Não existe um fim previsto para o ransomware. É um ataque muito simple — instala malware, criptografa dados/sistemas e exige um resgate — e então por que não conseguimos impedir o ransomware? Os fornecedores de segurança estão muito atentos à esse problema, assim como os métodos e vetores de ataque. Porém, não conseguem ficar um passo à frente, isso fez com que o ransomware crescesse de US$ 1 bilhão em danos durante 2016 para uma média de US$ 5 bilhões em 2017, de acordo com Cybersecurity Ventures. Existem dois motivos básicos para a “eficácia” do ransomware aos cibercriminosos.
1º Motivo: Os criadores de malwares estão ficando melhores em suas obras
Basta pensar que estamos superando o ransomware que nossos adversários mudam suas táticas ou produzem novas técnicas para replicar e causar danos e sofrimento. Recentemente vimos tipos de ransomware como o WannaCry se aproveitarem de vulnerabilidades não corrigidas do serviço de SMB do Windows para propagar pelas redes, especialmente aquelas que tinham SMB aberto à Internet — Uma técnica astuta que os malwares “worms” de Windows (como o Sasser) já usavam em meados dos anos 90. Também vimos desenvolvedores de malwares criarem técnicas para instalar códigos maliciosos em computadores através do Microsoft Office. Embora a ameaça apresentada por macros maliciosos em documentos do Office tenha existido há vários anos, estamos vendo agora o uso de um protocolo da Microsoft chamado Dynamic Data Exchange (DDE) para executar códigos mal-intencionados. Diferente dos ataques baseados em macros, o ataque DDE não apresenta um pop-up, prompt ou alerta, tornando a invasão muito mais efetiva e bem-sucedida.
Os avanços tecnológicos feitos pelos autores de malwares são significativos, mas suas habilidades interpessoais, como engenharia social, também continuam a melhorar. Escrita melhorada, apresentação por e-mail mais realista, e até táticas consistentes de engenharia social são toda a causa do seu aumento de êxito.
E se você é bom no que faz, nunca faça de graça. Transforme isso em um serviço e lucre em cima dos que têm o mesmo interesse, mas não possuem a mesma habilidade que você. Consequentemente, “crime como serviço” e “malware como serviço” se tornaram reais, perpetuando ainda mais os problemas com ransomware. A disponibilidade e o fácil uso dessas plataformas permitem que qualquer um possa ter acesso a cibercrimes e ransomwares, com pouco ou nenhum conhecimento de codificação ou malwares. Essas plataformas e redes são administradas por gangues de crimes cibernéticos organizados, para alta lucratividade, e por isso ainda vamos ouvir falar delas por um bom tempo.
2º Motivo: Estamos causando nossos próprios problemas
É claro que ainda há um grande problema que precisa ser abordado por muitos de nós, e essa é a fraqueza que nós mesmos causamos e que se tornou a porta de entrada para os cibercriminosos. O WannaCry foi tão eficaz porque aproveitou falhas não corrigidas do Windows. NotPetya fez o mesmo. E quais são essas fraquezas?
- Falta de correções – Continuamos a atirar no nosso próprio pé aqui, porque não temos rotinas de prevenção e proteção consistentes que incluem correções de erros de sistemas operacionais e aplicações — especialmente os que são aproveitados por criadores de ransomware como acesso.
- Backups (confiáveis) insuficientes – Uma falta de backups validados — a ferramenta primária para recuperação contra ransomware — pode nos deixar em maus lençóis e improdutivos. É uma conta simples: se você possui backups, você escolhe recuperar em vez de pagar resgate.
- Conhecimento do usuário – Usuários simplesmente não entendem a ameaça, o impacto, ou o custo de uma contaminação por ransomware. E eles nem deveriam mesmo — eles trabalham com contas ou vendas, não com segurança de TI. Mesmo assim, realizar testes e treinamentos contra phishing pode fazer uma grande diferença.
- Uma necessidade de privilégios mínimos – Quanto maior o acesso do usuário, maior é a margem de infecção que o ransomware pode ter. Com 71% dos usuários finais dizendo que possuem acesso aos dados restritos da empresa[1], a TI tem sérios trabalhos a fazer para garantir que esses privilégios sejam restringidos.
- Sem defesas em camadas – Uma única solução de segurança, como um antivírus, não pode fazer muito para proteger a organização. Você precisa de soluções como IPS, um gateway de e-mail, proteção de endpoints e tudo trabalhando em conjunto para dar o mínimo de chances possíveis ao ransomware.
Fazendo algo sobre o ransomware
O que você deve fazer para impedir o êxito do ransomware? Esconder-se? Correr? Desligar a Internet? Provavelmente nenhuma dessas idéias resolverá esse problema. Eu mencionei acima a idéia de várias camadas de defesa, e mesmo que uma “defesa abrangente” pareça um pouco “old school” e extinta quando perdemos o controle do perímetro de rede, existem algumas idéias que ainda podemos usar:
- Defesa abrangente – Certifique-se de ter um plano de segurança proativo e consistente preparado, incluindo: correções, privilégios mínimos, treinamento de usuários, etc.
- Proteção de endpoints – Soluções de proteção de endpoints e desktops podem oferecer um grau de proteção, mas tenha em mente que malwares podem se adaptar contra essas soluções e burlá-las.
- Planejamento para o pior – O ransomware consegue sempre achar uma maneira e você precisa ter certeza de que vai se recuperar quando isso acontecer. Backups, backups externos e backups em mídias diferentes são essenciais. Lembre-se de testar sua recuperação também. Você não vai querer descobrir como restaurar um backup com raiva. É como dizem, quanto mais treino, mais fácil a luta. Isso nunca caiu tão bem para o planejamento de contingência de TI.
Faça essas três coisas e você vai estar um passo mais perto de impedir que o ransomware acabe com o seu dia, sua noite ou seu final de semana.
[1] Ponemon, Corporate Data: A Protected Asset or a Ticking Time Bomb? (2014)