Informamos nossos clientes e parceiros comerciais sobre uma nova onda de ataques envolvendo principalmente servidores Windows versões 2003 e 2008 que não estão com os patches de correção atualizados e devidamente implantados no sistema, ou ainda, que não aplicam controles adicionais de segurança, como o uso de senhas fortes e regras de restrição de acesso remoto, o que permite a exploração de vulnerabilidades relacionadas ao protocolo RDP (Área de Trabalho Remota), permitindo que o invasor criptografe arquivos de dados, sequestrando as informações da empresa e exigindo o pagamento de um resgate em Bitcoins para evitar o rastreamento da transferência do dinheiro. De acordo com o levantamento que fizemos, estes valores estão variando entre R$ 1.000,00 – R$ 15.000,00, dependendo do criminoso e do tipo de ataque.
E o Brasil está entre os principais alvos deste tipo de ataque, conhecido como Ransomware, uma classificação que categoriza um tipo de malware que explora sistemas operacionais desatualizados, sem os patches de correção ou controles de segurança aplicados. Ao penetrar no sistema operacional do servidor Windows, o malware renomeia os arquivos, alterando sua extensão para .RAR, .FROOZEN, .LECHIFFRE, (entre outras), impedindo sua abertura. Há casos em que o próprio sistema operacional é bloqueado, impossibilitando o acesso do usuário a qualquer recurso armazenado no servidor atacado.
Pesquisa da empresa Trend Micro sobre uma versão do Ransomware, chamado TorrentLocker que afetou milhares de computadores pelo mundo, no final de 2014:
[row enable_animation=”false” seqspeed=”150″][column size=”8″ offset=”0″ hideipad=”false” hideiphone=”false” fadein=”false” scale=”false” position=”none”]
Fonte: Trend Micro
[/column][column size=”4″ offset=”0″ hideipad=”false” hideiphone=”false” fadein=”false” scale=”false” position=”none”]Apesar da maioria dos ataques reportados indicarem o uso de servidores Windows 2003 e 2008, foram registradas ocorrências similares em sistemas desktop como Windows 7, Mac OS e até sistemas de dispositivos móveis como o Android.
Quando o invasor obtém sucesso na exploração da vulnerabilidade, ele deixa um aviso para que a vítima possa entrar em contato e efetuar o pagamento do resgate dos arquivos. Em alguns tipos de ataques podem surgir mensagens na tela do sistema operacional, como nestes exemplos dos malwares identificados como Cryptolocker e CTB-Locker:[/column][/row]
[row enable_animation=”false” seqspeed=”150″][column size=”6″ offset=”0″ hideipad=”false” hideiphone=”false” fadein=”false” scale=”false” position=”none”]
Exemplo de mensagem com instruções para o pagamento do resgate dos dados do Cryptolocker
[/column][column size=”6″ offset=”0″ hideipad=”false” hideiphone=”false” fadein=”false” scale=”false” position=”none”]
Exemplo de mensagem com instruções para o pagamento do resgate dos dados do CTB-Locker
[/column][/row]
Em outros casos o invasor realiza a negociação por e-mail, como podemos observar neste exemplo a seguir:
Mensagem enviada pelo invasor, com as orientações de pagamento do resgate.
É praticamente impossível resgatar os dados sem efetuar o pagamento (o que não recomendamos). A única alternativa da vítima é formatar o sistema e restaurar os dados de backup, o que ocasionará horas e em muitos casos dias de interrupção de suas atividades.
O que fazer?
- A nossa recomendação não elimina o risco, mas reduz a possibilidade da ocorrência deste tipo de ataque em seu ambiente de rede. Todas as ações são preventivas e devem ser constantemente monitoradas:
- Instale uma solução de antivírus corporativa que permita ao administrador da rede acompanhar qualquer tentativa de infecção ou identificação de problemas com falta de atualização das assinaturas nas estações de trabalho e servidores;
Mantenha os sistemas operacionais e aplicativos instalados atualizados e com os patches de correção aplicados, conforme recomendação do fabricante. Muitas ameaças exploram falhas que não são detectadas por soluções de antivírus; - Aplique controles de segurança, desde as mais básicas como uso de senhas fortes e periodicamente alteradas e regras restritas no firewall de borda, evitando a exposição de serviços do servidor diretamente na Internet. Habilite no mínimo duas camadas de autenticação para disponibilizar acesso remoto aos servidores via Terminal Service (Exemplo: Autenticação no firewall e em seguida autenticação no Servidor);
- Oriente os funcionários para não abrirem arquivos anexos ou links de e-mails sem a devida comprovação da sua origem;
- Mantenha os dados de backup testados e atualizados, para uma recuperação mais ágil em caso de desastre;
- Realize dentro de intervalos programados Testes de Intrusão (Pen Test), para certificar se as regras do seu ambiente de rede estão em conformidade com as melhores práticas.
Lembramos que qualquer ação relacionada à Segurança das Informações da empresa sempre dependerá do investimento equilibrado em Ferramentas, Processos e Pessoas.
Dúvidas? Acesse:
www.abctec.com.br
