Correios

O que é o Ransomware?

Alguma vez se pergunta o que é um resgate ou como é que ele pode ter impacto sobre si? O objectivo do ransomware é encriptar os seus ficheiros importantes usando software malicioso. Os criminosos exigem-lhe então o pagamento em troca da chave de descodificação, desafiando-o a provar que pagou o resgate antes de lhe darem instruções para recuperar os seus ficheiros. É o equivalente a pagar a um raptor pela libertação do seu ente querido.

"Houve 236,1 milhões de assaltos de resgate em todo o mundo na primeira metade de 2022. Entre o segundo e quarto trimestres de 2021, houve 133 milhões de ataques a menos, um declínio acentuado de aproximadamente 189 milhões de casos". ~Statista

A Ransomware tem estado nas notícias, e já deve ter visto relatórios sobre computadores que se fecham até as pessoas pagarem uma chave para escapar. Mas o que é exactamente, como funciona, e como nos podemos defender contra isso?

Como funciona o Ransomware?

O Ransomware é normalmente instalado como um anexo a e-mails de spam ou explorando vulnerabilidades de software no computador da vítima.

A infecção pode ser escondida num ficheiro que o utilizador descarrega da Internet ou instalada manualmente por um atacante, muitas vezes através de software embalado com produtos comerciais.

Uma vez instalado, espera por uma condição de activação (como a ligação à Internet) antes de bloquear o sistema e exigir um resgate pela sua libertação. O resgate pode ser pago utilizando tanto moedas criptográficas como cartões de crédito.

Tipos de Ransomware

"A partir de 2021, o custo médio da violação do resgate era de 4,62 milhões de dólares, não incluindo o resgate".~IBM

Aqui estão alguns tipos comuns:

WannaCry

Em 2017O ataque de resgate conhecido como WannaCry afectou mais de 150 nações. Ao infectar uma máquina Windows, o WannaCry encripta ficheiros de utilizadores e exige um pequeno resgate para os desbloquear.

Locky

Locky é uma das formas mais antigas de resgates e foi descoberta pela primeira vez em Fevereiro 2016. O malware encripta ficheiros rapidamente e espalha-se através de e-mails de phishing com anexos que se assemelham a facturas ou outros documentos comerciais.

Labirinto

O labirinto é um resgate mais recente que foi descoberto pela primeira vez em Maio de 2019. Funciona de forma semelhante ao Locky, excepto que termina nomes de ficheiros encriptados com .maze em vez de locky. Os emails de spam também espalham o Labirinto, mas infecta o seu computador ao abrir um ficheiro anexo.

NotPetya

De acordo com os primeiros relatórios, NotPetya é uma variação do Petya, uma estirpe inicialmente descoberta em 2016. Agora, NotPetya é um tipo de malware chamado limpa pára-brisas, que destrói dados em vez de exigir um resgate.

Scareware

Scareware é um software falso que exige pagamento para corrigir problemas que afirma ter encontrado nos seus computadores, tais como vírus ou outros problemas. Enquanto alguns sccareware bloqueiam o computador, outros saturam o ecrã com notificações pop-up sem causar qualquer dano no ficheiro.

Doxware

Como resultado de doxware ou leakware, as pessoas ficam alarmadas e pagam um resgate para evitar que a sua informação confidencial seja divulgada em linha. Uma variante é o serviço de resgate com base na polícia. Pode ser paga uma multa para evitar pena de prisão, e a empresa está a fazer-se passar pela aplicação da lei.

Petya

O Petya ransomware encripta computadores inteiros, ao contrário de várias outras variantes. O Petya sobregrava o registo de arranque principal, o que impede o sistema operativo de arrancar.

Ryuk

Ryuk infecta computadores descarregando malware ou enviando e-mails de phishing. Utiliza um conta-gotas para instalar um trojan e estabelecer uma ligação de rede permanente no computador da vítima. Os APTs são criados com ferramentas tais como keyloggers, escalada de privilégios, e movimento lateral, tudo isto começa com Ryuk. O atacante instala Ryuk em todos os outros sistemas a que tem acesso.

Qual é o impacto da Ransomware nos negócios?

O Ransomware é uma das ameaças cibernéticas de crescimento mais rápido hoje em dia. 

Aqui estão algumas das formas como os resgates podem afectar o seu negócio:

  • O Ransomware pode comprometer os seus dados, o que pode ser dispendioso de recuperar ou substituir.
  • Os seus sistemas podem ser danificados para além da reparação, uma vez que alguns ataques de resgate de software sobrescrevem ficheiros com caracteres aleatórios até ficarem inutilizáveis.
  • Pode sofrer perdas de tempo e de produtividade, o que pode levar à perda de receitas ou de fidelidade do cliente.
  • O hacker pode roubar os dados da sua empresa e vendê-los no mercado negro ou utilizá-los contra outras empresas em futuros ataques.

Como proteger o seu negócio de ataques de Ransomware?

"Instalar software de segurança e mantê-lo actualizado com patches de segurança. Muitos assaltos de resgate empregam versões anteriores para as quais estão disponíveis contra-medidas de software de segurança". ~Steven Weisman, um professor da Universidade de Bentley. 

Para proteger o seu negócio de resgates, pode tomar as seguintes medidas:

Segmentação de rede

A segmentação da rede é o processo de isolamento de uma rede da outra. Ao isolar as redes, pode proteger o seu negócio e os seus dados. 

Deve-se criar segmentos separados para Wi-Fi público, dispositivos de empregados e tráfego interno da rede. Desta forma, se ocorrer um ataque num segmento, este não afectará os outros.

Cópias de segurança AirGap

As cópias de segurança AirGap são um tipo de cópia de segurança que está completamente offline e não pode ser acedido sem remover fisicamente o dispositivo de armazenamento do computador a que está ligado. A ideia é que se não houver maneira de aceder aos ficheiros nesse dispositivo, então também não há maneira de um atacante poder aceder aos mesmos. Um bom exemplo disto seria utilizar um disco rígido externo que tenha sido completamente desconectado de qualquer ligação à Internet ou outros dispositivos com acesso a ele.

Autenticação de mensagens com base no domínio, relatórios e conformidade

Na maior parte das vezes, os resgates são distribuídos por correio electrónico. Os e-mails fraudulentos vêm com ligações de phishing que podem iniciar instalações de resgate no seu computador. Para prevenir isto, DMARC actua como a primeira linha de defesa contra os resgates.

DMARC impede os e-mails de phishing de chegar aos seus clientes em primeiro lugar. Isto ajuda a parar os resgates distribuídos através de e-mails na raiz da invenção. Para saber mais, leia o nosso guia detalhado sobre DMARC e resgate.

Menos Privilégio (Zero Trust para Permissões de Utilizador)

O privilégio mínimo refere-se a conceder aos utilizadores apenas as permissões mínimas necessárias para as suas funções dentro da sua organização. Quando contrata alguém novo ou reatribui uma função dentro da sua empresa, dar-lhe-á apenas as permissões necessárias para o seu papel específico - nada mais ou menos do que o necessário para que desempenhem o seu trabalho de forma eficiente e eficaz.

Proteja a sua rede

Os firewalls são a primeira linha de defesa das redes. Monitoriza o tráfego de entrada e de saída na sua rede e bloqueia as ligações indesejadas. A firewall pode também monitorizar o tráfego para determinadas aplicações, tais como o correio electrónico, para garantir a sua segurança.

Formação de pessoal e testes de Phishing

A formação dos seus empregados em ataques de phishing é essencial. Isto irá ajudá-los a identificar e-mails de phishing antes de se tornarem um grande problema da empresa. Um teste de phishing pode também ajudar a identificar funcionários que possam ser mais susceptíveis a ataques de phishing porque não sabem como identificá-los correctamente.

Manutenção e Actualizações

A manutenção regular dos seus computadores ajudará a evitar que o malware os infecte em primeiro lugar. Deverá também actualizar regularmente todo o software para garantir que os bugs sejam corrigidos o mais rapidamente possível e que novas versões de software sejam lançadas com novas características de segurança incorporadas.

Leitura relacionada: Como Recuperar de um Ataque de Ransomware?

Conclusão

O serviço de resgate não é um erro. É um método deliberado de ataque, com implementações maliciosas que vão desde ligeiramente irritantes a completamente destrutivas. Não há qualquer sinal de que o resgate irá abrandar, e o seu impacto é significativo e crescente. Todas as empresas e organizações precisam de estar preparadas para isto.

Precisa de estar no topo da segurança para se tornar seguro a si próprio e ao seu negócio. Utilize as ferramentas e guias fornecidos pelo PowerDMARC se quiser manter-se a salvo destas vulnerabilidades.

/por

Ransomware-as-a-Service (RaaS) Explicado

Nos últimos anos, assistiu-se ao aumento dos ataques de resgate, infectando computadores e forçando os utilizadores a pagar multas para obterem os seus dados de volta. À medida que novas tácticas de resgate, como a dupla extorsão, se revelam bem sucedidas, os criminosos exigem pagamentos de resgate maiores. Pedidos de resgate em média $5,3 milhões na primeira metade de 2021, mais 518% durante o mesmo período em 2020. Desde 2020, o preço médio do resgate tem subido em 82 por cento, chegando a $570.000 na primeira metade de 2021 sozinho.

RaaS, ou Ransomware-as-a-Service, torna este ataque ainda mais perigoso ao permitir que qualquer pessoa lance ataques de "ransomware" em qualquer computador ou dispositivo móvel com alguns cliques. Desde que tenham uma ligação à Internet, podem tomar o controlo de outro computador, mesmo um utilizado pelo seu patrão ou empregador! Mas o que significa exactamente RaaS? 

O que é Ransomware-as-a-Service (RaaS)?

O Ransomware-as-a-service (RaaS) tornou-se um modelo de negócio popular no ecossistema do cibercrime. O Ransomware-as-a-service permite aos criminosos cibernéticos implementar facilmente ataques de resgate sem qualquer conhecimento de codificação ou hacking necessário.

Uma plataforma RaaS oferece uma gama de características que tornam fácil para os criminosos lançar um ataque com pouca ou nenhuma perícia. O fornecedor de RaaS fornecerá o código malware, que o cliente (atacante) pode personalizar para se adaptar às suas necessidades. Após a personalização, o atacante pode implementá-lo imediatamente através do servidor de comando e controlo (C&C) da plataforma. Muitas vezes, não há necessidade de um servidor C&C; um criminoso pode armazenar os ficheiros de ataque num serviço de nuvem como o Dropbox ou o Google Drive.

O fornecedor de RaaS também fornece serviços de apoio que incluem assistência técnica no processamento de pagamentos e apoio de desencriptação após um ataque.

Ransomware-as-a-Service explicado em inglês simples

Se já ouviu falar de Sofware-as-a-Service e sabe como funciona, compreender RaaS deve ser um "no brainer", uma vez que opera a um nível semelhante. PowerDMARC é também uma plataforma SaaS, uma vez que assumimos o papel de solucionadores de problemas para as empresas globais, ajudando-as a autenticar os seus domínios sem colocar o esforço manual ou o trabalho humano. 

 

Isto é exactamente o que é RaaS. Os actores tecnicamente dotados de ameaças maliciosas através da Internet formam um conglomerado que opera sob a forma de um negócio ilegal (geralmente vendendo os seus serviços através da rede escura), vendendo códigos e anexos maliciosos que podem ajudar qualquer pessoa através da Internet a infectar qualquer sistema com um programa de resgate. Vendem estes códigos a atacantes que não querem fazer eles próprios a parte mais difícil e técnica do trabalho e, em vez disso, procuram terceiros que os possam ajudar. Assim que o atacante fizer a compra, pode continuar a infectar qualquer sistema. 

Como funciona a Ransomware-as-a-Service?

Esta forma de modelo de receitas tem ganho recentemente muita popularidade entre os cibercriminosos. Os hackers utilizam o serviço de resgate numa rede ou sistema, encriptam dados, bloqueiam o acesso a ficheiros e exigem um pagamento de resgate por chaves de descodificação. O pagamento é tipicamente em bitcoin ou outras formas de moeda criptográfica. Muitas famílias de software de resgate podem encriptar dados gratuitamente, tornando o seu desenvolvimento e implementação rentável. O atacante só cobra se as vítimas pagarem; caso contrário, não ganham nenhum dinheiro com isso. 

Os Quatro Modelos de Receitas RaaS:

Embora possa ser possível construir resgates a partir do zero utilizando uma botnet e outras ferramentas livremente disponíveis, os cibercriminosos têm uma opção mais fácil. Em vez de se arriscarem a ser apanhados a construir a sua ferramenta a partir do zero, os criminosos podem subscrever um de quatro modelos básicos de receitas RaaS: 

  • Programas de afiliação
  • Assinaturas mensais
  • Vendas a granel
  • Venda de granel de assinatura híbrida

O mais comum é um programa de afiliados modificado porque os afiliados têm menos despesas gerais do que os cibercriminosos profissionais que muitas vezes vendem serviços de malware em fóruns subterrâneos. Os afiliados podem inscrever-se para ganhar dinheiro, promovendo sites comprometidos com links em e-mails de spam enviados a milhões de vítimas ao longo do tempo. Depois disso, só precisam de pagar quando recebem o resgate das suas vítimas.

Porque é que RaaS é Perigoso?

RaaS permite aos cibercriminosos aproveitar as suas limitadas capacidades técnicas para lucrar com os ataques. Se um cibercriminoso tiver dificuldade em encontrar uma vítima, pode vender a vítima a uma empresa (ou a várias empresas).

Se um cibercriminoso encontrar um desafio ao ataque a alvos online, existem agora organizações que lhe venderão alvos vulneráveis a explorar. Essencialmente, qualquer pessoa e todos podem lançar um ataque de resgate a partir de qualquer dispositivo sem utilizar métodos sofisticados, externalizando os seus esforços através de um fornecedor de serviços de terceiros, tornando todo o processo sem esforço e acessível.

Como evitar a exploração do Ransomware-as-a-Service?

Num ataque de resgate como serviço, os hackers alugam as suas ferramentas a outros criminosos, que pagam pelo acesso ao código que os ajuda a infectar os computadores das vítimas com o software de resgate. Os vendedores que utilizam estas ferramentas são pagos quando os seus clientes geram receitas a partir das vítimas infectadas.

Seguir estes passos pode ajudá-lo a prevenir ataques de resgate como serviço:

1. Conhecer os métodos de ataque

Há várias maneiras diferentes de os resgates poderem infectar a sua organização. Saber como são conduzidos os ataques é a melhor forma de se proteger deles. Saber como será atacado pode concentrar-se em que sistemas de segurança e protecções precisa, em vez de apenas instalar software antivírus e cruzar os dedos. 

Os e-mails de phishing são um caminho comum para muitos ciberataques. Como resultado, os empregados devem estar conscientes de não clicar em links embutidos ou abrir anexos de remetentes desconhecidos. A revisão regular das políticas da empresa em torno dos anexos de correio electrónico pode ajudar a prevenir a infecção por phishing scams e outros métodos de entrega de malware, como vírus de macro e cavalos de Tróia.

2. Utilizar um Conjunto de Segurança de Sistema Fiável

Certifique-se de que o seu computador tem sempre instalado software de segurança actualizado. Se não tiver software antivírus, considere instalar um de imediato. O software antivírus pode detectar ficheiros maliciosos antes de estes chegarem às suas máquinas alvo, impedindo que qualquer dano seja feito.

3. Fazer backup de tudo regularmente

Ter toda a sua informação apoiada ajudará a prevenir a perda de informação importante se o seu sistema ficar infectado com malware ou com o software de resgate. No entanto, se for atingido por ataques de vírus ou malware, as hipóteses de todos os seus ficheiros não receberem backups regulares de qualquer forma - por isso, certifique-se de que tem múltiplos backups em locais diferentes, para o caso de um falhar!

4. Optar pela Protecção de Phishing com Autenticação por Email

Os e-mails de phishing são vectores de ataque extremamente comuns e potentes em explorações de resgates. Na maioria das vezes, os hackers utilizam os emails para tentar fazer com que as vítimas cliquem em ligações ou anexos maliciosos que podem depois infectar os seus computadores com o software de resgate. 

Idealmente, deverá seguir sempre as práticas de segurança mais actualizadas do mercado e apenas descarregar software de fontes fidedignas para evitar estes esquemas de phishing. Mas sejamos realistas, quando se faz parte de uma organização com vários empregados, é uma tolice esperar isto de cada um dos seus trabalhadores. Também é desafiante e demorado manter sempre um controlo sobre as suas actividades. É por isso que implementar uma Política DMARC é uma boa forma de proteger os seus e-mails contra ataques de phishing.

Vamos verificar onde o DMARC cai no ciclo de vida da infecção de RaaS: 

  • Atacante compra penhora maliciosa que contém um serviço de resgate a um operador RaaS 
  • Atacante envia um e-mail de phishing personificando a incorporação XYZ com o anexo comprado para uma vítima insuspeita 
  • O domínio imitado (XYZ inc.) tem o DMARC activado, que inicia um processo de autenticação verificando a indentidade do remetente 
  • Em caso de falha na verificação, o servidor da vítima considera o e-mail como malicioso e rejeita-o de acordo com a política DMARC configurada pelo proprietário do domínio

Leia mais sobre DMARC como primeira linha de defesa contra os resgates aqui.

  • Filtragem DNS

Ransomware utiliza servidores de comando e controlo (C2) para comunicar com a plataforma dos operadores RaaS. Uma consulta DNS é frequentemente comunicada a partir de um sistema infectado ao servidor C2. As organizações podem utilizar uma solução de segurança de filtragem de DNS para detectar quando o Ransomware tenta comunicar com o RaaS C2 e bloquear a transmissão. Isto pode funcionar como um mecanismo de prevenção de infecções. 

Conclusão

Embora o Ransomware-as-a-Service (RaaS) seja uma ideia e uma das mais recentes ameaças de presa aos utilizadores digitais, é fundamental adoptar certas medidas preventivas para combater esta ameaça. Para se proteger deste ataque, pode utilizar poderosas ferramentas antimalware e protocolos de segurança de correio electrónico, como uma combinação de DMARCSPF, e DKIM para assegurar adequadamente todos os pontos de venda.

/por

DMARC: A Primeira Linha de Defesa Contra o Resgate

Um dos maiores focos de segurança de correio electrónico no último ano tem sido em torno de DMARC e os resgates surgiram como um dos crimes cibernéticos mais prejudiciais do ponto de vista financeiro deste ano. Agora o que é DMARC? Autenticação de Mensagens Baseadas em Domínios, Relatórios e Conformidade como protocolo de autenticação de correio electrónico é utilizado pelos proprietários de domínios de organizações grandes e pequenas, para proteger o seu domínio do Business Email Compromise (BEC), falsificação directa de domínios, ataques de phishing e outras formas de fraude de correio electrónico.

DMARC ajuda-o a desfrutar de múltiplos benefícios ao longo do tempo, como um impulso considerável na sua capacidade de entrega de correio electrónico, e na reputação do domínio. Contudo, um facto menos conhecido é que o DMARC também serve como a primeira linha de defesa contra o Ransomware. Vamos enunciar como o DMARC pode proteger contra o Ransomware e como o ransomware o pode afectar.

O que é o Ransomware?

O Ransomware é um tipo de software malicioso(malware) que é instalado num computador, geralmente através da utilização de malware. O objectivo do código malicioso é encriptar ficheiros no computador, após o que este normalmente exige pagamento para os desencriptar.

Uma vez instalada a instalação de malware, o criminoso exige um resgate a ser pago pela vítima para restaurar o acesso aos dados. Permite aos criminosos informáticos encriptar dados sensíveis em sistemas informáticos, protegendo-os eficazmente do acesso. Os cibercriminosos exigem então à vítima o pagamento de um resgate para remover a encriptação e restaurar o acesso. As vítimas são normalmente confrontadas com uma mensagem que lhes diz que os seus documentos, fotografias e ficheiros de música foram encriptados e a pagar um resgate para alegadamente "restaurar" os dados. Normalmente, pedem aos utilizadores que paguem em Bitcoin e informam-nos de quanto tempo têm de pagar para evitar perder tudo.

Como é que o Ransomware funciona?

A Ransomware demonstrou que medidas de segurança deficientes colocam as empresas em grande risco. Um dos mecanismos de entrega mais eficazes para o resgate de software é o phishing por correio electrónico. O Ransomware é frequentemente distribuído através de phishing. Uma forma comum disto ocorrer é quando um indivíduo recebe um e-mail malicioso que o persuade a abrir um anexo contendo um ficheiro em que deve confiar, como uma factura, que em vez disso contém malware e inicia o processo de infecção.

O e-mail afirmará ser algo oficial de uma empresa bem conhecida e contém um anexo fingindo ser software legítimo, razão pela qual é muito provável que clientes, parceiros ou empregados insuspeitos que estejam cientes dos seus serviços caiam nas suas presas.

Os investigadores de segurança concluíram que para uma organização se tornar um alvo de ataques de phishing com ligações maliciosas para downloads de malware, a escolha é "oportunista". Muitos resgates não têm qualquer orientação externa quanto a quem atacar, e muitas vezes a única coisa que os orienta é a pura oportunidade. Isto significa que qualquer organização, seja ela uma pequena empresa ou uma grande empresa, pode ser o próximo alvo se tiver lacunas na sua segurança de correio electrónico.

O recente relatório de tendências de segurança de 2021 fez as seguintes descobertas angustiantes:

  • Desde 2018, tem havido um aumento de 350% nos ataques de resgate, tornando-o um dos vectores de ataque mais populares nos últimos tempos.
  • Os especialistas em cibersegurança acreditam que haverá mais ataques de resgate do que nunca em 2021.
  • Mais de 60% de todos os ataques de resgates em 2020 envolveram acções sociais, tais como phishing.
  • As novas variantes de resgates aumentaram 46% nos últimos 2 anos
  • Foram detectados 68.000 novos Trojans de resgate para telemóvel
  • Os investigadores de segurança estimaram que a cada 14 segundos uma empresa é vítima de um ataque de resgate

O DMARC protege contra o Ransomware? O DMARC e o Ransomware

O DMARC é a primeira linha de defesa contra ataques de resgate. Uma vez que o ransomware é normalmente entregue às vítimas sob a forma de e-mails de phishing maliciosos de domínios falsificados ou falsificados da empresa, o DMARC ajuda a proteger a sua marca contra a personificação, o que significa que tais e-mails falsos serão marcados como spam ou não serão entregues quando tiver o protocolo correctamente configurado. DMARC e Ransomware: como é que o DMARC ajuda?

  • DMARC autentica os seus emails contra os padrões de autenticação SPF e DKIM que ajudam a filtrar endereços IP maliciosos, falsificação e imitação de domínio.
  • Quando um e-mail de phishing curado por um atacante com um link malicioso para instalar um ransomware resultante do seu nome de domínio chega a um cliente/servidor de funcionários, se tiver
  • DMARC implementado o e-mail é autenticado contra SPF e DKIM.
  • O servidor receptor tenta verificar a fonte de envio e a assinatura do DKIM
  • O e-mail malicioso falhará nas verificações de verificação e, em última análise, falhará na autenticação DMARC devido ao desalinhamento do domínio
  • Agora, se tiver implementado DMARC num modo de política imposta (p=rejeitar/quadrar) o e-mail após a falha do DMARC será marcado como spam, ou rejeitado, anulando as hipóteses dos seus receptores caírem no ataque de resgate
  • Finalmente, evite erros SPF adicionais como demasiadas consultas DNS, erros sintácticos e erros de implementação, para evitar que o seu protocolo de autenticação de correio electrónico seja invalidado
  • Isto acaba por salvaguardar a reputação da sua marca, informação sensível e bens monetários

O primeiro passo para obter protecção contra ataques de resgate é inscrever-se hoje no analisador DMARC! Ajudamo-lo a implementar o DMARC e a mudar para a aplicação do DMARC facilmente e no menor tempo possível. Comece hoje a sua viagem de autenticação de correio electrónico com o DMARC.

/por