Sua principal responsabilidade é com seus acionistas, clientes e funcionários.
O preço
Então, quanto vai custar tudo isso?
Tudo depende da contagem de dispositivos, contagem de funcionários, pacotes de serviços e muito mais. Mas, em termos gerais, uma empresa de pequeno e médio porte gastaria entre US $ 35.000 e US $ 110.000 por ano em todos os serviços descritos acima, excluindo seguros e treinamento. Um prêmio de apólice de seguro de segurança cibernética com cobertura básica varia entre US $ 2.500 e US $ 7.000 por ano para essas empresas. O treinamento custará cerca de US $ 5.000 por ano.
Novamente, essas tecnologias, processos e protocolos são apenas as defesas fundamentais necessárias para aumentar suas chances de impedir um ataque de ransomware. Eles não pretendem ser um curso de estudo abrangente sobre gerenciamento de riscos de segurança cibernética.
Usar uma fórmula ajustada ao risco de eventos futuros para determinar se gasta dinheiro em medidas preventivas, compra de seguro – ou não faz absolutamente nada – geralmente produz resultados racionais. Por exemplo, o custo ajustado ao risco de um incêndio (alto custo, probabilidade razoável) torna rentável a compra de uma apólice de seguro contra incêndio. O cálculo do custo ajustado ao risco do ransomware determinará se vale a pena investir em prevenção.
Lembre-se: a cidade de Atlanta gastou US $ 22 milhões após o ataque ao ransomware. Isso argumenta fortemente a favor da prevenção.De “The Art of War”, de Sun Tzu: “Guerreiros vitoriosos vencem primeiro e depois entram em guerra, enquanto guerreiros derrotados entram em guerra primeiro e depois buscam vencer”.
Uma pesquisa da Osterman Research descobriu que cerca de 22% das empresas com menos de 1.000 funcionários que sofreram um ataque de ransomware no ano passado, perderam cerca de 15% da receita. Em média, as pequenas empresas perderam mais de US $ 65.000 por incidente de ransomware devido ao tempo de inatividade e outros US $ 35.000 em receita perdida, mostra a pesquisa.
Prevê-se que um ataque de ransomware ocorra a cada 14 segundos até o final de 2019, a cada 40 segundos em 2018, de acordo com a Cybersecurity Ventures.
Uma epidemia
O ransomware está claramente se tornando uma epidemia.
A menos que o governo federal e / ou as cabalas de seguros insistam na implementação de um conjunto específico de medidas preventivas e protetoras e criminalize o pagamento de resgate, cabe a toda organização, agência governamental e empresa tomar medidas racionais para se defender e prepare-se para o próximo ataque de ransomware.
De “The Art of War”, de Sun Tzu: “Guerreiros vitoriosos vencem primeiro e depois entram em guerra, enquanto guerreiros derrotados entram em guerra primeiro e depois buscam vencer”.
A vitória é sempre preferível à derrota, certo?
FONTE: