O que é o Ransomware? Compreendendo e protegendo. - SISGRACOM

O que é o Ransomware? Compreendendo e protegendo.

Saiba mais sobre o ransomware e como se proteger contra ataques de ransomware no Data Protection 101, nossa série sobre os fundamentos da segurança da informação.

UMA DEFINIÇÃO DE RANSOMWARE

O ransomware é uma forma de malware que criptografa arquivos em um dispositivo infectado e os mantém reféns até o usuário pagar um resgate aos operadores de malware. Milhões de dólares foram extorquidos através de ataques de ransomware, que remontam ao 1989 AIDS / PC Cyborg Trojan. Hoje, cepas comuns de ransomware incluem Cryptolocker (isolado em 2014), Cryptowall, Locky e Samas ou Samsam.

COMO O RANSOMWARE FUNCIONA

O ransomware geralmente entra nos dispositivos como um Trojan, mascarado como um arquivo normal que é baixado intencionalmente ou não pelo usuário. Após a execução, o ransomware começa a criptografar os arquivos em um dispositivo infectado e normalmente exibe uma mensagem informando à vítima que seus arquivos só podem ser descriptografados se um resgate for pago aos atacantes. O usuário é solicitado a pagar aos operadores, que podem ou não fornecer um código ou programa para descriptografar os arquivos. A falta de pagamento do resgate dentro do prazo fornecido pode resultar em um aumento no valor do resgate ou na exclusão dos arquivos criptografados. Os tipos mais eficazes e perigosos de ransomware são aqueles em que apenas os criadores do programa têm acesso à chave de descriptografia. Os resgates são normalmente pagos em Bitcoin ou outras moedas digitais difíceis de rastrear.

TIPOS COMUNS DE CEPAS DE RANSOMWARE

CRYPTOLOCKER

O CryptoLocker foi descoberto em 15 de setembro de 2013 e é considerado a primeira linha moderna de ransomware. Foi distribuído através de anexos de email e redes de bots para criptografar arquivos em computadores Windows e em quaisquer unidades montadas. Embora o próprio CryptoLocker fosse fácil de remover dos dispositivos infectados, os arquivos permaneceram criptografados e a única maneira viável de acessar arquivos era pagar o resgate solicitado pelos criminosos cibernéticos. O pagamento da chave de descriptografia foi realizado através do Bitcoin ou comprovantes de dinheiro pré-pagos. Em maio de 2014, o CryptoLocker foi retirado por uma equipe de agências governamentais, empresas de segurança e pesquisadores da Operação Tovar, que recuperaram a chave de criptografia privada usada para descriptografia e tornaram inútil a distribuição adicional do ransomware.

CRYPTOWALL

O CryptoWall foi descoberto em 19 de junho de 2014 e não está relacionado ao CryptoLocker de forma alguma. Ele passou por vários lançamentos com nomes diferentes e ainda não foi isolado. Foi distribuído inicialmente por meio de kits de exploração e e-mails, mas recentemente foi conectado a anúncios maliciosos e sites comprometidos. O CryptoWall criptografa arquivos e exclui qualquer VSS ou cópias de sombra para impedir a recuperação de dados. Após a infecção, o computador exibe uma página da web ou documento de texto que fornece instruções de pagamento ao usuário.

SAMAS / SAMSAM / SAMSA

O Samas, que talvez seja a forma mais destrutiva de ransomware, foi descoberto em 9 de dezembro de 2015. O código do Samas não é particularmente avançado, mas os métodos de distribuição são mais direcionados do que outros ataques. Os cibercriminosos primeiro identificarão redes específicas que possuem servidores sem patches executando os produtos corporativos JBoss. Depois de obter acesso, os operadores se moverão lateralmente a partir do ponto de entrada para identificar mais hosts. O ransomware é implantado manualmente quando sistemas suficientes são violados. Como o CryptoWall, o Samas excluirá cópias de sombra após criptografar os arquivos originais e exigirá pagamento no Bitcoin. Ao contrário de esforços anteriores, no entanto, a maioria dos ataques do Samas se concentrou em hospitais, escolas e outras redes com informações sigilosas que podem ser vendidas com lucros ainda maiores.

LOCKY

Descoberto em 16 de fevereiro de 2016, Locky é uma das mais recentes linhagens de ransomware. Como a maioria, é distribuído por meio de anexos de email mal-intencionados, criptografa arquivos no computador principal e nos dispositivos montados, exclui cópias de sombra dos arquivos originais e exige um resgate em troca da chave de descriptografia. No entanto, o Locky é facilmente distinguível de outros tipos de ransomware porque renomeia todos os arquivos com a extensão .locky quando os criptografa (embora não toque na unidade C:). Ele também altera o papel de parede da área de trabalho do computador para um arquivo de imagem que exibe a mensagem de resgate impossível de ignorar.

PRÁTICAS RECOMENDADAS PARA PROTEÇÃO DE RANSOMWARE

Há várias etapas que você pode executar na proteção proativa contra ransomware :

  • Faça backup de seus arquivos regularmente e com frequência: ter processos diligentes de backup de dados no local pode limitar significativamente os danos causados ​​por um ataque de ransomware, pois os dados criptografados podem ser restaurados sem pagar um resgate.
  • Sistema operacional completo e quaisquer atualizações de software o mais rápido possível: as atualizações de software geralmente contêm patches para vulnerabilidades de segurança e devem ser instaladas assim que forem disponibilizadas. Ative as atualizações automáticas sempre que possível para otimizar esse processo.
  • Não clique em anexos de email ou links de fontes não confirmadas: o email é um meio popular para ataques de phishing que distribuem ransomware ou outro malware por meio de anexos infectados ou links para sites maliciosos.
  • Desabilitar a execução automática para todos os dispositivos montados: desabilitar a execução automática impedirá que o malware se espalhe de forma autônoma, uma etapa importante na contenção de malware, caso ocorra uma infecção.
  • Desabilitar o conteúdo de macro nos aplicativos do Microsoft Office: em muitos casos, o ransomware é espalhado por documentos infectados do Microsoft Office que contêm macros maliciosas que baixam e executam o malware após a execução. Desabilitar macros por padrão pode ajudar a evitar comprometimentos, mesmo que um arquivo infectado seja aberto por um usuário.
  • Desabilite conexões de área de trabalho remota quando possível: desabilitar esse recurso impedirá que invasores ou malware possam acessar dispositivos e arquivos dos usuários remotamente.
  • Faça logon apenas como administrador pelo tempo necessário: limite os privilégios de administrador e o uso de contas de administrador sempre que possível para garantir que um usuário comprometido não conceda inadvertidamente privilégios administrativos a um invasor que tenha acesso à sua conta.
  • Implante software de segurança para reforçar a proteção de ransomware: há uma variedade de soluções que podem ajudar a prevenir infecções por ransomware. No mínimo, as soluções antivírus e os firewalls podem ajudar a bloquear os tipos comuns de malware conhecidos. Para proteção adicional, as empresas devem considerar detecção do ponto final e resposta e soluções avançadas de proteção contra ameaças para melhorar a detecção ransomware e capacidades de bloqueio, bem como soluções de aplicação whitelisting para bloquear a execução de código malicioso.

Por fim, tanto para usuários finais quanto para organizações, a conscientização e a educação são essenciais para a proteção contra ataques de ransomware. Ao instruir você e seus usuários sobre práticas básicas de proteção e acompanhar as ameaças de segurança atuais, você pode reduzir o risco de ransomware e manter seus dados seguros.