Durante 2018, os criminosos continuaram direcionando ataques de ransomware a grandes organizações. E por esse motivo, decidimos desenvolver um white paper que explica por que o ransomware ainda é uma ameaça perigosa para as empresas, independentemente do tamanho, e o que as organizações podem fazer para reduzir a exposição e os prejuízos produzidos por esses tipos de ameaças.

O documento está enfocado em três vetores perigosos de ataques de ransomware: acesso remoto, e-mail e cadeia de suprimentos. O objetivo deste material é ajudar aos CEOs, CIOs, CISOs e gerentes de risco empresariais para que eles possam entender qual é o estado atual dos ataques de ransomware, bem como a evolução de várias áreas que também preocupam.

Grandes alvos, altas demandas

Se a sua empresa não tiver sido atingida por um ransomware recentemente, você pode chegar a supor que essa ameaça tenha recuado para os arquivos do cibercrime. As manchetes da imprensa especializada descrevem o ransomware como "até 2017" e "em declínio em relação à mineração de criptomoedas". Em essência, esses títulos refletem o fato de que, embora as detecções de mineração de criptomoedas estejam aumentando, alguns dos indicadores mais óbvios da atividade do ransomware entrou em declínio. No entanto, isso não quer dizer que o ransomware faz parte do passado, já que ainda é uma ameaça muito séria para as organizações.

Considere o que aconteceu com a cidade de Atlanta nos EUA. Cinco departamentos do governo da cidade foram atacados por um ransomware: Sistema Penitenciário, Gerenciamento de Bacias Hidrográficas, Recursos Humanos, Parques e Planejamento Urbano. Várias funções da cidade foram afetadas pelo ataque, incluindo a capacidade de aceitar pagamento on-line para contas de água e multas de trânsito. O Wi-Fi do Aeroporto Internacional de Atlanta “Hartsfield-Jackson” foi desativado por uma semana. Embora Atlanta tenha rejeitado (corretamente) a exigência de US$ 50.000 feita pelos cibercriminosos, o impacto financeiro foi de milhões de dólares (e pode ter chegado perto dos US$ 17 milhões).

Conforme documentamos no white paper, ataques de ransomware onerosos atingiram várias outras organizações relacionadas com os setores estatal, governamental e educativo. Temos conhecimento sobre esses ataques porque as instituições desses setores geralmente geralmente tem como requisito tornar públicos os relatórios. O mesmo acontece no setor da saúde, onde as regulamentações governamentais também podem exigir a divulgação da existência de uma brecha de segurança.

E as organizações que não precisam divulgar casos de brechas de segurança? É razoável supor que uma empresa comercial que seja atingida por um ataque de ransomware direcionado tentará evitar as manchetes dos jornais a qualquer custo. E isso significa que não podemos confiar em relatórios publicados de ataques de ransomware para avaliar o alcance da ameaça. O que sabemos, por meio de conversas com as equipes de suporte, fornecedores de segurança e outros, é que o ransomware ainda é uma ameaça bastante cara, sem escassez de vítimas em todos os setores de negócios.

O fator Remote Desktop Protocol (RDP)

Outra coisa que sabemos é que alguns dos ataques de ransomware que ocorreram em 2018 contra instituições governamentais e de saúde envolvem uma família de ransomware conhecida como SamSam (detectada pelos produtos da ESET como MSIL/Filecoder.Samas). Os ataques do SamSam em 2018 têm penetrado nas organizações através da “aplicação de técnicas de força bruta nos endpoints RDP” (Departamento de Saúde e Serviços Humanos dos EUA).

Um endpoint RDP é um dispositivo, como um servidor de banco de dados, que executa o software RDP (Remote Desktop Protocol) para que o dispositivo possa ser acessado por uma rede, como a Internet. Se o acesso ao servidor for protegido apenas com um nome de usuário e senha, um invasor, tendo identificado o servidor como um alvo, tentará repetidamente adivinhá-los, geralmente com uma alta taxa de velocidade, daí o termo: ataque de força bruta. Na ausência de qualquer mecanismo para limitar o número de tentativas para entrar com dados de acessos errados, esses ataques podem ser muito eficazes e levar a um comprometimento generalizado da rede de uma organização. Para citar um caso em particular, um ataque de ransomware atingiu uma grande empresa de testes médicos como Lab Corp em julho de 2018 através de RDP e chegou a 7.000 sistemas e 350 servidores de produção em menos de uma hora.

Em 28 de outubro de 2018, o scanner Shodan indicou que mais de dois milhões e meio de sistemas na Internet estavam executando explicitamente o RDP e que mais de meio milhão desses sistemas estavam nos EUA. Para um invasor, todas essas máquinas são alvos em potencial para serem explorados. Uma vez comprometidos, esses alvos podem ser explorados ou, como o white paper detalha, seus dados de acesso podem ser vendidos em mercados ilegais, como por exemplo, no xDedic.

Resumo

As ameaças no campo da cibersegurança são acumulativas. Este fenômeno de “acumulatividade de ameaças” significa que criminosos estão tentando abusar de recursos de computação para minerar criptomoedas não quer dizer que exista uma escassez de criminosos para desenvolver e implantar técnicas de exploração RDP com o objetivo de criar um vetor de ataque lucrativo para o ransomware. Da mesma forma, capacitar a sua empresa para o uso de RDP (necessário por várias razões) não significa que o treinamento anti-phishing deva ser esquecido.

O white paper deixa claro que, junto com as ações de capacitação, as organizações precisam: políticas sólidas de segurança que sejam aplicadas de forma abrangente e controladas; a mistura certa de produtos e ferramentas de segurança, incluindo testes em sistemas de backup e recuperação; e um plano de resposta a incidentes constantemente atualizado. Mesmo com tudo isso, além de vigilância constante, ninguém esta totalmente seguro contra os ataques. No entanto, adotando essas medidas de segurança, as empresas estarão muito mais seguras.

Até que os governos em todo o mundo não consigam acordos globais, a luta contra o cibercrime não só continuará, como também se expandirá, junto com os benefícios que a sociedade obtém por parte das novas tecnologias. Espero que, ao explicar por que o ransomware ainda é uma séria ameaça à sua empresa e o que pode ser feito para preveni-lo, este white paper possa ajudar a garantir esses benefícios a tempo de minimizar os prejuízos causados ​​pelas ameaças.

Faça o download do white paper: Ransomware: An enterprise perspective.