Considerando o crescimento do número de incidentes relacionados a ransomware, é importante que colaboradores e gestores das empresas mantenham-se informados em relação aos impactos provocados por esse tipo de ameaça, valorizando de forma efetiva os dados e informações da organização.
A HDStorage Brasil oferece toda linha de produtos para implantar um eficiente sistema preventivo com cópia de segurança dos arquivos valiosos para sua empresa . São storages, unidades RDX e LTO, etc.
Lembre-se que o pagamento nem sempre resulta em devolução dos arquivos.
Como ocorre o ataque
Normalmente o ataque ransomware se inicia através de um e-mail falso, que induz o usuário a clicar em um link e ocasiona o download de um software malware . Esse download também pode ocorrer a partir de um site de phishing, que simula um site real e conhecido, mas é falso e visa distribuir a ameaça digital.
Depois de baixado e instalado o arquivo , sem que o usuário perceba, o programa criptografa os arquivos no computador do usuário e na rede onde o mesmo tem acesso. Esse processo de criptografia irá embaralhar o conteúdo dos arquivos, tornando-os inúteis, e somente possuindo a chave correta você poderá reverter os arquivos ao estado original. Em determinado momento o ransomware irá deixar alguma indicação de como você deve entrar em contato com o atacante. Um arquivo de texto na área de trabalho ou um papel de parede com uma mensagem, por exemplo, poderão conter um endereço de e-mail e instruções para contato, visando a negociação do resgate.
Uma maneira de proteger os computadores da rede, prevenindo o acesso a esse tipo de conteúdo nocivo, é implantar um firewall eficiente para acesso a internet. Pode-se bloquear o acesso a sites nocivos, ou então liberar o acesso somente a sites reconhecidos e com alta segurança.
Medidas preventivas – como prevenir e evitar o ransomware
As principais formas de evitar o ataque de ransomware são relacionadas a alguns tópicos básicos da segurança da informação.
- Cuidado com e-mails e sites falsos: os usuários devem ser educados quanto a sua responsabilidade para com os dados e informações da empresa. Isso inclui orientá-los sobre o risco a que podem expor os dados quando clicam em um link de um e-mail ou visitam um site sem ter prestado atenção sobre a origem do e-mail, o endereço do site e a sua veracidade.
- Controle do acesso à internet: o uso de mecanismos de proteção contra o acesso a sites maliciosos é cada vez mais importante. Através deste tipo de controle, é possível definir quais grupos de usuários terão acesso a quais tipos de sites, evitando assim o uso de sites indevidos ao escopo do trabalho e também o acesso a endereços com conteúdo nocivo. Por meio dessa ferramenta, o gestor protege a rede contra os sites utilizados em ataques de phishing, propagação de malware e ransomware.
- Antivírus: especialmente nos computadores e servidores com sistema operacional Windows, é imprescindível o uso de um bom software antivírus, atualizado e configurado para realizar varreduras periódicas.
- Atualizações de software: é importante manter atualizados o sistema operacional e os demais pacotes de software. As atualizações incluem diversas correções e melhorias relacionadas à segurança da informação.
- Permissões de acesso: em muitas pequenas e médias empresas, é um item deixado de lado. No entanto, é relevante checar o nível de acesso que cada usuário ou grupo de usuários necessita em relação aos arquivos compartilhados na rede, por exemplo, no sentido de não fornecer acesso além do necessário. Se um grupo de usuários necessita apenas visualizar determinados arquivos, e não modificar, que tenha acesso somente leitura.
- Contas de usuário de nível administrativo: deve-se evitar o uso generalizado de contas de usuário de nível administrativo, como administrador ou root, nos computadores. Da mesma forma que o cuidado em relação às permissões de acesso a arquivos, essa medida limita a extensão do dano que um usuário, mesmo sem intenção, poderia provocar aos dados.
- Manutenção preventiva de cópias de segurança : Implantar um sistema eficiente de backup dos arquivos para uma unidade desconectada ao sistema , de preferencia com replicação dos dados.
Medidas de continuidade do negócio – como proceder após o ataque
Alguns tipos de ransomware já foram decodificados e os arquivos comprometidos podem ser recuperados com ferramentas próprias para isso. No entanto, há também outros ransomware cuja criptografia continua sendo impossível de reverter sem a colaboração do sequestrador.
O principal esforço que irá solucionar o problema e garantir a continuidade do negócio após o ataque ransomware, é algo que deve ser implementado e estar funcionando antes do ataque: o backup.
Nunca é demais relembrar a importância de ter um backup confiável, a partir do qual possam ser recuperados os dados importantes após qualquer incidente. A principal maneira de solucionar o problema após ter ocorrido o bloqueio dos dados por ransomware, é restaurar os dados a partir de backup.
A estratégia de backup deve ser implementada de maneira que haja uma cópia de segurança mantida em um local desconectado do local original dos dados. Ou seja, não se deve manter o único backup em um disco adicional ligado ao mesmo servidor. Se a cópia de segurança for feita em um disco adicional constantemente conectado ao servidor ou à rede onde ficam os dados originais, no caso específico do ransomware, é possível que os arquivos do backup também sejam bloqueados no momento do ataque, tornando o backup inútil. É importante ter uma cópia se segurança em local separado física e logicamente do local original.
Os grupos criminosos que realizam ataques ransomware sugerem que, após o bloqueio dos seus arquivos, você entre em contato com eles para o pagamento do resgate e posterior liberação dos dados. No entanto, é necessário avaliar o risco de negociar ou pagar o resgate, tendo em vista que não há garantia da recuperação dos dados. Esse aspecto ressalta ainda mais o quanto é importante prevenir-se contra o ataque e preparar-se com antecedência para a continuidade do negócio após um incidente.
Matéria publicada no " O Estado de São Paulo " de 19 de março de 2017
Ataques silenciosos e invisíveis vêm aterrorizando pequenos empresários, surpreendidos com o sequestro de dados digitais de suas organizações. Mesmo não revelando a própria identidade e a da empresa, algumas vítimas concordaram em contar o drama pelo qual passaram quando os computadores de suas empresas foram infectados por ransomware – tipo de vírus que criptografa os dados do sistema e depois envia e-mail cobrando resgate para restabelecer o acesso aos dados.
R.R. é um deles. O negócio no ramo alimentício, fundado por seu pai em 1994, passou a ser administrado por ele em março de 2015. Dois meses depois, a empresa sofreu o ataque. “Nosso ERP (software que integra todos os dados e processos da empresa) foi danificado e mais de 15 mil arquivos foram criptografados. Depois de identificar o dano, recebemos e-mail cobrando US$ 3 mil de resgate.”
Ele não pagou o valor e ficou sem as informações. “Mas não foi uma perda total, porque tínhamos um backup realizado cinco meses antes.”
R. R. diz que ao assumir a gestão da empresa percebeu que a política de TI estava deficitária e planejava modernizar o sistema, mas foi surpreendido antes de implementar as mudanças.
“Nosso antivírus era muito simples. Depois do sequestro, gastamos R$ 60 mil para implantar novo ERP, bloqueador de spam, contratar outra empresa de prestação de serviço etc.”
Ele conta que também fez alinhamento interno, explicando aos funcionários que tipo de e-mail pode ser aberto. “Criamos um documento que é um esboço da nossa política de tecnologia da informação.”
Agora, os arquivos do servidor local são replicados para um servidor externo que salva em tempo real todas as informações. “Mesmo assim, em dezembro de 2016, sofremos um segundo ataque. Foi um susto. O sequestrador derrubou todo o sistema, mas como temos tudo replicado e arquivado, recuperamos os dados em quatro horas.”
O problema é que R. R. não é exceção. Em 2016, 51% das empresas brasileiras foram vítimas de ataques, aponta pesquisa da Trend Micro Incorporated, fornecedora global de segurança cibernética.
Especialista em segurança da informação e dona da Conteúdo Editorial, especializada na produção de conteúdo nas áreas de TI e Telecom, Graça Sermoud afirma que esse tipo de ataque ocorre há algum tempo, mas a partir de 2016 teve crescimento drástico, por conta do surgimento de moedas virtuais chamadas bitcoins.
Segundo ela, as pequenas empresas se tornaram um grande alvo. “Elas estão investindo no mundo digital para sobreviver no mercado ou porque fazem parte do ecossistema de grandes empresas e estão sendo forçadas a se digitalizarem. Acontece que fazem isso sem controle e se tornam alvo fácil, por não terem área de tecnologia estruturada.”
A especialista afirma que o sequestro de dados já é considerado um crime organizado virtual e conta até com estrutura hierárquica. “Para as PMEs é difícil fazer frente a uma organização virtual criminosa como esta. As grandes empresas têm mais tecnologia, equipe que só pensa em segurança e dinheiro para pagar consultorias.”
Em atividade desde 1954, a distribuidora de bebidas de M. O. foi vítima de sequestro de dados em novembro de 2016. “Recebi e-mail pedindo pagamento em bitcoin. Para não fomentar essa prática, preferi não pagar. Por esse motivo, nem fiz Boletim de Ocorrência.”
Segundo ele, o maior prejuízo foi ter perdido os cadastros dos clientes e dos produtos. “Fizemos todo o trabalho de recadastramento dos dados manualmente. A sorte é que tínhamos arquivos em papel das notas fiscais e conseguimos reconstituir o programa. Também conseguimos cópias dos boletos bancários. Isso, após quatro dias de intenso trabalho.”
A empresa de M. O., porém, sofreu mais dois ataques. “Como passamos a fazer backup duas vezes por dia, não perdemos mais os dados. Investi R$ 11 mil para implantar o novo sistema.”
Sócio-presidente da Logical IT, Thiago Tassele afirma que existem soluções de segurança da informação de diversos valores que atendem empresas de todos os porte.
Seguindo esse modelo, ele diz que é recomendado adicionar outras funcionalidades, como backup, atualização de softwares, filtro de e-mails e de conteúdo web, para aumentar o nível de segurança.
Tassele acrescenta que além dos danos causados pelos ransomware, o sequestro de dados pode gerar outros custos indiretos como danos à marca e à reputação da empresa, multas e até mesmo custos extras para recuperar os dados críticos.
Fundada há 12 anos, a empresa de comércio de alimentos dos irmãos F. e A. S. sofreu sequestro de dados em outubro de 2016. “Pagamos o equivalente a R$ 12,5 mil de resgate em bitcoins e recuperamos as informações. Mas até o mês passado sofremos mais cinco ataques, que foram revertidos com a nova estrutura que implantamos para blindar a empresa, na qual investimos R$ 40 mil”, conta F.
Delegado diz que crime cibernético não tem fronteiras
Por que as pequenas empresas estão sendo tão atacadas?
Elas se tornam alvo por duas questões. Primeiro, porque atacar uma empresa é sempre mais atraente pelo volume de dinheiro e oportunidades existentes, pois têm muitas pessoas manipulando as informações. Além disso, elas se tornam ainda mais atraentes porque não investem adequadamente na segurança da informação, sendo vítimas fáceis.
As vítimas costumam fazer Boletim de Ocorrência?
Poucos fazem BO, porque ainda existe em nosso País aquela crença de que uma empresa tornar público que foi vítima de um crime cibernético vai acarretar um abalo à sua imagem. O dirigente da empresa acha que o mercado irá pensar – como posso confiar em uma empresa se ela mesma não se mostra segura? Aliado ao fato de que no Brasil, não existe obrigatoriedade de registrar esse tipo de situação.
A falta de notificação nos órgãos competentes compromete o combate aos crimes virtuais?
Claro que sim. Quem registra é em função de alguma perda financeira ou de informação, mas essas pessoas não gostam de fornecer subsídios necessários para que seja possível iniciar uma investigação. Além disso, o crime cibernético não tem fronteiras, principalmente em casos envolvendo ransomwere, que ocorre em escala mundial. O criminoso pode estar em qualquer país.
Como ocorrem esses ataques?
O processo de sequestro muitas vezes é automatizado. A pessoa cria o programa que invade o sistema computacional das empresas e o próprio vírus fornece as instruções de como obter a chave para descriptografar os arquivos, após a pessoa pagar o resgate em bitcoin, que é uma moeda virtual mundial, e ponto final. É um processo totalmente automatizado. Mas tem muitos casos de pessoas que pagaram o resgate e não receberam a chave para acessar os dados. Esse crime ocorre porque as pessoas não pensam preventivamente.
Nossa legislação está preparada para punir essas ações?
Em termos de legislação não há dificuldades porque estamos diante de um caso que pode ser caracterizado como estelionato. A dificuldade maior está na área processual penal que diz respeito, principalmente, à obtenção das informações que são necessárias para dar andamento a investigação.
Por qual motivo?
Porque exige um trâmite muito burocrático e as empresas demonstram não ter interesse em fornecer as informações para a polícia, não há trabalho colaborativo por parte das vítimas. Esse tipo de investigação tem de ocorrer o mais rápido possível, porque as provas são extremamente voláteis.
Quais são os demais entraves?
Provedores de acesso partem da política de que não colaboram com a polícia, amenos que haja autorização judicial. Delegados, pela lei, têm poder requisitório e podem pegar informações que não sejam protegidas por lei. Essa atitude cria burocracia desnecessária e prejudica a investigação. Ainda precisamos avançar bastante nesse aspecto.