Ransomware ainda é a ameaça mais perigosa para empresas

Durante 2018, os criminosos continuaram a direcionar ataques de ransomware para grandes organizações. Por esse motivo, a ESET, empresa de detecção proativa de ameaças, desenvolveu um relatório que explica porque o ransomware ainda é uma ameaça perigosa para as organizações, independentemente de seu tamanho, e o que elas podem fazer para reduzir a exposição e os danos que podem sofrer com este tipo de ameaças.

O relatório intitulado “Ransomware: an enterprise perspective” adverte que há três vetores principais de investidas de sequestro de dados: acesso remoto, e-mail e cadeia de suprimentos. “Compreender qual é o estado atual destes ataques, bem como sua evolução, é fundamental para manter os ativos das empresas seguros. Embora haja crescimento na detecção de mineradores com criptomoeda, isso não significa que o ransomware é parte do passado, pois continua a ser uma ameaça muito séria para as organizações”, diz Camilo Gutierrez, chefe do Laboratório de Pesquisa da ESET América Latina.

Este ano, em Atlanta, nos Estados Unidos, cinco departamentos governamentais da cidade foram afetados por ataques de ransomware: Sistema Penitenciário, Gerenciamento de Bacias Hidrográficas, Recursos Humanos, Parques e Recreação e Planejamento Urbano. Diversas funções da cidade foram afetadas pelo problema, incluindo a capacidade de aceitar pagamento online de contas de água e multas de trânsito. O wi-fi do Aeroporto Internacional de Atlanta, Hartsfield-Jackson, foi desativado por uma semana. A cidade rejeitou os US$ 50 mil que os criminosos exigiam pelo resgate, mesmo assim, teve um impacto financeiro estimado em cerca de US$ 17 milhões.

Durante 2018, sequestros de informações afetaram várias organizações relacionadas aos setores estadual, governamental e educacional. Essas ameaças são conhecidas porque as entidades ligadas a essas áreas (bem como ao setor de saúde) geralmente têm a obrigação de tornar esses relatórios públicos. Embora as entidades privadas nem sempre sejam obrigadas a publicar essas informações, o relatório da ESET revela que, por parte das equipes de suporte, provedores de segurança e outras, o ransomware continua a ser uma ameaça dispendiosa e que existem muitas vítimas em todos os nichos de negócios.

Uma parte dos ataques deste ano que foram direcionados a entidades governamentais ou de saúde envolvem uma família de ransomware conhecida como SamSam. Por sua vez, especificamente na América Latina, famílias como Crysis e GandCrab tiveram um grande impacto em termos de detecções.

Essas ameaças chegam às organizações por meio da “aplicação da força bruta aos endpoints do RDP” (Departamento de Saúde e Serviços Humanos do Estados Unidos). Isso significa que o invasor identifica um servidor como alvo e faz várias tentativas de adivinhar seu acesso. Tais ataques podem ser muito eficazes e permitem que o problema se espalhe por toda a rede de uma organização. Um exemplo foi o ataque de ransomware que impactou a Lab Corp, uma gigante de testes médicos, em julho de 2018. A investida comprometeu 7 mil sistemas e 350 servidores de produção em menos de uma hora.

Desde 28 de outubro de 2018, o mecanismo de busca Shodan indica que mais de dois milhões e meio de sistemas na Internet estavam executando o RDP explicitamente e que mais de um milhão e meio desses sistemas estavam nos Estados Unidos. Para um invasor, todas essas máquinas são alvos em potencial a serem exploradas. Uma vez comprometidas, elas podem ser exploradas. Além disso, conforme alerta o relatório da ESET, as credenciais de acesso podem ser comercializadas no mercado negro, como o xDedic, por exemplo, marketplace que vende de servidores de acessos.

“As ameaças no campo da segurança são cumulativas. O fato de haver criminosos tentando abusar dos recursos de processamento de dispositivos para minerar criptomoedas não significa que, por outro lado, não haja outros criminosos interessados ​​em desenvolver e implementar técnicas de exploração de RDPs para criar um vetor de ataque lucrativo para o ransomware. Da mesma maneira, capacitar as organizações no uso do RDP não significa que não seja mais importante fazer o mesmo também contra o phishing”, assegura Gutierrez.

A ESET recomenda que, além das ações de treinamento, as organizações tenham políticas de segurança que sejam facilmente aplicáveis ​​e controladas. Também afirma que as empresas precisam ter produtos e ferramentas de segurança, incluindo testes de backup e sistemas de recuperação, além de um plano de resposta a incidentes que seja constantemente atualizado. “Embora a imunidade aos ataques não seja garantida, esse tipo de medida aumenta muito as chances de evitá-los ou de se recuperar rapidamente de um incidente”, conclui o especialista.

Serviço
Para mais informações, acesse https://www.eset.com/br/antivirus-corporativo/kit-antiransomware/