Do you WannaCry? Veja por que este ransomware é só a ponta do Iceberg

O tema ransomware não é nada novo, mas o que realmente significa? Podemos dizer que ransomware é um código malicioso usado por criminosos digitais para sequestrar dados e orquestrar ataques com o objetivo de desvio financeiro ou extorsão (cyber extorsão). O motivo para o ataque de ransomware é sempre monetário, onde a vítima é informada que o ataque está ocorrendo e é detalhadamente instruída de como o pagamento deve ser feito para obter sua as informações novamente. Importante deixar claro que não existe nenhuma garantia de que esta devolução vai realmente ser feita. Geralmente é usada moeda virtual (bitcoin) para proteger a identidade dos criminosos e dificultar o rastreamento do dinheiro pago.

 

O modelo padrão de funcionamento do ransomware baseia-se em mudar a senha do logon da vítima e criptografar o disco do computador infectado. Após esta atividade o computador é reiniciado com o objetivo de mostrar a mensagem indicando as instruções para pagamento. Segundo a Carbon Black, um importante fornecedor de hardwares e softwares de segurança, o ano de 2016 demonstrou um crescimento de 50% nos ataques de ransomware a industrias quando comparado ao ano de 2015. Empresas de manufaturas demonstraram um crescimento de 21,8% e empresas de energia e utilitários apresentaram um aumento de 16,4%. Este crescimento foi baseado em diversos fatores, dentre eles temos:

  • Grande quantidade de frameworks ou kits para desenvolvimento de variações de ransomware existentes ou para a criação de novas famílias de ransomware encontrados facilmente na Deep/Dark Web;
  • Uso a preços irrisórios de programas focados em Ransomware as a Service (RaaS) objetivando a elaboração de um ataque com pouquíssimo esforço;
  • Empresas continuam sem política para atualização de sistemas operacionais, deixando que funcionem com falhas muito antigas em seus ambientes;
  • Ausência de proteções adequadas para o correio eletrônico. Grande parte dos ataquem entram no ambiente corporativo pelo correio eletrônico iludindo o destinatário a abrir arquivos anexados ou a instalar aplicativos em seus computadores;
  • Não elaboração de treinamento dos usuários destacando as armadilhas dos criminosos cibernéticos ou mesmo a inexistência de política de segurança nos ambientes corporativos.

 

Infelizmente a tendência de 2016 foi mantida não só para ransomware, mas também para as ameaças disfarçadas, também conhecida como trojans. Segundo o relatório Desenvolvimento de ameaças de computador, elaborado pelo Kaspersky Lab, uns dos mais respeitados centros de estudos de ameaças digitais, foram identificadas 11 novas famílias de trojans e 55.679 novas modificações foram identificadas só no primeiro trimestre de 2017. Os maiores vetores de ataques são os navegadores Web, em segundo lugar o sistema operacional Android, em terceiro lugar estão os ataques focados em documentos do Microsoft Office. Os próximos vetores de ataques são as aplicações feitas com a linguagem de programação Java, aplicações envolvendo Adobe Flash e documentos em PDF.

 

Realmente o ano de 2017 foi a concretização de uma tendência de crescimento que começou em 2014. Época quando o número de dispositivos móveis começou a crescer assustadoramente em comparação com os anos anteriores e hoje não temos só a possibilidade de contaminar dispositivos móveis, mas também de atacar dispositivos ligados ao conceito de IoT. Segundo um estudo da GSMA Intelligence, o braço de pesquisa da GSMA, em 2020 teremos quase três quartos da população mundial conectada. Imagine o que aconteceria se estes dispositivos forem dominados por atacantes digitais.

 

E a cada ano as surpresas são mais devastadoras, estejam elas focadas em ransomware ou não. No final de 2016 vivenciamos o maior ataque digital deixando diversas empresa sem acesso internet atingindo 665Gbps de tráfego e mais de 130 milhões de pacotes por segundo para contaminar ambientes em mais de 164 países. Este ataque foi associado ao malware Mirai que envolveu mais de 500.000 dispositivos sob domínios dos atacantes digitais. O Brasil foi o segundo pais com maior concentração de computadores contaminados com o Mirai nesta época. A falha foi na ausência de procedimentos adequados que deveriam guiar a mudança da senha padrão dos usuários administrativos. Algo básico que deveria ser orientado de maneira automática pelos fabricantes de hardwares.

 

Muitas vezes para olhar o presente e validar o futuro devemos olhar para o passado. Em 2003, o mundo sofreu com o malware SQL Slammer, criado para explorar uma vulnerabilidade em ambientes Microsoft SQL Server 2000 desatualizados. No final de 2016 este ataque retornou a ocorrer com origem fundamentada nos países China, Vietnã, México e Ucrânia.

 

Com tudo isto em mente, como foi o ataque digital guiado pelo WannaCry criou cerca de 200.000 infecções em mais de 150 países e como ele continua a se espalhar? Primeiro precisamos observar que os computadores afetados exibiam mensagens com pedidos de resgate entre US$ 300 e US$ 600. O segundo elemento importante é que pesquisadores estimam a criação do WannaCry baseada na divulgação de uma vulnerabilidade (EternalBlue) pelo grupo de atacantes digitais Shadow Brokers. A vulnerabilidade possibilita a execução remota de código e foi corrida pela Microsoft em 14 de março de 2017 (MS17-010). Nesta época, a própria Microsoft considerou-a como crítica, afetando sistemas operacionais como Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows 8.1/8.1 TR, Windows Server 2012/2012 R2, Windows 10 e Windows Server 2016.

 

Sem dúvida que é um cenário mais do que crítico. Se olharmos com cuidado, veremos que existe algo em comum entre o os malwares SQL Slammer e o Mirai com o ransomware WannaCry. Vejo que além do componente humano, que por padrão adiciona centenas de falhas, existe a ausência de procedimentos para a análise e correção de vulnerabilidades. Observe que temos 14 anos desde a criação do SQL Slammer e o problema continua o mesmo, sendo tratado da mesma maneira por grande parte das empresas em diversos países ao redor do mundo. Esta é a verdadeira explicação de termos hoje algo tão devastador.

 

Por esta razão diversas empresas posicionadas na Espanha, Taiwan, Rússia, Portugal, Ucrânia, Turquia e Reino Unido foram afetadas pelo WannaCry. Segundo a própria Telefônica, 85% dos seus computadores em Madri foram contaminados, fazendo com que seus funcionários retornassem para casa a pedido da própria empresa. Imagine o prejuízo financeiro! Segundo o jornal valor Econômico, mais de 220 companhias com mais de 1,1mil computadores comprometidos foram alvo do WannaCry no Brasil.

 

Em 2014 escrevi um artigo descrevendo algumas ameaças presentes em SmartPhones e o mais incrível é que o discurso para a proteção pode ser aplicado ao cenário que temos hoje, mesmo sendo ele algo muito pior do que o existente em 2014. Segundo a Nokia Threat Intelligence Report, o mercado de malware para mobile banking está tão aquecido que cresceu 400% em 2016. Junte isto com a pesquisa da FGV mostrando que o Brasil já tem um smartphone para cada habitante (208 milhões de smartphones) e teremos um oceano de possibilidades para os terroristas digitais.

 

Se você está ainda não está preocupado com o WannaCry, deveria. E também deveria estar preocupado com o malware Adylkuzz, pois as previsões apontam para algo muito pior do que o WannaCry. Apesar de explorar as mesmas vulnerabilidades, o comportamento é diferente, não havendo bloqueio do acesso ao computador, usando o ambiente infectado como parte da sua botnet. Botnets podem conter centenas de milhares de computadores controlados remotamente com computadores prontos para responder a pedidos dos atacantes digitais.

 

Os desafios não são os mesmos, são bem maiores, mas os erros sim, são exatamente os mesmos cometidos no passado. Os erros cometidos pelas empresas de hoje são os mesmos cometidos a 14 anos atrás. Continuamos fornecendo artefatos, criando possibilidades gigantes para os atacantes digitais. Se você sente que vive em um momento de calmaria, possivelmente você se encontra no olho do furacão.  Vejo mais do que uma tempestade se aproximando, vejo um verdadeiro furação!

 

Denis Souza

 

Links indicados:

Ransomware móvel triplicou no primeiro trimestre de 2017

Ransomware e phishing estão no topo das ameaças corporativas

51% das empresas brasileiras foram vítimas de ataques ransomware no ano passado

O Adylkuzz é mais perigoso do que o WannaCry

Relatório sobre desenvolvimento de ameaças de computador

Grupo de atacantes ShadowBrokers

Prejuizo financeiro para as empresas com o WannaCry

Mais de 220 companhias são alvo de vírus no país

 

 

Olimpíada Rio 2016: Oceano de Oportunidades para o Cybercrime

Devido a minha vivência em segurança da informação, sempre observo eventos com grandes aglomerações de pessoas como uma oportunidade perfeita para atacantes digitais. Desta forma, foi natural refletir e imaginar o que poderia ser feito por um atacante digital experiente na Olimpíada do Rio de Janeiro. Assim, durante um final de semana fiz um pequeno exercício.

O primeiro exercício que fiz foi identificar alguns números e avaliar a verdadeira importância do evento em questão para tentar mensurar um elemento importante chamado de motivação. Considerando que tivemos neste evento 205 países, mais de 7,5 milhões de ingressos vendidos e que a maioria das pessoas levam consigo no mínimo um celular, teremos pelo menos um vetor para ataques focado em dispositivos móveis, sejam eles pessoais ou empresariais.

E neste “oceano” de celulares nasceu o Samsung Pay, mostrando para o mundo que é possível ter uma tecnologia wireless de curto alcance focada em fazer pagamentos. A Samsung saiu na frente da Apple e do Google usando como tecnologia o NFC (Near Field Communication). Isto possibilita o registro de catões de créditos cadastrados em celulares, bastando aproximar o celular de terminais de compra para autenticar a transação. A segurança é concluída inserindo a impressão digital ou outros elementos para autenticar a transação.

O uso do NFC é algo recente, mas a segurança aplicada no gateway de pagamento ou nos elementos que o cercam é algo bem conhecido que vem evoluindo com o passar do tempo. Entretanto, existe um outro ponto muito importante que devemos considerar para uma análise macro. Veja que tivemos 28 edições dos jogos olímpicos na era moderna, onde 17 foram na Europa, 6 na América do Norte, 3 na Ásia e 2 na Oceania. Não há dúvida que um evento desta magnitude na América do Sul impulsionaria as vendas, principalmente dos patrocinadores. Assim, é natural que os ataques digitais sejam mais focados nestas empresas. Precisamos no exercício deste texto imaginar quais as preocupações que o C-Level deveria ter em mente?

Preocupações

O primeiro ponto é a infraestrutura. Ataques DDoS (Distributed Denial-Of-Service) são usados em conjunto com outras metodologias para indisponibilizar o ambiente exposto à internet. Está ficando muito comum identificarmos ataques múltiplos, representando a combinação de diversas estratégias usadas para alcançar fama, furto de dados ou enriquecimento ilícito. Algumas aplicações são muito sensíveis a latência e este modelo de ataque afeta principalmente isto. Ter uma proteção que não penalize a latência é importante.

O segundo ponto está ligado na proteção direta do gateway de pagamento, da aplicação Web e dos bancos de dados usados por ela. Atualmente os ataques específicos na camada de aplicação são furtivos, assim, o atacante aprimorou sua técnica para não gerar alertas, ganhando tempo para instalar ferramentas na rede e invadir ambientes ou copiar informações dos bancos de dados. Isto é muito diferente de um ataque DDoS, que é relativamente mais fácil de detectar, pois o ecossistema da aplicação é exposto a um grande volume de acessos, superando o volume previsto de conexões por segundo. Ou seja, existe uma assinatura previamente conhecida.

O terceiro e último ponto é a imagem da empresa ou do produto. Sabemos que as campanhas de marketing ligadas principalmente a grandes eventos fornecem uma exposição muito maior de marcas ou do nome das empresas envolvidas. Assim, é necessário sempre pensar nas ações que precisam ser tomadas visando proteger o ecossistema empresarial como um todo. Isto envolve também análise de spam/phishig, redes sociais ou de sites clonados.

Sabemos que ações ligadas a proteção de marcas envolvem atividades do Departamento Financeiro, representado pelo CFO (Chief Financial Officer) e do Departamento Jurídico, guiado pelo CLO (Chief Legal Officer). Muitas vezes a retirada de um site envolve ações legais, que são custosas e bastante demoradas.

Como elemento decisivo para o negócio, podemos olhar para o tema infraestrutura. As necessidades atuais mostram que as empresas precisam direcionar o desenvolvimento das aplicações em ambientes flexíveis que forneçam de forma rápida, orquestrada e inteligente um crescimento ou uma redução de recursos computacionais (computing), de rede (network) e de armazenamento (storage). Claro que estamos falando de Cloud. A jornada para a Cloud passa basicamente por cinco fases: padronização, consolidação, virtualização, automação e orquestração. O estudo de cada fase junta-se como a análise de maturidade da aplicação dentro desta jornada, mas estes serão tema de outro artigo.

 

Denis Souza

 

Links indicados:

Você está atento a estes problemas de segurança?

Dicas para monitorar e garantir a segurança virtual da sua empresa:

Segurança da informação já deixou há muito tempo de ser modismo para ser necessidade em qualquer tamanho de empresa. A presença da internet flexibiliza, amplia e concebe um universo de oportunidades para qualquer estratégia de negócio, mas também interliga uma variável relativamente nova chamada de atacante digital.

Na década de 90, era muito comum encontrarmos o atante digital dentro das organizações. Vivíamos momentos com a presença de viroses limitadas a contaminação de disquetes como o vírus ping-pong. Bons momentos, onde era possível fazer uma pausa no texto digitado e observar o símbolo de uma pequena bola sendo arremessada contra os cantos da tela.

Vivemos momentos onde os ataques são altamente sofisticados com estratégias customizadas para cada empresa alvo, orientada por campanhas de e-mails, ataques usando criptografia SSL, furtos de informações pela camada Web ou indisponibilizar a infraestrutura de maneira parcial ou total. Vamos neste texto analisar alguns desafios ligados a Segurança da Informação e identificar como empresas como o UOLDIVEO podem ajudá-lo a resolver cada um destes desafios para que você tenha diferenciais significativos para a sua empresa.

Fraude nos e-mails estão mais agressivas e frequentes

O primeiro elemento que gostaria de abordar é muito comum em qualquer organização. São os e-mails recebidos e identificados como Spams e Phishing. Este último pode ser encontrado em uma versão mais devastadora chamada de Spear Phishing.

Precisamos ter em mente que enquanto o Spam foca-se em um e-mail visando promover a venda de um produto, seja ele legal ou não, o phishing tem o objetivo direcionar a vítima para um site que vai furtar informações pessoais, cartões de crédito, informações bancárias e qualquer coisa que o atacante considere importante. O Spear Phishing estuda todas as características do destinatário do e-mail, indo desde o departamento trabalhado, nomes dos seus superiores e gostos pessoais. Tudo é customizado em um e-mail que ilude o destinatário a instalar um programa em seu computador ou a fazer algo que seja benéfico para o atacante.

Grande parte dos e-mails acompanham campanhas publicitárias e direcionam para sites clonados causando danos financeiros a marca de uma empresa, forçando o envolvimento do departamento jurídico com ações de clientes que foram enganados pelos atacantes ou ainda forçando o investimento em estratégias para refazer a credibilidade de uma marca no mercado. O site clonado pode estar presente nas redes sociais, em blogs ou em ambientes de cloud pública dentro ou fora do Brasil. O processo de desativação deste site pode ser muito complexo e custoso. É necessário o monitoramento de e-mails, redes sociais ou mídias sociais 24 horas por dia por especialistas que tenham experiência neste modelo de operação. Como definir um plano que realmente funcione contra estes ataques?

Ataques criptografados se destacam nas previsões do Gartner

Segundo o Gartner, o tráfego criptografado cresce 20% ao ano e 80% das empresas não inspecionam seus tráfegos Web. Existem centenas de justificativas para esta ausência de inspeção, mas podemos dizer que a principal é a sobrecarga em processamento que gera nos hardwares de firewalls ou equipamentos de IPS (Intrusion Prevention Systems), por exemplo.  Infelizmente percebe-se que o uso de ataques envolvendo criptografia se elevam a cada ano, seja para a comunicação de malware ou para ataques a servidores Web. O resultado final é sempre a perda financeira, seja por dano diretos ou indiretos à imagem, perda de vendas devido a sites invadidos ou furto de informações pertencentes a clientes. Ter a informação furtada é sem dúvida um grande problema, mas tê-la divulgada é um problema maior ainda. É importante ter um plano de ação que inclua o corpo diretor e a equipe de operação envolvida e treinada.

Note que um erro muito comum é ter um plano de ação de segurança de várias páginas e não ter a equipe treinada para responder a um evento guiado por um ataque digital. Mais importante do que comunicar é como comunicar um incidente de segurança. Ter uma assessoria de imprensa que não está preparada ou que não tem o apoio para responder tecnicamente aos questionamentos é pior do que não comunicar.

Uma estratégia usada com sucesso por empresas internacionais é minimizar o aparecimento na mídia e limitar a uma única reunião para apresentar esclarecimentos aos investidores e a imprensa. Outro ponto importante aderente a qualquer empresa é testar periodicamente o plano de resposta a incidentes de segurança.

Com os ataques se tornando mais complexos e mais frequentes, torna-se necessário criar uma cultura de segurança mais transparente, preparando e concebendo as aplicações de maneira diferenciada, juntamente com os elementos que a protegem. Ver-se que elementos de uso simples e de baixo custo não usados por muitas empresas. Um exemplo disto é o certificado SSL. Apesar dos benefícios da criptografia em sites Web serem claros e muito vantajosos, possibilitando não só a elevação da confiança dos usuários, mas também elevando a prioridade nas listas de pesquisa do Google, vê-se que poucas empresas fazem usos desta vantagem, deixando um farto oceano de oportunidades para os atacantes digitais. Os certificados digitais podem e devem ser usados por qualquer tipo de aplicação Web.

Bom lembrarmos que segundo o HIPAA (Health Insurance Portability and Accountability Act), PCI Security Standards Council e PII Laws (Personally Identifiable Information), deve-se manter criptografadas todas as informações referentes a dados pessoais, elementos financeiros e informações envolvendo empresas de saúde. Não obedecer a estas indicações pode acarretar em implicações graves.

Novamente devemos nos perguntar o que fazer? Que estratégia devemos seguir para elevar a proteção?

Cloud são seguras, mas você está usando-as corretamente?

Muitas vezes imagina-se que um ambiente de Cloud é inseguro e que projetos usando plataformas de virtualização dentro das empresas formam ambientes de segurança superiores. Primeiramente é importante o entendimento que existem tipos distintos de Cloud, e estes tipos são aderentes ao grau de maturidade da aplicação analisada. Saber se uma Cloud pública em OpenStack, AWS, Microsoft Azure, Google ou ainda uma Cloud Privada é mais adequada a maturidade da sua aplicação é um elemento de sobrevivência indispensável para qualquer empresa.

Observe que não é uma questão de saber qual é a Cloud mais barata para o portal Web da campanha do mês de novembro, mas saber onde a aplicação vai ter uma melhor performance ou onde vai apresentar melhores requisitos de segurança para o projeto proposto. Observe as Clouds Públicas, o uso de controles em seu ambiente são elementos mais rígidos do que muitos projetos dentro das corporações. Este fator é certamente influenciado pelo compartilhamento físico dos servidores. Note que o nível de segurança é muito maior do que os usados tradicionalmente e que a invasão de um cliente por outro é praticamente impossível.

Outra visão importante aborda a relação Compliance e Ambiente em Cloud. Devemos entender que mesmo contratando um provedor em nuvem que possui uma certificação em segurança, isto não faz com que a aplicação de uma empresa hospedada e exposta para a internet esteja segura ou seja resistente a qualquer tipo de ataque digital. A proteção contra este modelo de atacante é um projeto adicional que faz uso de diferentes camadas de defesa, indo desde do desenvolvimento do código-fonte, passando pelo projeto de camadas de defesa e terminando com a escalabilidade e flexibilidade do ambiente usado.

Os ataques direcionados a aplicações em nuvem não são diferentes dos ataques direcionados para os ambientes fora dela. A abordagem buscando por erros humanos continua a mesma, a busca por falhas na aplicação ou no modelo de acesso ao ambiente de gestão continua a mesma. O questionamento também continua o mesmo: o que pode ser feito para elevar a proteção do negócio?

Quais lições podem ser aprendidas?

Os ataques digitais não vão reduzir de intensidade. A realidade mostra que teremos volumetrias bem superiores e muito mais agressivas a tudo que vemos hoje. Olhando somente para os dispositivos móveis, encontraremos previsões indicando que 70% da população mundial estará fazendo uso de algum tipo de dispositivo móvel conectado à internet em 2020 e isto representa 5,5 bilhões de pessoas. Só para o Brasil estima-se que terá mais de 182,1 milhões de usuários móveis e nem aprofundamos as análises envolvendo IoT (Internet das Coisas).

O segredo é como estaremos preparados para estes ataques. Ter um comitê de segurança multidisciplinar é importante, mesmo para as pequenas empresas. Treinar a equipe técnica, juntamente com este comitê vai ser inevitável para responder de maneira clara e objetiva a um atacante digital.

Outro ponto importante é que não podemos construir toda defesa eletrônica em uma tecnologia apenas ou em um processo de gestão que não opera 24×7. Ter o apoio de uma equipe experiente é questão de sobrevivência. Um exemplo claro deste tema é representado pelos ataques DDoS (Distributed Denial of Service), que hoje atinge valores superiores a 500Gbps de pico. Tenha em mente que a defesa contra um ataque DDoS não se faz só, sendo necessária a presença intensa do provedor de acesso bloqueando e identificando o atacante internacional e nacional.

Para concluir, tenha em mente que a defesa digital é uma equação que precisa ser equalizada entre três variáveis importantes representadas por processos, pessoas e tecnologia, independente se lidamos com um ambiente em Cloud ou não.

 

Denis Souza