Os ataques de ransomware têm se tornado uma das maiores ameaças à segurança cibernética. Esses ataques seguem um processo sofisticado de invasão e criptografia de dados, com o objetivo de extorquir resgates financeiros das vítimas. A seguir, vamos detalhar as fases de um ataque de ransomware atual, utilizando um exemplo típico e discutindo como a tecnologia pode ser usada para se proteger contra essas ameaças.
Exemplo de Ataque Cibernético de Ransomware
Fase 1: Preparação e Início do Ataque
- Hospedagem de arquivos maliciosos: Os atacantes procuram invadir sites de empresas, principalmente brasileiras, para hospedar arquivos maliciosos do Office (.doc, .xls, etc.) contendo macros ativas. Esses arquivos são cuidadosamente criados para parecer legítimos.
- Engenharia social e phishing: Após hospedar o arquivo malicioso, os atacantes enviam e-mails em massa com o link para o arquivo, direcionado tanto para usuários do domínio da empresa quanto para outras organizações. Como o domínio de origem é confiável, as vítimas têm uma maior propensão a clicar no link e baixar o arquivo.
Fase 2: Execução da Macro e Abertura de Comunicação
- Ação da macro maliciosa: Ao abrir o arquivo do Office, a macro embutida aciona o PowerShell, uma ferramenta padrão do Windows 10. Essa ação é invisível para o usuário e muitas vezes passa despercebida pelos antivírus tradicionais.
- Criação do túnel C2 (Command and Control): A macro abre um canal de comunicação entre a máquina da vítima e o servidor de controle do atacante, conhecido como túnel C2. Como esse tráfego é geralmente via HTTPS, ele se parece com uma navegação comum e não é detectado pelos sistemas de segurança. Esse ataque é denominado fileless, pois não envolve a criação de arquivos locais, dificultando a detecção.
Fase 3: Exploração e Propagação na Rede
- Movimentação lateral e exploração de recursos: Com o túnel C2 estabelecido, o atacante começa a explorar a rede a partir da máquina comprometida, buscando servidores, compartilhamentos de arquivos e outros ativos importantes. Ferramentas de varredura são utilizadas para identificar vulnerabilidades e pontos de acesso.
- Instalação de ransomware customizado: Em cada servidor ou estação comprometida, o atacante instala uma versão customizada do ransomware. Como esse código é único e adaptado a cada ataque, os sistemas de detecção baseados em assinaturas não conseguem identificá-lo.
Fase 4: Criptografia e Extorsão
- Ativação do ransomware: Após comprometer o maior número possível de servidores e estações de trabalho, o atacante ativa o ransomware. Nesse momento, todos os arquivos, servidores e compartilhamentos acessíveis são criptografados.
- Demanda de resgate: Uma mensagem aparece exigindo o pagamento de um resgate, geralmente em Bitcoin, para que as vítimas possam recuperar o acesso aos seus dados. Sem backups adequados, muitas empresas ficam à mercê dos atacantes.
Como Usar a Tecnologia para se Proteger de Ransomware
a) Segurança em Camadas
- Segmentação da rede: Uma abordagem de segurança em camadas é fundamental para minimizar o impacto de um ataque. Redes devem ser segmentadas, isolando as máquinas dos usuários dos servidores e storages. Isso limita a movimentação lateral de atacantes e facilita a detecção de tráfego suspeito dentro da rede.
b) Gestão de Atualizações
- Atualizações regulares: Manter sistemas atualizados é uma das melhores defesas contra ransomware. Criar um procedimento de atualização semanal para servidores e desktops é essencial. A Microsoft, por exemplo, libera atualizações críticas frequentemente, e estas devem ser aplicadas sem atraso.
c) Backup
- Backups desconectados e imutáveis: Fazer backup diário dos servidores é crucial, mas não basta. Esses backups não devem estar conectados à rede, pois o ransomware pode acessá-los e apagá-los. Uma boa prática é usar backups na nuvem com sistema de versões imutável, que garante a integridade dos dados mesmo em caso de ataque.
d) Redução de Privilégios
- Limitação de acessos administrativos: Evitar que usuários comuns tenham privilégios administrativos nas máquinas Windows e servidores é essencial. O uso excessivo de contas root ou Administrador é uma prática perigosa, pois credenciais de alto privilégio podem ser extraídas da memória e usadas para comprometer o sistema.
- Revisão de permissões de compartilhamentos: Controlar quem tem acesso a servidores e storages reduz a superfície de ataque e dificulta a propagação do ransomware.
e) Plano de Resposta a Incidentes Cibernéticos (PRIC)
- Estratégia de resposta: Ter um Plano de Resposta a Incidentes é indispensável para lidar com um ataque de ransomware. O plano deve incluir orientações claras sobre os primeiros passos a serem tomados, como isolar máquinas infectadas e restaurar os sistemas a partir de backups. Testar regularmente a recuperação de backups é fundamental para garantir a eficácia em uma situação real.
Considerações Finais
Os ataques de ransomware são complexos e devastadores, mas com uma estratégia de segurança robusta, baseada em camadas, boas práticas de backup, gestão de privilégios e um plano de resposta bem estruturado, é possível mitigar os riscos e proteger os ativos da empresa. A segurança cibernética não pode ser tratada como uma medida única, mas sim como um processo contínuo de melhorias e defesas proativas.