Como noticiado nas mídias em 2017, ataques de Ransomware causaram prejuízos dentro das redes das empresas e nada indica que isso possa estar diminuindo.
Se anteriormente uma ameaça desse tipo era restrito a determinados países ou regiões, atualmente afeta qualquer rede conectada na internet, ou seja todo o mundo.
Aqui no Brasil desde 2016 o ransomware afetou 57% das redes brasileiras e principalmente o setor de Educação (82%) e Governo (59%), de acordos com algumas pesquisas.
Tudo começou quando um grupo auto-denominado Shadow Brokers divulgou um dump de ferramentas e vulnerabilidades originadas da Agência de Segurança Nacional dos EUA (NSA).
Entre essas ferramentas existia o EternalBlue que serve para acessar sistemas Microsoft Windows desatualizados através de falhas no protocolo SMBv1.
Apesar da falha no protocolo SMBv1 estar totalmente relacionada a disseminação do vírus na rede, os hackers usam websites e email como principal vetor para entrada do malware.
Separamos algumas dicas simples para se prevenir, uma vez que pelo nível de criptografia utilizado pelo malware, é praticamente impossível decriptografar os dados depois de infectado.
1) Backup, backup e backup.
A melhor maneira até o momento para evitar prejuízos é fazendo o velho e tradicional backup, isso pode poupar muitas horas de trabalho ou custar o emprego de alguém.
Antigamente podíamos dizer que “dependendo do grau de importância que os dados da sua empresa”, hoje dizemos, “todos os dados da sua empresa são importantes”.
Então tenha uma política forte de backup, estruturada e validada, por exemplo com backup local, com backup remoto em datacenters diferentes ou em diferentes nuvens.
Além de ter rotinas de backup, é preciso validar se a restauração funciona e o tempo que isso leva.
Se sua equipe não faz testes de recuperação de dados (disaster recovery), você está contando com a sorte.
Ransomwares mais sofisticados procuram criptografar todos as mídias locais da máquina e compartilhamentos (share) de rede como NFS, CIFS, etc.
Então somente backup local na rede não funciona mais, pois quando um host é infectado, o malware procura os shares de rede e se uma mídia infectada for conectada em outro host o processo de criptografia continua.
2) Treine os usuários.
Crie uma campanha de treinamento e conscientização de Segurança da Dados para os usuários, principalmente para identificar emails e sites falsos.
Envolva o RH nisso, uma campanha de conscientização da importância da segurança de dados na empresa pode ser muito efetiva.
Nada adianta a melhor tecnologia de detecção se o usuário pode ser enganado por engenharia social.
Se possível faça treinamentos e testes com grupos de usuários dentro da organização com o intuito de saber em que nível esta seu conhecimento sobre o assunto e então treiná-los.
Mostre como reconhecer um phishing e qual os riscos se dados confidencias forem fornecidos a hackers, fale sobre a cautela em baixar anexos na máquina e executar mesmo que esse anexo pareça vir de um remetente confiável.
3) Elimine o software pirata.
Parece óbvio, mas software sem atualização é uma bomba relógio para problemas com ransomware.
Qualquer falha pode ser explorada para disseminar ransomware, principalmente em sistema operacional Windows e aplicativos como MS-Office.
A maioria das infecções de ransomware poderiam ter sido evitada simplesmente se o Windows estivesse atualizado com patch que corrigia a falha no protocolo SMB.
É claro que a empresa quer economizar sempre, mas se você não tiver licença para atualizar os softwares dos usuários melhor deixar claro os riscos para Diretoria, que além do problemas técnicos, o uso de software pirata é crime previsto em Lei.
4) Coloque firewall em perímetros da rede
Não adianta ter um único firewall na borda, isso funcionava quando a ameaça vinha somente de redes externas, mas isso não resolve mais.
Hoje a ameaça está dentro da rede também, com dispositivos móveis, notebooks que entram e saem da empresa.
Assim é preciso separar a rede em perímetros e fazer áreas segmentas, como perímetros de servidores, estações de trabalho, web servers e banco de dados, por exemplo.
Se você utiliza serviços na nuvem, crie VPNs e segmentos na nuvem também.
Uma infecção na nuvem pode ser pior, pois você não vai ver a luz do switch piscando ou o roteador consumindo toda a memória.
Muitos ataques de ransomware poderiam ser minimizados se houvesse firewalls em perímetros da rede que bloqueassem portas SMB (como TCP 137/138/139, 445), por exemplo.
5) Utilize um antivírus endpoint gerenciável
Parece mais óbvio ainda, mas conhecemos redes com centenas de máquinas que não possuem antivírus corporativo gerenciável.
Nesse tipo de ambiente cada antivírus é “stand-alone”, ou seja não há uma console de gerência, então não é possível saber qual maquina esta atualizada, qual maquina não tem antivírus instalado ou se está infectada.
E pior, não é possível isolar uma máquina infectada, assim uma infecção pontual pode afetar toda a rede.
Esperamos que este post tenha trazido alguns insights para você. Bom trabalho!
Nota: esse post é uma interpretação livre dos artigos da LGPD. Não deve ser tomada como uma consulta legal e/ou recomendação legal e/ou consultoria jurídica. Sempre consulte a área jurídica da sua empresa, advogado ou consultor jurídico para adequar a LPDG à sua empresa.
PS: Se você é Gerente de TI ou analista e está envolvido com Cyber Segurança na sua empresa, temos uma lista exclusiva com Boas Práticas e Procedimentos que NÃO publicamos no blog. Se quiser receber esse material exclusivo por favor deixe seu email abaixo: