Os ataques de Ransomware estão a aumentar e são notícia de primeira página com ataques ao Colonial Pipeline, JBS Food, e Kaseya. Este malware em constante evolução pode encriptar os seus ficheiros e bloquear o seu acesso. Ataques anteriores roubaram ou acederam a dados e guardaram esses dados como reféns enquanto exigiam um pagamento e ameaçavam revelar ou vender os dados – e as criptomoedas têm algo a dizer neste campo.
No entanto, os últimos ataques mostram uma mudança de estratégia. Visam empresas e encriptam os dados, causando muitas vezes problemas no serviço. Em troca do regresso do serviço ao normal, exigem um resgate. E a mudança na estratégia por parte dos criminosos deve-se em grande às criptomoedas.
De acordo com o Wall Street Journal, os hackers que pedem pagamento sob a forma de criptomoedas porque são “difíceis de identificar através de carteiras digitais e fronteiras nacionais“. Além disso, estas trocas acontecem muitas vezes no estrangeiro, limitando a aplicação da lei.
O que são criptomoedas?
Ao contrário do papel moeda, são uma forma de pagamento digital usada para comprar bens e serviços online e não são emitidas por uma autoridade central. Além disso, empresas como Bitcoin, Ethereum, e Cardano criam as suas moedas, que os utilizadores podem depois comprar. Pode comprar usando dinheiro real.
Estas empresas utilizam tecnologia de BlockChain espalhadas para gerir transações. Por outro lado, é uma forma segura de fazer transações, mas também é anónima e difícil de monitorizar, pelo que é boa para os criminosos.
Porque são as criptomoedas usadas?
Com criptomoedas, os criminosos podem movimentar grandes quantidades de dinheiro através de fronteiras em segundos apenas. Por outro lado, a facilidade e rapidez das transações, assim como a falta de monitorização, fazem dela a solução de eleição para os hackers de ransomware.
Com a maior popularidade nos últimos anos, os criminosos esqueceram os pequenos roubos – furto de dinheiro de contas bancárias individuais ou cartões de crédito. Tudo para extorsão de enormes somas a empresas e governos. Além disso, muitos deles vivem fora dos EUA, em países como a Rússia. Assim, é mais difícil localizá-los ou apanhá-los em flagrante.
Como funciona um ataque de ransomware?
Existem várias formas de ransomware (WannaCry, CryptoLocker, Bad Rabbit, GoldenEye, Jigsaw, etc.) com o mesmo objetivo: aceder a uma rede, encriptar os dados e exigir um resgate. São usados diferentes métodos para obter acesso. Exemplos? Phishing, roubo de informação de login e exploração de falhas como de dia zero.
Usando o phishing como exemplo, veja os passos de ataque de ransomware:
- Os hackers enviam malware de ransomware às vítimas através de anexos de e-mail disfarçados. Ao descarregar e abrir o ficheiro, estão a dar acesso ao seu sistema.
- O malware começa então a encriptar ficheiros que não podem ser desencriptados sem uma chave.
- Encriptados os ficheiros e concluído o ataque, a vítima recebe uma notificação de ransomware com instruções. Elas estão escritas no malware e muitas vezes a mensagem substitui o fundo do ecrã do computador por uma nota de resgate. Podem ainda colocar ficheiros de texto com a nota de resgate em cada pasta encriptada.
- O atacante requer pagamento via Bitcoin ou outra forma de criptomoeda em troca de uma chave para desbloquear os dados.
O que acontece depois do pagamento com criptomoedas?
Se pagar o valor, tudo acontece na internet. Além disso, estas plataformas digitais são mercados organizados onde as pessoas trocam moedas virtuais ou dólares (ou outras moedas). São depositadas numa conta privada anónima ou “carteira”. Por outro lado, estas transações são registadas em “contas públicas” onde qualquer pessoa pode ver as transações. Qualquer pessoa pode ver as transações mas as carteiras são anónimas. Além disso, a maioria dos criminosos tem várias carteiras. Assim, movem-se de uma conta para outra fora do radar e longe das forças da lei. Por outro lado, esta facilidade nos pagamentos, mesmo sem conhecer o destinatário, e sabendo a taxa de sucesso dos ataques pode levar algumas empresas a pagarem como resposta ao ataque.
Quem são as vítimas?
Ataques de ransomware que exigem criptomoedas podem acontecer em empresas de todas as dimensões e custar centenas de milhares ou mesmo milhões de euros. Todavia, as violações de dados custam às empresas uma média estimada de 4,24 milhões de dólares por ataque – um valor recorde em 17 anos.
A Colonial Pipeline garante cerca de metade do combustível para a Costa Leste dos EUA. A empresa pagou aos hackers 4,4 milhões de dólares em criptomoedas. Além disso, fechou o oleoduto e pagou o valor no próprio dia. Mas demorou seis dias para recomeçar a trabalhar. Por outro lado, a JBS pagou um valor de 11 milhões de dólares. Isto depois de ter sido obrigada a parar as operações durante 13 dias. Só depois de ter pago o pedido de ransomware em Bitcoin é que retomou as operações.
A Universidade do Utah sofreu um ataque de ransomware nos seus servidores e pagou mais de $450.000. A cidade de Florence no Alabama pagou um resgate de 300.000 dólares em Bitcoin depois do seus sistema ter sido atacado. Os hackers atacaram os servidores da Escola de Medicina da Universidade da Califórnia, São Francisco (UCSF). Para recuperar o acesso aos seus dados, a escola pagou 1,14 milhões de dólares em Bitcoin.
O que pode ser feito em relação aos ataques?
Os ataques de ransomware continuam e os montantes exigidos aumentam, mas há várias medidas defensivas que as empresas e governos possam prevenir ataques de ransomware no futuro.
- Criar políticas de cooperação
É tempo de reconhecer que esta é uma questão internacional e a forma mais eficaz de parar estas práticas é com uma solução global. Por outro lado, os líderes devem trabalhar em conjunto para partilhar dados e impor sanções contra nações que abrigam piratas informáticos.
- Não pague o valor
As agências de segurança encorajam os indivíduos e organizações a não pagar. No entanto, muitas organizações optam por pagar de qualquer forma para recuperar o mais rápido possível. Tenha em mente que:
- O que parece ser ransomware pode na verdade ser um “scareware”; um ataque falso. Os criminosos podem fugir sem restaurar os dados. Ou podem restaurar parte dos dados e pedir mais dinheiro para o resto.
- A empresa pode parecer fraca e tornar-se um alvo para um novo ataque dos mesmos ou de outros criminosos.
- Quanto mais “ganham”, mais motivados ficam para cometer mais ataques.
Dica WhiteHat adicional para proteção
- Mais capacidades avançadas de monitorização
Em 7 de Junho de 2021, o Departamento de Justiça dos EUA e o FBI anunciaram a recuperação de 2,3 milhões de dólares do ataque da Colonial Pipeline. Além disso, as forças da lei monitorizaram várias transferências de Bitcoin para um endereço específico. Com técnicas de investigação como esta, em conjunto com dados avançados de cripto medas e blockchain, temos acesso a armas valiosas para rastrear pagamentos e atividades e deter criminosos.
Proteja o seu negócio contra ataques de ransomware
Como empresa, também deve tomar medidas para se defender dos crimes deste género. Eis as dicas da WhiteHat:
- Desenvolva um plano detalhado de resposta para que esteja preparado para enfrentar um ataque e possa agir para minimizar os danos.
- Faça backup de todos os sistemas e veja onde os backups são armazenados. Por outro lado, assegure-se de que os backups em si não são acessíveis por hackers. Quando um ataque acontece, ser capaz de voltar atrás em seis horas, ou um dia antes de o ataque acontecer, ajuda a restaurar os sistemas a voltar a funcionar de forma rápida.
- Divida o acesso à rede e assegure que a força de trabalho só tem acesso aos sistemas de que precisa. Colocar sistemas diferentes em redes diferentes, que só são acessíveis pelos grupos de colaboradores que precisam deles, é importante para assegurar que se um ataque acontecer, menos sistemas podem ser comprometidos.
- Atualize o software e instale os patches para proteger a sua rede. Os ataques muitas vezes tiram partido de falhas que podem ter sido já identificadas e têm correções conhecidas, no entanto as empresas adiam a atualização.
Dicas adicionais contra ataques de ransomware
- Garanta formação contínua à força de trabalho. O comportamento das pessoas é uma das principais causas das violações, por isso a formação é um passo crítico para proteger a sua rede. Ensine a sua força de trabalho sobre como reconhecer e-mails suspeitos, não abrir anexos de remetentes desconhecidos, e a reportar qualquer coisa fora do comum à equipa de TI.
- Use uma firewall de última geração para avaliar todo o tráfego da rede em busca de malware e bloqueá-lo antes de poder ter acesso aos equipamentos.
- Proteja a sua rede corporativa EDGE. Certifique-se de que os equipamentos EDGE, tais como os routers SD-WAN estão seguros com um gateway de segurança robusto ou com a sua própria segurança EDGE, tal como a Prevenção de Ameaças, para bloquear o tráfego que possa prejudicar a sua rede – mesmo que o tráfego esteja encriptado.
- Alargar as políticas de segurança aos trabalhadores remotos. Por outro lado, com os atuais ambientes de trabalho híbridos, deve assegurar-se de que a sua força de trabalho está a aceder à sua rede corporativa com segurança à medida que se deslocam entre o escritório da empresa e o seu escritório em casa, utilizando tecnologias como o WireGuard VPN.
A WhiteHat oferece várias soluções tecnológicas que protegem as organizações contra ataques de ransomware de todos os géneros, inclusivé os que são resolvidos através de criptomoedas. Fale connosco e veja como podemos ser úteis.