Nós costumávamos chamar a Internet de “supervia de informações”, quando as conexões eram lentas, gopher e quadros de avisos eram as tecnologias mais avançadas existentes. Esses dias já se foram, mas algo da ‘via’ ficou, como se fosse um cheiro desagradável, um que voltou para nos incomodar em 2017… O ladrão da beira da estrada!
Uma pessoa que usava sua vilania nas rotas comerciais e estradas do mundo, extorquindo dinheiro e bens de viajantes através de uma simples ameaça — “seu dinheiro ou sua vida” — reforçada, é claro, pelo gatilho da pistola ou alguma faca.
Atualmente, o ladrão da beira de estrada é muito mais sofisticado e sagaz. Eles correm menos riscos e se volta as tecnologias atuais para extorquir seu dinheiro, ameaçando seus bens. Nesse caso, seus dados, sua tecnologia e, provavelmente, sua capacidade de computação.
É claro que estou falando sobre ransomware, a ameaça que esteve nos jornais quase todo dia nos últimos meses. A ferramenta de escolha do ladrão de beira de estrada moderno se tornou notícia principal em todo mundo com versões como WannaCry e a mais recente, Popcorn Time. Nas últimas semanas, organizações do mundo todo foram atingidas por esse ransomware, desde o Serviço Nacional de Saúde do Reino Unido, até o Serviço Postal Russo.
Curiosamente, o WannaCry aproveita vulnerabilidades já conhecidas no sistema operacional Windows, que supostamente estariam em poder de uma agência de segurança nacional dos EUA. Nesse caso, uma vulnerabilidade permitiu que o ransomware tivesse sucesso tanto nas versões antigas quanto novas do Windows (XP e 7), usando uma falha na funcionalidade de rede SMB integrada. Mesmo sem nenhum suporte, ainda existem organizações que usam o Windows XP e se colocando em perigo.
Felizmente, um pesquisador de segurança corporativa conseguiu encontrar um “kill switch” em algumas variantes do WannaCry, na forma de um domínio cliente/servidor que não tinha sido registrado pelo autor do malware. Registrar o domínio pareceu dar a essas variantes do malware o “dead letter box” que elas estavam procurando para desativar e cessar o ataque.
Após uma análise intensa das táticas do WannaCry pela comunidade de segurança, nós ficamos sabendo que a infecção se espalhava nas organizações usando conexões SMB. E, embora reparar a vulnerabilidade conhecida (já que o último reparo tinha acontecido há mais de um mês) ajude a conter a propagação do WannaCry, existem várias fontes de ransomware que podem infectar seus sistemas, como:
- Trojans– Talvez o meio mais comum e a fonte de ataques de ransomware que mais temos notícias. Anexos de e-mail que contêm arquivos com macros maliciosas é o método escolhido aqui.
- Mídias removíveis– A fonte mais provável de infecções de ransomware da maioria dos malwares em uma corporação, seja ransomware ou algo mais perigoso. Especialmente para aquelas organizações que não restringem suas portas USBs. Cartões USBs e mídias removíveis são um meio bem simples de infectar um PC, já que os usuários geralmente confiam nesses dispositivos. Um estudo feito pela Google e duas universidades dos EUA mostrou que, largar um dispositivo USB em lugares públicos é um jeito simples e efetivo de instigar a curiosidade humana, comprovado pelos 49% dos ‘USBs de isca’ que foram conectados a computadores por pessoas que os encontraram. Imaginem se eles fossem maliciosos?
- Malvertising– Malver o quê? Um aglomerado cheio de anúncios perigosos. Onde invasores comprometem a infraestrutura frágil de uma rede de anúncios on-line que distribui anúncios para sites legítimos. Assim, quando os usuários visualizam esses anúncios, geralmente em sites de notícias conhecidos, eles são usados para burlar os navegadores e baixar malwares através da página comprometida. Kits de ferramentas como Angler e Neutrino são usados com frequência como disseminadores do malware, que geralmente, dá controle total do endpoint contaminado aos criminosos virtuais. O ransomware é apenas um dos resultados comuns desses ataques “watering-hole” ou “drive-by”.
- Mídias sociais e SMS– A predominância dos links abreviados usados nas plataformas de mídias sociais e em mensagens de texto SMS dá aos invasores um excelente mecanismo para distribuir ransomwares e malwares. Usuários raramente, ou nunca, verificam o destino dos links abreviados nas mídias sociais, SMS e até e-mails, e os invasores sabem disso. Soluções de segurança de ‘link-follow’ estão com a sua popularidade em alta, mas não tanto quanto desejado. O ransomware que ataca por meio de links abreviados; geralmente é baseado em JavaScript, e requer um pouco mais de atenção por parte dos usuários, em vez de apenas clicar no link.
- Ransomware como Serviço– RaaS? Sim, ele existe, como uma das muitas redes de ‘Crime como Serviço’. (Sim, elas existem também). O RaaS permite que criminosos de todos os tipos se tornem criminosos virtuais, ao ponto de vermos uma queda nos crimes clássicos como assaltos, já que o RaaS é uma fonte de ransomware muito menos arriscada para eles. RaaS e CraaS deram origem a vastas redes de afiliados também, onde o ransomware é fácil de implantar e gerenciar para quase qualquer um e onde o potencial de ganho é significativo. Eu uso esse exemplo para mostrar a sofisticação e motivação dos cibercriminosos por trás do ransomware. Ignore-o por sua conta e risco.
É comum pensarmos no ransomware como um ataque por e-mails ou baseado em Trojans e que esse geralmente é o método mais usado por ele, mas nós devemos notar que uma vez que o ransomware chega aos negócios, seus criadores vão tentar todos os métodos possíveis para garantir que ele se espalhe como uma praga assim que possível.
O que todos esses ataques e a amplitude das fontes de ransomware nos mostram é: ele é um ambiente vivo e hostil na supervia de informações e que, apesar de todo bem que fazemos, existem pessoas que querem violar, roubar e saquear nossos recursos. Não se iluda de que falte motivação; o ransomware é uma grande fonte de renda para eles, então, não espere que os ataques acabem do dia para a noite. Não fazer o melhor tecnologicamente também não é uma opção. Sentar e esperar que o Windows XP ou o 7 vá “aguentar um pouco mais” ou que esses patches que você não instalou não façam diferença não é uma estratégia muito sensata. Lembre-se de que existem livros escritos sobre a esperança não ser uma estratégia, então não caia nessa armadilha.
Corrija suas coisas, faça backups e fique de olho nos ladrões de beira de estrada.
Mantenha-se seguro.
O que você pode fazer com a Veeam para permanecer resiliente contra o ransomware? Veja nosso conteúdo de séries sobre ransomware.