Ciberataques - não espere para saber quanto valem os dados da sua empresa
Postado porJoelson
em 18/08/2017 em ArtigosA invasão da rede acontece através de um vírus enviado por e-mail a uma conta da empresa, contendo um anexo...
A invasão da rede acontece através de um vírus enviado por e-mail a uma conta da empresa, contendo um anexo ou link de site infectado. Quando o email é aberto, a porta se abre para o vírus, de ?dentro para fora?.
Estrategicamente, o hacker estuda a finalidade de cada servidor, planeja suas ações e escolhe inclusive o horário mais propício para ataque, com o objetivo de dificultar a defesa e causar o maior dano possível. O criminoso virtual (hacker) invade a rede e criptografa arquivos do servidor (inclusive bancos de dados do ERP e servidor de arquivos), tornando-os inacessíveis.
Na sequência, na própria tela da máquina, ou via email, a empresa em questão recebe alertas dos criminosos com valor do resgate a ser pago em US$. O valor é depositado em uma conta de BIT COIN, onde é praticamente impossível de se rastrear o beneficiário.
Ao que parece, os hackers também têm ciência da importância dos arquivos danificados e estabelecem o valor do resgate conforme este critério. Em outros casos, os criminosos destroem o servidor de backup, com o objetivo de tornar o mais lento possível a recuperação das informações.
Com tantas ameaças, é inevitável questionarmos como podemos proteger a nossa empresa e impedir o "Sequestro de Dados"? Ações simples de manutenção da Infra Estrutura, podem proteger a empresa.
1 ? Mantenha os seus backups sempre atualizados e testados, esta é a mais importante das providencias. É o que vai salvar sua empresa em caso de ataque. IMPORTANTE: o backup deve ser guardado em um lugar diferente do próprio computador ou rede. O mais indicado é fazê-lo em um HD externo que fique desconectado da máquina ou na nuvem
2 ? Instrua seus colaboradores, pesquisas mostram que a grande maioria das infecções de ransomware é provocada pelo descuido ou desconhecimento dos funcionários da empresa, que ao clicar em links ou abrir anexos suspeitos, acabam por convidar o ransomware ou outro malware a entrar em seu computador. Por tanto, instruí-los é uma ação de extrema importância para que todos estejam atentos a possíveis ameaças, que de algum modo, atravessem os sistemas de anti-spam. Instrua seus colaboradores a não abrir anexos de e-mails, ou clicar em links, cuja origem é desconhecida ou suspeita.
3 ? Evite sites e downloads suspeitos, sites que disponibilizam de forma ilegal softwares, músicas, filmes, etc, gratuitos são normalmente iscas para vítimas descuidadas. Esses golpes são baseados na técnica usada pelo ransomware.
4 - Habilite a opção: ?Mostrar a extensão de arquivos? nas configurações do Windows, isso tornará bem mais fácil distinguir arquivos potencialmente maliciosos. Como trojans são programas, você deve ficar de olho em arquivos com extensões como .EXE, .PDF, e .SCR.
5 ? Filtre ?.EXE? no email, se o seu gateway de email possui a habilidade de filtrar arquivos pela extensão, você deve bloquear as extensões ?.EXE?, assim como bloquear emails com arquivos com mais de duas extensões, sendo uma delas a ?.EXE?.
6 - Troque mensalmente todas as senhas dos servidores, também de bancos de dados e aplicativos hospedados em servidores. Além disso, adote uma política de troca senhas de usuários todos os meses ou no mínimo a cada 2 meses.
7 ? Desabilite arquivos que rodem a partir de pastas, crie regras no Windows, ou a partir de um IPS, para bloquear execução de arquivos a partir de pastas, um comportamento típico de malwares de ransomware. Se por algum motivo você possui software legítimo que não se executa por padrão da pasta Arquivos de Programas, e sim da AppData, você pode excluir esse software específico da regra.
9 - Reforço da segurança de endpoint, os anti-vírus tradicionais já não são suficientes para proteger os sistemas de informação das empresas. É de extrema importância que as companhias recorram também à ?versões corporativas de proteção ?endpoint? que identificam arquivos em risco e bloqueiam ameaças sem prejudicar o desempenho dos postos de trabalho.
10 ? Mantenha seus softwares atualizados, os criminosos frequentemente atacam máquinas que possuem softwares desatualizados, com vulnerabilidades conhecidas, as quais eles podem explorar para de forma silenciosa ganhar acesso à máquina. Por isso, é importante fazer atualização constante ou checar pelo menos uma vez por dia se há atualização de segurança a ser feita. Além de melhorar o desempenho, resolve também potenciais ameaças e vulnerabilidades através da correção de bugs e erros do código, que podem ser exploradas pelos cibercriminosos. As chances de ser atacado por ransomware cai consideravelmente com a gestão de patches e updates.
11 ? Desabilite o RDP, o malware Cryptolocker/Filecoder (um tipo de ransomware), em geral possui como alvo máquinas que utilizam o Remote Desktop Protocol (RDP), uma funcionalidade do Windows que permite o acesso remoto. Se você não precisa de utilizar o RDP, desabilite essa função e proteja a máquina do Filecoder e outros exploits conhecidos de RDP. Adicione também uma camada de proteção aos seus servidores utilizando VLAN, insolando desta forma os servidores dentro da rede.
Caso já tenha pego o Ransomware
12 - Caso note um processo desconhecido na máquina, interrompa a conexão de internet imediatamente
Essa ação imediata pode evitar que ransomware tenha tempo de apagar a chave de criptografia do computador, dando chances de restaurar os arquivos corrompidos. Novos ransomwares, porém, conseguem infectar as máquinas mesmo com elas offline.
13 ? Tente restaurar o sistema para retornar a um estágio pré-ransomware, se a função Restaurar Sistema está habilitada no Windows, pode ser possível retornar a um estágio pré-ransomware. Porém, novas versões de malwares de ransomware possuem a habilidade de deletar os arquivos necessários para que o sistema seja restaurado.
14 - Estabeleça um D.R.P. - Disaster Recovery Plan, ou Plano de Recuperação de Desastres, para uma recuperação mais rápida, e treine o seu time de TI para executá-lo em caso de crise. Importante também, formatar imediatamente os servidores infectados.
15 ? Atrase o relógio da BIOS, normalmente, o ransomware coloca um prazo para pagamento de 72 horas, que, se ultrapassado, aumenta significativamente o valor do resgate. Alterando o tempo do relógio da BIOS para um período anterior a essas 72 horas fará com que você ganhe tempo para planejar as ações de recuperação.
16 - Tente descobrir o nome do malware, talvez seja uma versão antiga e relativamente um pouco mais simples restaurar os arquivos. De qualquer forma, é importante entrar em contato rapidamente com um especialista em segurança.
17 - Não pague o resgate, tenha em mente que não se trata de uma transação comercial legítima e sim de criminosos extorsionários, com o mínimo ou nenhum interesse em cumprir sua parte, além do que, o pagamento incentiva esse negócio ilegal que prosperará quanto mais empresas forem pegas neste golpe. Caso a situação se torne crítica, lembre-se de acionar um profissional de segurança que poderá ajuda-lo nessa situação.
Joelson
em 18/08/2017 em Artigos