1

ndice

Introduo__________________________________________________________ 03

Captulo 1 Entenda o sequestro de dados________________________________ 04

Captulo 2 Ransomware na prtica _____________________________________ 06
Captulo 3 Defenda-se! ______________________________________________ 07
Captulo 4 Reveja sua estratgia_______________________________________ 09

Referncias_________________________________________________________ 10

2
Introduo
Recentemente, percebemos um crescimento significativo no interesse dos profissionais de
cibersegurana em ransomware todo evento ou webinar que promovemos sobre o assunto lota
rapidamente.

Por isso, escolhemos essa modalidade de malware como tema de um e-book, que tem por objetivo
explicar de forma simples e direta o funcionamento desse tipo de ataque, bem como as formas de
preveno.

Mais do que servir como referncia aos especialistas envolvidos com estratgias de segurana, esse
livro digital tambm uma ferramenta til para quem precisa explicar as dimenses desse problema a
pessoas com pouco (ou nenhum) conhecimento em tecnologia.

Nesse sentido, o ponto de partida deste e-book descreve as caractersticas de um ransomware, as

formas mais usuais de ataque e o atual cenrio de ameaa. No segundo captulo, apresentamos
alguns casos de empresas atingidas por esse tipo de malware, evidenciando seus pontos fracos e a
repercusso da ocorrncia.

Com base nos exemplos abordados, a prxima etapa introduz boas prticas para prevenir e
combater ataques dessa modalidade como a estruturao de estratgias de segurana a partir de
um ecossistema de software eficaz. Por fim, voc convidado a avaliar as condies da rede que
atua diante da ameaa de ransomware, com provocaes e reflexes que o ajudaro a fortalecer a
proteo contra esse tipo de ao maliciosa.

A partir desses conhecimentos, esperamos que esteja apto para dar o primeiro passo elaborao
de planos eficientes de cibersegurana, garantindo ao mesmo tempo a proteo de seus dados e um
reforo na luta contra os cibercriminosos.

Boa leitura!

Rogrio Moraes
CEO da EsyWorld

Guia sobre Ransomware 3

CAPTULO 1

Entenda o sequestro de dados

Antes de entrar no mrito do que se caracteriza um ransomware, interessante definir o que so os
malwares, anteriormente reconhecidos como vrus de computadores. Essa categoria engloba todo
software mal-intencionado, ou seja, criado com o intuito de prejudicar um ambiente ou pessoa (seja
fsica ou jurdica). De acordo com o Kaspersky Lab, uma das principais empresas de segurana
de TI do mundo, a escala de produo desse tipo de programa exponencial: se em 1994 eram
concebidos um por hora, em 2015 esse ritmo era de 350 mil a cada segundo. Outro agravante o
processo de evoluo dos malwares, que passam por refinamento e transformaes constantes
pelas mos dos cibercriminosos.

Contudo, no apenas esse cenrio que assusta: a variedade de ataques tambm preocupante.
Os exemplos mais comuns atualmente so:

Worm ao se infiltrar numa mquina, esse tipo de software

comea a se espalhar por todos os cantos da rede, sem a
necessidade de interao humana aps o primeiro impacto;
WORM

Spam (fishing) esse tipo de ataque se caracteriza pelo disparo

indiscriminado de e-mails, visando provocar o usurio a fornecer dados
pessoais. Dificilmente exista um usurio que no tenha recebido uma
SPAM mensagem sobre oportunidades extremamente atraentes ou avisos de
cobrana assustadores disparados com esse intuito. uma estratgia
que se baseia principalmente em engenharia social, simulando fontes de
confiana ou necessidades do alvo para o sucesso de sua empreitada;

Spyware o objetivo desse software monitorar o

comportamento do usurio na rede, permitindo assim o
acesso a informaes como senhas e contas bancrias;

Bot Net elaborado principalmente para derrubar servidores

e sites, essa tcnica consiste em infectar diversos dispositivos
autnomos, comumente identificados como robs, que so
direcionados a acessar o alvo cons tantemente e de forma massiva,
a fim de estressar a capacidade do mesmo. Esse tipo de ocorrncia
muito comum aos grupos de hack ativismo, como os Anonymous;

EsyWorld 4
 X
Ameaas Web - nesse caso, injetado um cdigo malicioso
no link de acesso um site ou servio, que obriga o usurio a
baixar um programa para acessar o contedo solicitado;

Advanced Persistent Threat (APT) so os malwares elaborados

especificamente para atacar um determinado alvo. Atualmente, esse tipo de
ameaa est entre os maiores desafios para as equipes de segurana, visto
que sua caracterstica personalizada o torna muito difcil de ser detectado por
programas antivrus.

E temos o ransomware, que na escala de popularidade, cresce em ritmo acelerado e, atualmente,

est entre as principais ameaas de rede.

Afinal, o que Ransomware?

Dentro dessa categoria, se enquadram os ataques direcionados a criptografar os dados do alvo e
liberar seu acesso mediante ao pagamento de um resgate. Em outras palavras, uma espcie de
sequestro, em que o cibercriminoso utiliza um software para codificar as informaes da vtima e s
fornece a chave para reverter o processo aps terem atendidas suas exigncias.

De acordo com o Kaspersky Lab, entre 2014 e 2015,

os ataques de ransomware direcionados a redes
Entre 2014 e 2015, os
corporativas saltou de 27 mil para 158 mil ocorrncias.
ataques de ransomware
Nesse cenrio, a companhia aponta o Brasil como o
direcionados a redes
quarto pais do mundo com a maior incidncia de usurios
corporativas saltou de
afetados por essa ameaa, atrs apenas da Rssia (3),
27 mil para 158 mil
Blgica (2), e Holanda (1). Contudo, o estudo alerta que
ocorrncias.
apenas 34% do empresariado brasileiro est ciente da
gravidade dessa questo.

Entre as causas desse crescimento de ransomware est a lucratividade dos ataques, visto que
muitas empresas chegam a interromper suas operaes quando os dados criptografados so
fundamentais para seu funcionamento.

Guia sobre Ransomware 5

CAPTULO 2

Ransomware na prtica
Como dito anteriormente, a principal motivao para ataques de ransomware a lucratividade.
De acordo com a polcia federal dos Estados Unidos (FBI), o pagamento de resgate dos dados
criptografados rendeu em 2015 mais de R$84 milhes para os cibercriminosos em todo o mundo.
Porm, s nos primeiros trs meses de 2016, o montante de resgates somou mais de R$668 milhes
s nos Estados Unidos.

Essa rentabilidade deve-se principalmente aos ataques direcionados s empresas. Segundo um

estudo do Kaspersky Lab, um a cada dez ataques direcionado usurios corporativos. A transao
geralmente feita por meio de bitcoins, moeda corrente na internet impossvel de ser rastreada.

A principal consequncia desse tipo de crime s companhias o impacto nas operaes da vtima.
Por exemplo: se um varejista online perder o acesso ao banco de informaes de estoque, ficar
impossibilitado de receber novos pedidos de compra e finalizar o envio de pedidos, obrigando-o a
interromper suas atividades.

Em casos como esse, os prejuzos vo alm

do financeiro, influenciando negativamente
tambm na credibilidade da empresa que
garantias o cliente ter de que seus dados
financeiros no foram parar nas mos de
criminosos?
Essas duas razes so suficientes para fazer qualquer empresrio considerar e atender as exigncias
do cibercriminoso, ainda que sem garantias de ter seus acessos de volta aps o pagamento. Um
caso marcante nesse sentido ocorreu com o Kansas Heart Hospital, nos Estados Unidos, que mesmo
arcando com o resgate no conseguiu todos seus dados de volta e foi extorquido novamente.

O Fantstico, programa jornalstico exibido semanalmente pela Rede Globo, apresentou numa
matria sobre o assunto o caso de uma fbrica de mveis em Goinia, capital de Gois. Vtima de um
ataque de ransomware, a empresa teve informaes como o cadastro de clientes e fornecedores, a
folha de pagamento de funcionrios, e a programao das mquinas criptografadas pelos bandidos.
Com a recusa do pagamento de US$3 mil, o empreendimento teve de parar sua produo por 15
dias, e mesmo assim no teve seus dados recuperados.

Apesar de traumticos, casos como esses poderiam ter um desfecho diferente se medidas simples de
segurana fossem adotadas previamente, como apresentaremos no prximo captulo.

EsyWorld 6
CAPTULO 3

Defenda-se!
Uma estratgia efetiva de cibersegurana para se defender de ataques ransomware estruturada a
partir de dois fatores:

RPO quantidade de dados que a empresa aceita perder em um

desastre. Tem relao com o tempo do ltimo backup realizado.

RTO o tempo de recuperao dos dados. Ou seja, quanto

tempo a empresa aceita perder para restaurar o ambiente e assim
retomar suas operaes.

A ideia trabalhar para diminuir essas variveis de tempo, e ao mesmo tempo estabelecer uma linha
de defesa para evitar a entrada de arquivos maliciosos.

Com isso em mente, uma forma eficaz de repensar sua infraestrutura para prevenir e responder a
esse tipo de ameaa construir um ecossistema que contemple:

Reestabelecimento rpido do ambiente operacional

Backups peridicos
Deteco e conteno de arquivos maliciosos na rede

Recuperao de desastres
Voltemos ao caso do Kansas Heart Hospital, apresentado no captulo anterior. Sem acesso ao
histrico de pacientes, entradas e sadas na rea de pronto atendimento e agenda de consultas
mdicas, muito provvel que o hospital teria que lidar com uma situao de caos e ficaria
impossibilitado de retomar suas atividades por um bom tempo. Porm, esse cenrio poderia ser
diferente, caso a estratgia de segurana da instituio contemplasse um sistema conhecido como
Disaster Recovery (DR).

Esse tipo de software realiza um espelhamento em tempo real das atividades dos usurios,
armazenando esses dados por um perodo limitado de tempo. Em outras palavras, o programa
duplica paralelamente todas as operaes e informaes em um ambiente seguro. Caso um ataque
ocorra, e os arquivos sejam criptografados, esse ambiente espelhado assume como principal e
permite a continuidade das operaes.

A utilizao de DR capaz de diminuir o RTO a variaes entre 1 a 4 segundos. Idealmente, sua

aplicao deve ser direcionada somente cobertura de dados crticos para o funcionamento da
empresa ou instituio, deixando que o sistema de backup regular cubra as informaes que no se
enquadram nesse perfil otimizando assim a capacidade e custo de armazenamento.
Guia sobre Ransomware 7
Backups peridicos
Automatizar o processo de cpias fundamental para
defender-se de ataques ransomware. Um recurso Automatizar o
interessante nesse sentido contar com softwares que processo de cpias
utilizam mquinas virtuais (VMs, da sigla em ingls virtual fundamental para
machines). Esse recurso, alm de possibilitar a economia defender-se de ataques
com a aquisio e manuteno de hardware, garante ransomware.
tambm o armazenamento em um ambiente seguro, ou
seja, livre de possveis infeces rede que atua.

Se a fbrica de mveis citada antes contasse com um sistema como esse, seu perodo de inatividade
passaria de dias para minutos, sem contar a garantia de recuperao de seus dados.

Defesas antivrus
Os programas antivrus formam a linha de frente contra o avano dos cibercriminosos. Enquanto
as medidas anteriores visam a minimizao de danos, os softwares de deteco e conteno atuam
ativamente para combater possveis ameaas antes do impacto.

No ransomware, o principal desafio atualizar a biblioteca dos sistemas na mesma velocidade

em que so criadas variaes desse tipo de malware visto que a deteco imediata s possvel
quando o programa j conhece o arquivo malicioso. H programas tambm que trabalham sobre
uma anlise comportamental, monitorando as rotinas na mquina e alertando em caso de atividades
suspeitas e/ou maliciosas. Dessa forma mesmo que o arquivo no seja conhecido pela base de
dados do antimalware, possvel bloque-lo.

Uma estratgia adotada por alguns antivrus copiar os arquivos que so afetados pelo
Ransomware. Ento, no momento em que o processo identificado como malicioso, o programa
bloqueia imediatamente a ao do vrus e restaura as informaes atingidas

Outra dificuldade de conter as atividades nocivas rede a crescente quantidade de dispositivos

mveis que interagem com a rede corporativa, mas no dispem de um antivrus adequado. Por isso,
a implantao de um firewall para proteger o ambiente essencial.

EsyWorld 8
CAPTULO 4

Reveja sua estratgia

Com as instrues e tendncias apresentados nesse e-book, possvel definir um diagnstico inicial
sobre como desenvolver uma proteo efetiva da rede corporativa aos ataques de ransomware.
Entender os pontos de vulnerabilidade o primeiro passo para combater essa ameaa, que cresce
exponencialmente no mundo todo.

Antivrus atualizado
Como dito antes, os programas de deteco e conteno de malwares so a linha de frente contra os
hackers mal-intencionados. Por isso, use sempre o software original e mantenha suas atualizaes
em dia.

O mesmo vale para o sistema de firewall da rede corporativa. Isso porque, hoje muito comum
que dispositivos externos entrem em contato com a infraestrutura digital da empresa por meio de
celulares ou laptops de visitantes, por exemplo que muitas vezes no contam com um antivrus
eficiente, tornando-os abertura perigosa para segurana do ambiente digital.

Estabelea uma rotina de backups

Estruturar uma poltica de cpias de segurana diminui o risco de perder arquivos em caso de ataque.
O ideal automatizar o processo, o que permite diminuir a janela de backups e aumenta o ganho
operacional, pois dispensa a necessidade de um operador para realizar o processo. Alm disso,
imprescindvel que os arquivos copiados sejam mantidos fora da rede. Dessa forma, os mesmos no
sero impactados em caso de infeco.

Trace um plano de contingncia

Ter um plano mo quando suas defesas iniciais no so o suficiente para conter o ataque
fundamental para restabelecer rapidamente as operaes da empresa. Para isso, a equipe de
cibersegurana precisa saber claramente quais os dados mais crticos para o funcionamento da
companhia e estabelecer uma rotina de backups constante sobre os mesmos. Assim, contar com um
sistema de recuperao de desastres (DR) diminui consideravelmente o risco nesse sentido.

Considerando essas informaes, analise com sua equipe de cibersegurana o nvel de eficincia de
cada um desses fatores.

Somente com um ecossistema inteligente possvel se antecipar

contra futuras ameaas e garantir uma vantagem extra na luta
contra os cibercriminosos.

Guia sobre Ransomware 9

Referncias
FEDERAL BUREAU OF INVESTIGATION (Estados Unidos). Incidents of Ransomware on the Rise.
2016. Disponvel em: <https://www.fbi.gov/news/stories/incidents-of-ransomware-on-the-rise>. Acesso
em: 03 nov. 2016.

FEDERAL BUREAU OF INVESTIGATION (Estados Unidos). Ransomware: Latest Cyber Extortion

Tool. 2016. Disponvel em: <https://www.fbi.gov/contact-us/field-offices/cleveland/news/press-
releases/ransomware-latest-cyber-extortion-tool>. Acesso em: 03 nov. 2016.

GUIMARES, Arthur. Hackers invadem computadores e celulares e sequestram dados. 2015.

Disponvel em: <http://g1.globo.com/fantastico/noticia/2015/10/hackers-invadem-computadores-e-
celulares-e-sequestram-dados.html>. Acesso em: 03 nov. 2016.

HEALTHCARE IT NEWS (Estados Unidos). Ransomware attackers collect ransom from Kansas
hospital, dont unlock all the data, then demand more money. 2016. Disponvel em: <http://www.
healthcareitnews.com/news/kansas-hospital-hit-ransomware-pays-then-attackers-demand-second-
ransom>. Acesso em: 03 nov. 2016.

PEDROSA, Marcus. Webinar de Capacitao sobre Ransomware. In: WEBINAR DE

CAPACITAO SOBRE RANSOMWARE, 2016, So Paulo. Acesso em: 13 out. 2016.

KASPERSKY LAB. Um dcimo dos ataques de ransomware de criptografia direcionado

a usurios corporativos.2016. Disponvel em: <http://brazil.kaspersky.com/sobre-a-kaspersky/
centro-de-imprensa/comunicados-de-imprensa/2016/um-decimo-dos-ataques-de-ransomware-de-
criptografia-e-direcionado-a-usuarios-corporativos>. Acesso em: 03 nov. 2016.

KASPERSKY LAB. Em 2015, a Kaspersky Lab registrou o dobro de ataques de ransomware

contra empresas. 2016. Disponvel em: <http://brazil.kaspersky.com/sobre-a-kaspersky/centro-de-
imprensa/comunicados-de-imprensa/2016/Em-2015-a-Kaspersky-Lab-registrou-o-dobro-de-ataques-
de-ransomware-contra-empresas>. Acesso em: 03 nov. 2016.

LOBO, Ana. Brasil, com uso de software ilegal, o mais afetado por ransomware na Amrica
Latina. 2016. Disponvel em: <http://m.convergenciadigital.com.br/cgi/cgilua.exe/sys/start.
htm?UserActiveTemplate=site&infoid=41899&sid=18>. Acesso em: 03 nov. 2016.

MOTA, Renato. Cuidado com o ransomware: cresce no Brasil o crime de sequestro de dados.
2016. Disponvel em: <http://blogs.ne10.uol.com.br/mundobit/2016/05/07/cuidado-com-o-ransomware-
cresce-no-brasil-o-crime-de-sequestro-de-dados/>. Acesso em: 03 nov. 2016.

EsyWorld 10
Fundada em 2000, a EsyWorld pioneira na distribuio de
solues para segurana e gerenciamento de risco em Tecnologia
da Informao.

Por meio de parcerias com empresas lderes em seus segmentos,

a EsyWorld distribui para todo o Brasil solues de alta tecnologia
voltadas s necessidades atuais do mercado corporativo e
domstico.

A empresa conta com profissionais treinados e certificados pelos

fabricantes, o que garante excelentes nveis de conhecimento
tcnico para definio de projetos, implantao e suporte tcnico
pr e ps-venda de alta qualidade e atendimento especializado a
clientes de diversos setores, como financeiro, telecom, comrcio,
indstria e governo.

Com mais de 4000 revendas credenciadas, a EsyWorld oferece,

atravs de seus canais, produtos e servios em todo o territrio
brasileiro.

www.esy.com.br /esyworld
midiaria.com

contato@esy.com.br /company/esyworld
/EsyWorld

11