28/11/2016

A trade contra o ransomware: preveno, educao e recuperao - MyCyberSecurity

Curso Prtico de Cibersegurana para Leigos

Lies

Artigos

GRATUITAMENTE

BUSCA

Glossrio

Aprenda, na prtica, sobre cibersegurana.

Insira seu email aqui

Uncategorized

Incio

ASSINE J!

A trade contra o ransomware: preveno, educao e recuperao

A trade contra o ransomware:

preveno, educao e recuperao

RICOBA

1 DE JULHO DE 2016

UNCATEGORIZED

TEMPO DE LEITURA: 15 MINUTOS

http://www.mycybersecurity.com.br/triade-contra-o-ransomware-prevencao-educacao-e-recuperacao/

1/14

28/11/2016

A trade contra o ransomware: preveno, educao e recuperao - MyCyberSecurity

Uma abordagem de segurana que leve em considerao a educao

dos usurios, adoo de tecnologias de preveno e polticas de
backup a maneira mais e caz de lidar contra ransomware.
Quando se trata de lidar com o risco de um ataque ransomware, os usurios e as
organizaes tm apenas duas alternativas:
1. Torcer para voc nunca ser atacado.
2. Seguir algumas regras bsicas de segurana.
Acredito que ningum minimamente informado sobre o perigo dessa ameaa, portanto,
ciente do aumento do nmero de ransomware e de casos relacionados, far a primeira
escolha.
Diante dos casos que chegam at a mim, estou cada vez mais convencido de que a
melhor defesa contra o ransomware adotar um enfoque baseado na trade: Preveno,
Recuperao e Educao.

O problema e a sua dim enso

O modus operandi do ransomware j conhecemos: criptografar os arquivos da vtima e,
em seguida, convenc-la de que a nica maneira de recuperar seus arquivos pagando
um resgate. O sucesso desta ameaa reside no fato de que as vtimas ainda pagam os
resgastes.
http://www.mycybersecurity.com.br/triade-contra-o-ransomware-prevencao-educacao-e-recuperacao/

2/14

28/11/2016

A trade contra o ransomware: preveno, educao e recuperao - MyCyberSecurity

A Cyber Threat Alliance (CTA) estima que cerca de 325 milhes de dlares foram
destinados a pagamentos apenas pelo ransomware CryptoWall em 20151. Estes
pagamentos funcionam como incentivo e nanciamento para o desenvolvimento de mais
ransomware. Um recente relatrio da McAfee mostra um aumento acentuado dessa a
ameaa nos ltimos dois anos2. De acordo com a Kaspersky Lab, o nmero de usurios
que sofreram uma tentativa de ataque por ransomware cresceu 30% face ao ltimo
trimestre de 20153.

A estratgia de def esa

Adotar medidas defensivas sempre a melhor estratgia. O preo a ser pago pelas
consequncias de uma infeco muito maior do que investir em defesa. No entanto,
importante saber que, infelizmente, nenhuma proteo garante segurana total, o que
signi ca que qualquer sistema, por mais que esteja bem protegido, pode ser alvo de um
ataque bem sucedido. Os desenvolvedores de cdigos maliciosos esto alguns passos
frente das tecnologias de segurana, sempre explorando novas vulnerabilidades.
H um princpio em segurana da informao chamado de Princpio da Insegurana. Este
princpio estabelece que no importa o que voc faa, quem voc seja, e quanto dinheiro
voc invista, voc nunca ter um ambiente 100% seguro.
O fato que no podemos impedir efetivamente a maioria das ameaas. Fora do
ciberespao, na natureza, as coisas tambm funcionam assim. No temos como parar um
tornado, por exemplo, no entanto, podemos reduzir os riscos diminuindo a exposio ao
tornado (a ameaa)ou, ainda, atenuar o seu impacto.
Deste modo,a nossa tarefa consiste em mitigar riscos. Mitig-los para reduzir as chances
de uma ameaa explorar as vulnerabilidades do nosso sistema.

# Preveno:

Medidas preventivas tentam prevenir incidentes de segurana. O que nos importa, aqui,
evitar a infeco inicial usando meios tecnolgicos.
Ataques ransomware envolvem diferentes elementos. Um ataque pode comear com um
e-mail de spam contendo um link direcionando o usurio a um site malicioso, o qual
explorar mltiplas vulnerabilidades, as quais permitiro que o ransomware seja baixado
e instalado.
A adoo de recursos tecnolgicos conhecidos como controles tcnicos4, a m de
prevenir ataques, deve ser feita em multicamadas. Defesa em multicamadas (ou em
profundidade) o uso coordenado de vrias contramedidas de segurana para proteger a
integridade dos ativos de informao de uma empresa. A estratgia baseia-se no princpio
militar de que mais difcil para um inimigo
derrotar
sistema de defesa

um
complexo

dividido em camadas do que passar por uma nica barreira.

http://www.mycybersecurity.com.br/triade-contra-o-ransomware-prevencao-educacao-e-recuperacao/

3/14

28/11/2016

A trade contra o ransomware: preveno, educao e recuperao - MyCyberSecurity

Antes de falarmos sobre cada uma das tecnologias que nos auxiliam, importante dizer
que o elo mais fraco de todo ataque ransomware a pessoa sentada na cadeira em
frente ao computador. Softwares como antivrus, antiSpam, IPS e rewalls ajudam, mas
no resolvem. Educar os usurios um dos componentes mais importante da trade,
sobre o qual falarei mais adiante.
Alguns controles tcnicos contra ransomware:
Encriptao: a criptogra a um forte controle tcnico usado para proteger a
con dencialidade dos dados. Isso inclui dados que trafegam pela rede e os dados
armazenados em dispositivos como servidores, computadores e dispositivos mveis,
principais alvos do ransomware.
Software antivrus: uma vez instalado o software antivrus (ou antimalware), desde que
devidamente atualizado, ajudar a protege-lo. A soluo deve incorporar, alm de
mecanismos de proteo baseados em assinatura, anlise heurstica, comportamental e
baseada em reputao. Importante dizer que ransomware no tem como alvo apenas os
PCs, mas tambm MACs, mquinas virtuais e dispositivos mveis com Android.
Intrusion Prevention System (IPS): Um sistema de preveno de intruso pode
monitorar o trfego de rede, detectar atividade maliciosa e parar ataques em progresso.
Muitas das infeces ransomware resultam de trfego de rede malicioso. Um cenrio de
ataque drive-by-download poderia ser prevenido por um IPS. Uma proteo de rede
adequada ajuda a impedir que usurios acessem sites maliciosos, bem como proporciona
proteo contra exploits remotos a partir de vulnerabilidades dia-zero. Ajuda, tambm, a
prevenir ransomware que tenta chegar at outros computadores pela rede, a m de
sequestrar os seus arquivos. Algumas sutes de segurana para endpoints tm um
componente de proteo de rede integrado (IPS), o qual pode impedir um grande nmero
desses ataques.
Firewall: um software de rewall instalado no computador, se devidamente
con gurado, s permitir trfego autorizado, bloqueando tentativas do computador se
comunicar pela Internet via programas no autorizados. Um computador comprometido
tenta se conectar a alguns servidores C&C (comando e controle). Caso a comunicao
tenha sucesso, o ransomware receber o comando do servidor para criptografar os
arquivos do usurio. Um computador comprometido com o ransomware Cryptowall, por
exemplo, reporta-se aum servidor de comando e controle (C&C) para que este pesquise o
endereo IP da mquina, determinando onde o computador infectado est localizado. Em
seguida, retornao preo do resgate, ajustado e adequado de acordo com o pas onde a
vtima est localizada.
Gerenciamento de patches: patches so atualizaes de softwares que xam bugs e
corrigem vulnerabilidades de sistemas operacionais e aplicaes. Tais atualizaes so
crticas, pois invasores usam ferramentas capazes de explorar as vulnerabilidades do
sistema. Um dos mtodos mais comuns do ransomware se instalar no computador por
meio do drive-by-download, causado por
acidentais
visitas

(ou induzidas) a sites que
disseminam exploits. Exploits aproveitam-se de vulnerabilidades para acessar ou infectar
http://www.mycybersecurity.com.br/triade-contra-o-ransomware-prevencao-educacao-e-recuperacao/

4/14

28/11/2016

A trade contra o ransomware: preveno, educao e recuperao - MyCyberSecurity

um computador. A melhor defesa contra invases e infeces baseadas em exploits

realizar atualizaes de segurana em softwares de terceiros e no sistema operacional.
Alguns dos software abaixo so os alvos mais visados dos exploit kits. Se voc usa alguns
deles, atualize-os com frequncia:
Adobe:Acrobat Reader, Flash Player e Shockwave Player
Microso : Windows, O ice, Internet Explorer
Oracle: Oracle Java

A automao do processo por ser feita, por exemplo, com a sute de segurana
corporativa da Kapersky Lab, a qual possui Gerenciamento de Patches e Vulnerabilidades
(Vulnerability Assessment and Patch Management) em suas verses Kaspersky Total
Security for Business, Kaspersky Endpoint Security for Business Advanced e Kaspersky
Systems Management.
Controle de Aplicao Whitelisting: ferramentas de controle de aplicaes, alm de
bloquear programas a partir de uma lista negra, podem autorizar o funcionamento
apenas das aplicaes que esto na lista permitida (whitelist). Isso signi ca que
ransomware ser automaticamente bloqueado se tentar agir.
Controle da Web: tais ferramentas permitem que voc con gure polticas de acesso a
pginas na web. Voc pode proibir ou permitir o acesso dos usurios em sites espec cos
ou em sites de determinadas categorias, como redes sociais, jogos, sites de apostas,
pornogr cos, reduzindo a probabilidade de os usurios visitarem sites que propagam
ransomware.
Sistemas antiphishing: a maioria dos ataques ransomware comea com e-mails de
phishing. Para cada dez e-mails enviados, estatsticas demonstram que pelo menos uma
ser bem sucedida5. Considerar adotar um sistema antispam e/ou antiphishing. Isto pode
ser feito por meio de software ou hardware dedicado, tais como dispositivos Dell
SonicWALL, Check Pointou Barracuda.
O uso de software antimalware, rewalls e arealizao deatualizaes de segurana no
sistema operacional, bem como em softwares de terceiros o bsico do bsico.

# Recuperao

Backups so cpias de dados criados para garantir que os dados originais caso sejam
perdidos ou dani cados possam ser restaurados. Vou repetir mais uma vez: backups so
cpias de dados criados para garantir que os dados originais caso sejam perdidos ou
dani cados possam ser restaurados. O fato que se voc trabalha com computadores
por tempo su ciente uma hora, inevitavelmente, voc vai perder os seus dados. A
diferena entre uma grande catstrofe e um pequeno inconveniente a existncia de um
backup.

http://www.mycybersecurity.com.br/triade-contra-o-ransomware-prevencao-educacao-e-recuperacao/

5/14

28/11/2016

A trade contra o ransomware: preveno, educao e recuperao - MyCyberSecurity

Restaurar um backup recente a soluo ideal, at o momento, para qualquer infeco

ransomware. Reconheo que fora da realidade esperar de um negcio de pequeno ou
mdio porte a mesma infraestrutura de uma grande empresa. s vezes, servidores de
backup e redundncia de servidores esto, simplesmente, fora de cogitao em funo de
limitaes oramentrias. De qualquer forma, se tempos atrs os backups eram caros e
exigiam checkups regulares e manuteno, agora, com possibilidades de armazenamento
em nuvem como o Google Drive e DropBox, combinado com preos cada vez mais baixos
dos meios de armazenamento, fazer backup no uma opo, mas uma obrigao de
qualquer organizao, seja ela pequena, mdia ou grande.
Apenas uma pequena porcentagem dos usurios fazem backup regularmente de seus
dados essenciais. No mbito corporativo, este exemplo no pode ser seguido. Se a sua
empresa no faz backups regulares de arquivos vitais aos negcios, apenas uma
questo de tempo antes que alguma falha catastr ca ocorra. Lembre-se disto: o disco
rgido no dura para sempre. Os computadores podem estar sujeitos a todo tipo de
evento capaz de destruir os dados. E os dados podem estar sujeitos a ameaas como
ransomware.
Os seguintes passos devem ser seguidos por toda organizao que tenha armazenado
em seus sistemas informaes valiosas:
1. Implemente uma soluo de backup baseada em so ware, hardware ou ambas as formas.
2. Certifique-se de que todos os dados os seus dados crticos esto acobertados pelo backup, incluindo aqueles
armazenados em dispositivos de armazenamento mveis.
3. Uma vez feito o backup, certifique-se que seus dados esto seguros, redundante e facilmente acessveis, caso
precisem ser restaurados.
4. Regularmente faa procedimentos de teste com as funes de recuperao e restaurao do backup. Teste a
integridade dos dados dos backups fsicos e a facilidade de recuperao de backups baseados na nuvem ou em
so ware.

Sugiro que comece por avaliar o estado dos seus backups se que eles existem antes
de qualquer iniciativa. Se voc tem acesso imediato a suas fontes de backup, inicie
imediatamente um processo de restaurao e veri cao manual dos arquivos da sua
cpia de segurana. Isto ser muito importante caso os seus backups estejam em mdias
fsicas, tais como drives USB, DVDs ou unidades externas de disco rgido. Estes meios
podem deteriorar-se com o tempo, portanto, voc precisa saber se os seus arquivos
podem ser recuperados caso seja necessrio.
Ajuda a impedir que seus backups sejam comprometidos, ter um backup em um
dispositivo desconectado da rede. Se os seus backups so facilmente acessveis por um
computador infectado com ransomware, no que surpreso caso a sua cpia de
segurana seja criptografada tambm! Sistemas de backups isolados da rede uma das
melhores prticas para os procedimentos de backup contra ransomware.
Se uma pessoa ou empresa for infectada e no tiver backups adequados, o pagamento
do resgate, dependendo do valor das informaes,
acabasendo

a nica opo. Apesar da
orientao do FBI ser no sentido de no paga-lo sob nenhuma hiptese, se eu fosse uma
http://www.mycybersecurity.com.br/triade-contra-o-ransomware-prevencao-educacao-e-recuperacao/

6/14

28/11/2016

A trade contra o ransomware: preveno, educao e recuperao - MyCyberSecurity

vtima, consideraria o pagamento, dependendo do valor dos meus dados, e claro, do valor
do resgate.
Apesar de haver ferramentas dedicadas a descriptografar ransomware, esta tarefa no
simples. Tais ferramentas, normalmente, exploram erros nos cdigos de criptogra a do
ransomware, de forma a decodi car os arquivos afetados. Mas, os cibercriminosos
corrigem esses erros e atualizam seu cdigo, fazendo com que as ferramentas no
tenham mais utilidade. Portanto, no pense que as ferramentas de decodi cao de
ransomware so protees efetivas.
A melhor defesa contra ransomware a abordagem em trs vertentes:
Preveno,Recuperao e Educao. J falei sobre as duas primeiras, agora tratarei sobre
a ltima delas.

# Educao

Deixei por ltimo este item. Na minha opinio, o mais importante. Especialistas em
segurana da informao, na maioria das vezes, gritam que os seres humanos so o elo
mais fraco da cibersegurana de uma empresa. A grande maioria das violaes e
incidentes de segurana esto diretamente relacionadas com aes irresponsveis ou
mal-intencionadas das pessoas. 6
E-mails maliciosos so os vetores de ataque preferido dos ransomware. Os funcionrios
devem ser treinados para reconhecer um link ou anexo malicioso. No h justi cativa
plausvel para a maioria das organizaes no poder reduzir a taxa em cliques maliciosos
do seu pessoal. A ao de um nico funcionrio su ciente para comprometer toda a
rede.
Sensibilizar os funcionrios para os riscos do phishing e spear-phishing no uma tarefa
complexa. Eles devem ser educados a no clicar em links suspeitos de remetentes no
conhecidos e a abrir anexos de e-mails apenas de pessoas con veis, somente se esto
esperando o arquivo. Se forem treinados a identi car, por exemplo, os nomes de
domnios incorporados em endereos de e-mail e nos links, agiro de forma mais
precavida. Da mesma forma, eles devem ser orientados a jamais extrair um arquivo .ZIP
vindo de uma pessoa de fora da organizao. Algumas organizaes contam com o apoio
de empresas que simulam ataques de phishing para medir a susceptibilidade dos
funcionrios em clicar em links ou baixar arquivos. uma ideia que a sua empresa pode
considerar.

Concluso
Proteger-se contra invases e ataques requer garantir a proteo das principais camadas
de defesa. Se considerarmos uma rede de computadores em uma srie de camadas em
que o ransomware precisa ultrapassar para
penetrar,
a camada
mais externa seria aquela
dos usurios. A nal, preciso a interao do usurio a m de iniciar ou permitir a
http://www.mycybersecurity.com.br/triade-contra-o-ransomware-prevencao-educacao-e-recuperacao/

7/14

28/11/2016

A trade contra o ransomware: preveno, educao e recuperao - MyCyberSecurity

intruso de rede. S depois que um usurio clica em um link malicioso a camada de

proteo envolvendo controles tcnicos( rewalls, antivrus, IPS etc) entra em jogo. Desta
forma, a primeira camada de segurana, que a do operador humano, precisa ser
fortalecida.
Somente em ltimos anos que a importncia desta camada de segurana tem sido
reconhecida. Tempos atrs, acredita-se que o software resolveria todos os
problemas. Por si s, no mais su ciente. necessrio para a proteo, mas no
su ciente. Os usurios, agora, devem ser treinados para prevenir que tais ataques
aconteam.
E por m, usurios domsticos e empresas no podem mais negligenciar polticas de
backup. Atualmente, a nica forma efetiva de recuperao dos danos causados por uma
infeco, desde que sejam seguidas algumas prticas.

Referncias
1. Lucrative Ransomware Attacks: Analysis of the CryptoWall Version 3 Threat
http://cyberthreatalliance.org/cryptowall-report.pdf
2. McAfee Labs 2016 Threats Predictions: http://www.mcafee.com/us/resources/misc/infographic-threatspredictions-2016.pdf
3. Kaspersky descobre 2900 variantes de ransomware no Q1: http://www.nolicorp.com.br/kasperskydescobre-2900-variantes-de-ransomware-no-q1/
4. Controles tcnicos servem para reduzir as vulnerabilidades do sistema. Um administrador instala e configura
um controle tcnico, o qual proteger automaticamente o sistema, a fim de prevenir ataques.
5. Golpes combinam phishing e ransomware para sequestrar dados:
https://www.elpescador.com.br/blog/index.php/golpes-combinam-phishing-e-ransomware-para-sequestrardados/
6. Estima-se que algo em torno de 80% de todas violaes de segurana sejam causadas por usurios maliciosos
(funcionrios desonestos, funcionrios terceirizados, estagirios ou outros usurios que abusam dos seus
privilgios).

Artigos Relacionados:
1. Stampado ransomware por US$ 39 na Dark Web
2. Brasil: o pas nmero 1 em ciberataques na Amrica Latina
3. Criador do Blackhole Exploit Kit pega 7 anos de priso
4. Casos de ransomware em ascenso
5. Mischa e Petya: ransomware duplo

http://www.mycybersecurity.com.br/triade-contra-o-ransomware-prevencao-educacao-e-recuperacao/

8/14

28/11/2016

A trade contra o ransomware: preveno, educao e recuperao - MyCyberSecurity

Sobre RiCoBa
Consultor em segurana da informao com 13 anos de
experincia. Bacharel em Filoso a e cursando Direito, visando
especializao em Direito Informtico. Quando consigo alocar
tempo, estudo para tirar a certi cao CISSP (um dia fao a prova).
Interesso-me pela prtica de esportes, cervejas de trigo, vinhos e discusses
polticas. Nesta seara sou um liberal-conservative.

Artigos relacionados

Black Friday: dicas para compras seguras

A exploso de ransomware continua

http://www.mycybersecurity.com.br/triade-contra-o-ransomware-prevencao-educacao-e-recuperacao/

9/14

28/11/2016

A trade contra o ransomware: preveno, educao e recuperao - MyCyberSecurity

Notinhas importantes sobre ransomware

Gerenciadores de senha

Criador do Blackhole Exploit Kit pe ga 7 anos de priso

http://www.mycybersecurity.com.br/triade-contra-o-ransomware-prevencao-educacao-e-recuperacao/

10/14

28/11/2016

A trade contra o ransomware: preveno, educao e recuperao - MyCyberSecurity

Casos de ransomware em ascenso

ARTIGO ANTERIOR

Dia dos Namorados seguro

PRXIMO ARTIGO

Verifique o que o Google sabe sobr e voc

SOBRE O AUTOR
Consultor em segurana da informao com experincia em proteo de
endpoints. Bacharel em Filoso a e cursando Direito, visando especializao
em Direito Informtico. Quando consigo alocar tempo, estudo para tirar a
certi cao CISSP (um dia fao a prova). Interesso-me pela prtica de
esportes, cervejas de trigo, vinhos e discusses polticas. Nesta seara sou um

liberal-conservative.
http://www.mycybersecurity.com.br/triade-contra-o-ransomware-prevencao-educacao-e-recuperacao/

11/14

28/11/2016

A trade contra o ransomware: preveno, educao e recuperao - MyCyberSecurity

SAIBA MAIS

Buscar por:

Artigos recentes
A segurana da informao nos escritrios de advocacia
Oportunidade de carreira em cibersegurana
Novidades do Kaspersky Small O ice Security 5
Armamento contra ransomware
Infogrfico: Kaspersky Endpoint Security Cloud e as 5 principais ameaas de TI
Kaspersky Endpoint Security Cloud
Spybot Search and Destroy (Free Edition)
Como ter mais privacidade na navegao
Malwarebytes Anti-Rootkit BETA
Stampado ransomware por US$ 39 na Dark Web

Categorias

http://www.mycybersecurity.com.br/triade-contra-o-ransomware-prevencao-educacao-e-recuperacao/

12/14

28/11/2016

A trade contra o ransomware: preveno, educao e recuperao - MyCyberSecurity

Ameaas
Carreira
Conceitos
Ferramentas
Fraudes
Hacktivismo
Livros
Privacidade
Produtos
Uncategorized
Vulnerabilidades

Glossrio Cibersegurana

http://www.mycybersecurity.com.br/triade-contra-o-ransomware-prevencao-educacao-e-recuperacao/

13/14

28/11/2016

A trade contra o ransomware: preveno, educao e recuperao - MyCyberSecurity

Recomendamos

MyCyberSecurity 2016 Todos os direitos reservados

http://www.mycybersecurity.com.br/triade-contra-o-ransomware-prevencao-educacao-e-recuperacao/

14/14