MAPEAMENTO DO CENÁRIO DE RANSOMWARE

Entendimento do escopo e da sofisticação da ameaça

RESUMO EXECUTIVO
Quando uma ciberameaça tem seu tamanho aumentado em 35 vezes em um ano, todas as organizações deveriam ficar atentas. Isto foi
exatamente o que aconteceu com o ransomware: os hacktivistas alvejaram organizações, de diversos setores da indústria, de virtualmente
qualquer porte, espalhadas ao redor do mundo. As abordagens de segurança tradicionais não são suficientes para impedir os ataques de
ransomware. Os modelos avançados que usam firewalls da próxima geração, segurança em camadas e inteligência proativa contra as ameaças
são indispensáveis.
Os modelos de ransomware como um serviço e modelos afiliados diminuíram a barreira de entrada para os cibercriminosos. Além disso, as
tecnologias monetárias (como o bitcoin) tornam virtualmente impossível o rastreamento dos pagamentos de resgate por parte das autoridades.
Com o crescimento exponencial em resgates pagos a hacktivistas de ransomware, a chance de que isto vai continuar, em ritmo acelerado,
nos próximos anos é muito grande. Reconhecendo a crescente ameaça, os bancos estão estocando bitcoins para que os seus clientes
(e eles mesmos) possam pagar rapidamente os cibercriminosos para poderem desbloquear os dados hackeados.
O impacto financeiro nas organizações é muito maior do que o resgate pago aos cibercriminosos. O tempo de inatividade se traduz em
milhares e, muitas vezes, centenas de milhares de dólares em receitas e produtividade perdidas. Organizações de diversos setores podem
atestar estas implicações.

GUIA SOBRE O RANSOMWARE

GUIA SOBRE O RANSOMWARE: MAPEAMENTO DO CENÁRIO DE RANSOMWARE

ESCOPO DA AMEAÇA
Atualmente, os dados são o coração da maioria das organizações, desde os pequenos
negócios até as grandes empresas. A digitalização de cada vez mais ativos das empresas,
além da crescente importância da nuvem, coloca os dados na mira dos cibercriminosos. Isto
está se tornando um problema muito maior, hoje em dia, com os dados crescendo a uma taxa
de mais do que o dobro a cada dois anos.1
Reconhecendo o valor dos dados, os cibercriminosos estão recorrendo cada vez mais ao
ransomware como meio de monetização. Eles se infiltram nos sistemas de TI e acessam os O ransomware infectou de 30.000
dados por meio de diversos hacks, criptografia, bloqueio e exfiltração de arquivos. Incapazes a 50.000 dispositivos por mês
de acessar informações críticas ao seu negócio, as organizações hackeadas são forçadas
a pagar para que as informações sejam liberadas pelos cibercriminosos. A sofisticação de
muitos desses esforços evoluiu ao ponto em que os cibercriminosos oferecem às suas vítimas
suporte ao cliente, em tempo real, para fazer a remessa do pagamento, bem como para
recuperar o acesso aos seus dados e sistemas de TI. US$ 850 milhões
foram gastos em função dos ataques
OS ATAQUES DE RANSOMWARE DISPARAM
de ransomware em 2016
Qual é a gravidade da ameaça do ransomware? No ano passado, os ataques de
ransomware mais do que dobraram.2 Mais de 4.000 ataques de ransomware ocorrem
diariamente, infectando uma média de 30.000 a 50.000 dispositivos por mês.3 E o potencial
para crescimento adicional é enorme. Mesmo com esta taxa de aumento, atualmente,
o ransomware compreende apenas dois por cento de todos os ataques com malware.4
As repercussões financeiras do ransomware dispararam também. Se considerarmos que, em
2015, um total de US$ 24 milhões foram pagos em resgates, em 2016, esse número disparou
para mais de US$ 850 milhões.5 O montante exigido pelos cibercriminosos está seguindo um
caminho paralelo: a demanda média para cada ataque saltou de US$ 294,00 em 2015 para
US$ 679,00 em 2016.6
Todavia, o maior impacto do ransomware não é o resgate a ser pago. Sessenta e três por O ransomware é subnotificado.
cento das organizações que sofreram um ataque de ransomware no ano passado indicam que Menos de 1 em 4 relatam
isto resultou em tempo de inatividade que ameaçou os negócios. Outros 48 por cento relatam o ataque
que isto resultou na perda de dados ou de hardware. E para as organizações que pagaram
o resgate em troca de serem capazes de recuperar os seus dados (42 por cento admitem
que pagaram o resgate), uma em quatro nunca recuperou os dados.7 É por isso que o FBI
recomenda que as vítimas não paguem o resgate.

APENAS A PONTA DO ICEBERG

No entanto, estes números provavelmente não são uma representação verdadeira da extensão
do problema. Os ataques de ransomware são amplamente subnotificados, com menos do
que um em quatro relatados. Mais da metade das empresas admite ter sofrido um ataque
de ransomware em algum momento durante o último ano.8 Trinta e quatro por cento delas
63% das organizações sofreram
perderam dinheiro, e 20 por cento foram obrigadas a fechar a empresa! Quando estes fatos tempo de inatividade que ameaçou
são levados em conta, o impacto financeiro é alarmante. Mas a situação fica ainda pior: os negócios
3,5 por cento indicaram que vidas foram colocadas em risco, como resultado dos efeitos
do ataque de ransomware.9
Para as organizações que pensam que são pequenas demais para serem alvos de ataques
de ransomware por cibercriminosos, é melhor repensar! As pequenas empresas, geralmente,
por não terem um especialista de TI interno dedicado ou por gerenciarem os sistemas de TI
sem os controles necessários, não estão imunes aos ataques de ransomware. Na verdade,
operando sem as proteções de dados adequadas, implementadas para defender-se, preparar-
se e recuperar-se de ataques de ransomware, estas empresas estão se tornando rapidamente
um alvo principal para ataques de ransomware por cibercriminosos. Um relatório recente
concluiu que o tempo de inatividade devido a ataques de ransomware custa às pequenas
empresas, aproximadamente, US$ 8.500,00 por hora, resultando em perdas acima de
34% das empresas perderam
dinheiro
US$ 75 bilhões por ano.10

2
GUIA SOBRE O RANSOMWARE: MAPEAMENTO DO CENÁRIO DE RANSOMWARE

IMPACTOS DO RANSOMWARE SOBRE OS NEGÓCIOS

O custo em tempo de inatividade do sistema e a incapacidade de acessar informações devido a ataques de ransomware equivale,
hoje em dia, a bilhões de dólares, um número que pode aumentar para dezenas de bilhões, à medida que os hacktivistas perseguem
dispositivos IoT.

DOXXING
Os cibercriminosos são um grupo inovador. Em vez de ameaçar excluir os dados bloqueados, alguns cibercriminosos começaram
a ameaçar a publicar os dados (o que também é conhecido como “doxxing”). Para as organizações que lidam com dados privados
e sensíveis de clientes, como serviços financeiros, hospitais, escritórios de advocacia e outros, isto pode ter consequências nefastas.
Além do impacto na reputação da marca, regulamentos como a Health Information Portability and Accountability Act (Lei de
Responsabilidade e Portabilidade de Informações sobre a Saúde) exigem notificações aos clientes e outras atividades trabalhosas
que podem rapidamente chegar a centenas de milhares, ou até mesmo milhões, de dólares.

ARMAZENAR BITCOINS PARA UM DIA DE “RESGATE”

O impacto do ransomware vai além das organizações que são hackeadas. Se considerarmos o exemplo dos serviços bancários.
Uma vez que o impacto potencial resultante de dados perdidos ou a incapacidade de acessar os dados são medidos em minutos ou
até mesmo em segundos, as empresas não podem esperar vários dias para que os cibercriminosos lhes concedam acesso aos dados
hackeados. Portanto, os bancos estão armazenando bitcoins, já que leva de três a cinco dias para tê-los em estoque, de modo que
os seus clientes possam pagar os cibercriminosos imediatamente.11

3
GUIA SOBRE O RANSOMWARE: MAPEAMENTO DO CENÁRIO DE RANSOMWARE

COMO O RANSOMWARE OCORRE

DISTRIBUIÇÃO DO RANSOMWARE
Como é que o ransomware acontece? Vamos começar abordando como é distribuído. Qualquer meio digital pode ser usado: e-mail, anexos de
site da Web, aplicativos de negócios, mídias sociais e unidades USB, entre outros mecanismos de entrega digitais. Os e-mails continuam sendo
o principal vetor de entrega, sendo que os cibercriminosos preferem usar links em primeiro lugar e anexos, em segundo.
Links
nn de e-mail, 31% Anexos
nn de site da Web, 24% Mídias
nn sociais, 4%
Anexos
nn de e-mail, 28% Fontes
nn desconhecidas, 9% Aplicativos
nn de negócios, 1%

No caso dos e-mails, são enviados e-mails de phishing, como notificações de entrega ou solicitações falsas de atualização de software.
Quando o usuário clica no link ou no anexo, geralmente há (mas em menor frequência, recentemente), um download transparente de
componentes maliciosos adicionais que, em seguida, criptografam os arquivos com criptografia de chave privada RSA de 2.048 bits, tornando
quase impossível para o usuário descriptografar os arquivos. Em outras ocasiões, o ransomware é incorporado como um arquivo em um site
da Web, o qual, quando baixado e instalado, ativa o ataque.

DIFERENTES TIPOS DE RANSOMWARE

Os ataques de ransomware vêm em diferentes formas. No último ano, ocorreu uma evolução substancial em ataques de ransomware.
O ransomware tradicional persegue os seus dados, bloqueando arquivos até que o resgate seja pago. Mas, com o rápido crescimento de
dispositivos da Internet das Coisas (IoT), surgiu uma nova linhagem de ransomware. Ela não persegue os dados de uma organização, em vez
disso, ela objetiva o controle de sistemas (por exemplo, de veículos, de linhas de montagem de fabricação, de sistemas de energia) e os desliga
até que o resgate seja pago.
Observemos rapidamente alguns dos principais tipos de ransomware que existem atualmente:
Ransomware
nn disponível no mercado. Alguns tipos de ransomware existem como um software pronto para o uso que podem ser
adquiridos pelos cibercriminosos em mercados darknet e instalados em seus próprios servidores abomináveis. O hackeamento e a
criptografia de dados e sistemas são gerenciados diretamente pelo software executado no servidor do cibercriminoso. Exemplos de
ransomwares prontos para uso incluem o Stampado e o Cerber.
Ransomware
nn como um serviço. O CryptoLocker talvez seja o modelo de ransomware como um serviço mais conhecido. Como os
seus servidores foram removidos, o CTB-Locker surgiu como o método de ataque de ransomware como um serviço mais comum. Outro
ransomware como um serviço que está crescendo rapidamente é o Tox, um kit que os cibercriminosos podem fazer o download. O resultado
produz um arquivo executável dedicado que pode ser instalado ou distribuído pelos cibercriminosos, sendo que 20 por cento dos resgates
brutos são pagos ao Tox em bitcoins.
Programas
nn afiliados ao ransomware. Os cibercriminosos que se registram como afiliados obtêm acesso a um modelo de ransomware
como serviço e podem distribuí-lo à sua própria seleção de alvos, muitas vezes acumulando lucros de até 70 por cento.12

4
GUIA SOBRE O RANSOMWARE: MAPEAMENTO DO CENÁRIO DE RANSOMWARE

Ataques
nn a dispositivos IoT. O ransomware se infiltra em dispositivos IoT que controlam
os sistemas críticos de uma empresa. Ele desliga esses sistemas até que um resgate seja
INFECÇÕES BASEADAS EM SAAS
pago para desbloqueá-los. Uma vez que alguns destes dispositivos IoT controlam sistemas
críticos e vitais, os danos resultantes do não desbloqueio destes em tempo hábil podem ser Quando solicitados a indicar que
substanciais ou até mesmo catastróficos.13 aplicativos baseados em SaaS haviam
visto ser infectados por ransomware,
As famílias e variantes de ransomware explodiram em 2016, multiplicando-se por dez.
os profissionais de TI em uma pesquisa
O FortiGuard Labs detectou diversas variantes novas, todos os dias, durante o ano de
recente indicam:
2016. É interessante notar que, além do código polimórfico, o ransomware muitas vezes
usa o código metamórfico para mudar a sua identidade digital, enquanto opera do mesmo Dropbox,
nn 70%
modo. Este crescimento rápido e esta evolução constante tornam ainda mais difícil para as Microsoft
nn Office 365, 29%
organizações que contam com soluções tradicionais de antivírus baseadas em assinatura Google
nn Apps, 12%
acompanharem o ritmo. No momento em que uma linhagem é identificada e colocada na lista
Box,
nn 6%
negra, os cibercriminosos já mudaram para uma nova versão. Por isso, faz sentido que quase
três quartos das organizações que sofreram ataques de ransomware em 2016 tenham sofrido Salesforce,
nn 3%
uma ou mais infecções.14 EVOLUÇÃO DO RANSOMWARE16
Virtualmente qualquer sistema operacional é visado pelo ransomware atualmente. Os ataques Principais famílias do ransomware em 2016
também se estendem à nuvem e a dispositivos móveis. Por exemplo, os ataques de
1. Locky
ransomware ao Android mais do que quadruplicaram ao longo de um ano, iniciando-se em
abril de 2015.15 2. CryptoWall
3. CryptXXX
FLUXO DE TRABALHO TÍPICO DO RANSOMWARE 4. Bitman
Como a maior parte dos ataques de ransomware ocorre via spear phishing (pesca submarina), 5. Onion (CTB-Locker)
em que um e-mail, supostamente de um indivíduo ou de uma empresa conhecidos, é dirigido
Principais famílias do ransomware em 2015
a um indivíduo. Historicamente, a entrega do ransomware vem usando predominantemente o
spear phishing. Nesses casos, o e-mail inclui um link ou anexo infectado. Estes links ou anexos 1. CryptoWall
de e-mail são facilmente trocados, habilitando os cibercriminosos a preparar novos sites a 2. Blocker
granel ou anexos limitados a um simples código para download de componentes adicionais 3. Onion (CTB-Locker)
em uma ocasião posterior, habilitando-os a desviar-se de filtros de e-mail e aterrissar na caixa
de entrada do usuário final. 4. Snocry
5. Bitman
Em outras ocasiões, um usuário visita um site da Web ou um aplicativo comercial infectado,
a partir do qual o ransomware é lançado. Muitas vezes, o ransomware é configurado para
ser lançado e fazer o download da maior carga maliciosa, até mesmo sem que usuário clique
em qualquer coisa. Finalmente, em um número crescente de ocasiões, um dispositivo de IoT
infectado é usado para controlar — normalmente, para desligar — sistemas críticos para a
97% dos
e-mails com phishing agora
missão ou a vida. entregam ransomware.17
Presumindo-se que o ransomware seja lançado com sucesso, temos, a seguir, uma sequência SEM IMUNIDADE
de fluxo de trabalho típica:
As organizações que acreditam que estão
1. Quando o usuário clica em um link ou em um anexo infectado, o ransomware é lançado imunes a um ataque de ransomware
por meio de uma PowerShell ou outra extensão. porque têm todas as medidas de
2. O dispositivo infectado comunica-se com o servidor dos cibercriminosos (muitas vezes segurança básica instaladas precisam
através de um meio indireto como o Google Apps) para obter instruções. Isto, muitas repensar a situação. Em uma pesquisa
vezes, inclui o download de novas cargas, que subsequentemente irão criptografar junto a provedores de soluções
arquivos no dispositivo do indivíduo. hospedadas, a maioria tinha uma camada
3. Quando isto estiver concluído (às vezes, em questão de menos de um minuto), uma básica de defesa e segurança instalada.19
notificação de resgate é entregue com uma solicitação de bitcoins em troca de uma Software
nn de antivírus e antimalware, 93%
chave de descriptografia. Filtros
nn de e-mail e de spam, 77%
4. Ao mesmo tempo, o ransomware busca mover-se lateralmente em toda a rede da Aplicativos
nn “patched”/atualizados, 58%
empresa para infiltrar-se em outros sistemas.
Bloqueadores
nn de anúncios e
Uma estratégia recente dos hacktivistas de ransomware é visar e comprometer servidores pop-ups, 21%
comerciais vulneráveis.18 Isto os habilita a identificar e visar hosts, multiplicando o número de
TORNAR-SE VIRAL
potenciais servidores e dispositivos infectados em uma rede. Isto comprime o intervalo de
tempo do ataque, tornando o ataque mais viral do que aqueles que começam com um usuário O ransomware é viral, disseminando-se
final. Esta evolução pode traduzir-se no fato de as vítimas pagarem mais pelas chaves de por redes em 63 por cento do tempo.
descriptografia e em um alongamento do tempo para recuperar os dados criptografados. Nas ocasiões restantes, ele permanece
isolado em um sistema único.20

5
GUIA SOBRE O RANSOMWARE: MAPEAMENTO DO CENÁRIO DE RANSOMWARE

ATAQUES NA VIDA REAL

Quase todos os setores e tamanhos de organizações são afetados pelo ransomware. As empresas de manufatura estão no topo da lista
quando se trata de percentuais de ransomware total por setor (16 por cento). Os setores de serviços públicos e de energia encontram-se logo
a seguir, em segundo lugar (15,4 por cento), sendo que os setores de tecnologia, serviços profissionais, varejo, cuidados médicos, serviços
financeiros e jurídicos têm uma fatia substancial. Vários relatórios identificam o setor de serviços profissionais como uma área onde houve
o crescimento mais rápido em ataques de ransomware.
A seguir, temos um exame das implicações que o ransomware está tendo em alguns desses segmentos líderes do setor. O exame mostrará
exemplos específicos em que empresas foram hackeadas e não só pagaram o preço do resgate mas sofreram grave impacto financeiro e
operacional.

CUIDADOS MÉDICOS
O setor de cuidados médicos é um setor em que há muitas causas de preocupação relacionadas ao ransomware.
Isto faz muito sentido, considerando-se que muitos sistemas de TI e dados na área de saúde estão relacionados
a cuidados de pacientes. Qualquer tempo de inatividade do sistema ou a incapacidade de acessar as informações,
pode por vidas em risco. Mesmo que o ataque de ransomware não afete o sistema e os dados para os cuidados
do paciente, a perda de registros de pacientes pode incorrer em multas tangíveis e em tempo para remediar o dano.
Por meio da prática de doxxing, uma tática de ransomware empregada pelos cibercriminosos, na qual esses
ameaçam a publicar informações privadas em vez de excluí-las, as repercussões são ainda mais graves.
Se somarmos os ataques de ransomware aos dispositivos IoT usados para prover cuidados a pacientes,
estas implicações se tornam perigosas para a vida.
Os ataques não vão abrandar no próximo ano; prevê-se que os ataques de ransomware a organizações de
cuidados médicos dobrarão no próximo ano. Em comparação com outros segmentos do setor, as informações
pessoais sobre saúde são 50 vezes mais valiosas na darknet do que informações financeiras. Os registros de
saúde roubados podem angariar até US$ 60,00 por registro.21 São inúmeros exemplos de organizações de
cuidados médicos que estão sendo atingidas com o ransomware. Consideremos estes três exemplos:
Os hacktivistas obtiveram acesso a um banco de dados MongoDB que continha informações protegidas sobre
saúde de 200.000 pacientes do Emery Brain Health Center. O banco de dados foi varrido e substituído por um
pedido de resgate de US$ 180.000,00 em bitcoins para sua devolução segura.

6
GUIA SOBRE O RANSOMWARE: MAPEAMENTO DO CENÁRIO DE RANSOMWARE

O Hollywood Presbyterian Medical Center em Hollywood, na Califórnia, declarou um estado de emergência interno
após seus sistemas serem infectados com o ransomware Locky. Os médicos e outros profissionais da saúde
tiveram seus acessos aos registros médicos bloqueados, forçando a equipe a usar caneta e papel para registrar
os dados dos pacientes e fax (em vez de e-mails) para se comunicarem uns com os outros. O hacktivista exigiu,
e o hospital pagou, 40 bitcoins (ou aproximadamente US$ 17.000,00) em troca de uma chave para descriptografar
os arquivos bloqueados.
Mas, os cibercriminosos nem sempre concedem às vítimas o acesso às suas informações. No caso do Kansas
Heart Hospital em Wichita, Kansas, o hospital pagou o resgate inicial, mas os hacktivistas não desbloquearam
completamente os arquivos e exigiram mais dinheiro para fazê-lo. E foi nesse momento que o hospital se recusou
a pagar o resgate adicional.

SERVIÇOS PÚBLICOS E ENERGIA

Os setores de serviços públicos e de energia sofrem tantos ciberataques quanto qualquer outro setor. Os sistemas
de controle industrial (ICS) usados para gerenciar e operar a infraestrutura crítica para os as empresas de serviços
públicos e de energia representam novas oportunidades para os cibercriminosos — e isto inclui os hacktivistas
de ransomware.
Felizmente, no caso do Lansing Board of Water & Light que atende a cidade de Lansing, no Michigan, o seu ICS
não foi afetado por um ataque de ransomware de spear phishing que forçou a organização de serviços públicos
a desligar o seu servidor de computadores e suas linhas telefônicas por uma semana. Provavelmente o resultado
do fato de um dos funcionários abrir um e-mail que continha um arquivo infectado, o ransomware rapidamente
bloqueou a organização de serviços públicos do acesso aos seus e-mails, ao sistema contábil, às impressoras
e a outras tecnologias. Somente após uma semana de trabalhos de correção, a organização conseguiu colocar
seus sistemas de volta online.

MANUFATURA
A manufatura está se tornando rapidamente um alvo de grande valor para os hacktivistas de ransomware.
Os fabricantes correm um maior risco do que outros segmentos do setor, uma vez que não estão submetidos
às mesmas restrições regulatórias e de conformidade que outros ramos, como o de serviços financeiros.
Além dos sistemas de TI que contêm propriedade intelectual e informações patenteadas, os fabricantes dão
destaque a processos e operações eficientes. Uma interrupção pode incorrer em tempo de inatividade, o que se
traduz em menos rentabilidade financeira. Tempo é dinheiro para um fabricante. Assim, os fabricantes podem ver
um maior valor em pagar um resgate para colocar seus sistemas em funcionamento o mais rápido possível.
No ano passado, dos 8,63 milhões de ataques de ransomware a fabricantes registrados, mais de três quartos
foram a fabricantes com 1.000 funcionários ou mais. O botnet Necurs foi o veículo de entrega de ransomware mais
proeminente na fabricação, compreendendo 41 por cento de todos os ataques. O Conficker está em um distante
segundo lugar, com 17,7 por cento.23
Um fabricante de concreto sofreu com um tempo de inatividade de mais de uma semana, depois que um dos seus
funcionários clicou em um anexo de e-mail infectado com o ransomware CryptoWall. Ele se propagou pela rede da
empresa e criptografou os dados contábeis e arquivos críticos para vários sistemas produtivos. Ele foi descoberto
no início do expediente, quando um trabalhador não conseguiu acessar os arquivos de produção para iniciar a
fabricação. Mesmo mediante o pagamento do resgate, depois de dois dias, alguns dos seus arquivos contábeis
não foram desbloqueados. Sem backups desses dados, a empresa precisou empreender um demorado projeto
de recuperação do sistema contábil.

EDUCAÇÃO
As manchetes dos noticiários sobre ataques de ransomware tipicamente focam em violações nos setores de
cuidados médicos, serviços financeiros e outros. Mas o setor de educação está em um dos primeiros lugares
na lista de organizações que são visadas com o ransomware. Por quê? As instituições educacionais possuem
números de seguridade social, registros médicos, dados financeiros e de propriedade intelectual do corpo
docente, da equipe e dos estudantes, tornando-as alvos lucrativos. Somemos o fato de que a prontidão para
a segurança cibernética está entre as últimas entre os segmentos setoriais para escolas de ensino fundamental
e médio e escolas pós-secundárias, faz todo o sentido que os cibercriminosos as estejam visando.
A Universidade de Calgary sofreu um ataque de ransomware que bloqueou o servidor de e-mails. A universidade
pagou um resgate de US$ 16.000,00 em troca de uma chave para desbloquear os arquivos criptografados do
servidor. Felizmente a equipe de TI isolou a infiltração antes que outros sistemas fossem afetados.

7
GUIA SOBRE O RANSOMWARE: MAPEAMENTO DO CENÁRIO DE RANSOMWARE

A Los Angeles Valley College pagou aproximadamente US$ 28.000,00 em bitcoins depois que um ataque de
ransomware atacou centenas de milhares de arquivos na sua rede de computadores e os sistemas de e-mail
e a caixa postal. A infecção foi identificada em 30 de dezembro de 2016 e a universidade optou por pagar
o resgate em 4 de janeiro de 2017, um dia depois de iniciar as aulas do semestre de inverno.
O ransomware na educação é um problema global. A Queen’s University, em Belfast, Irlanda, o sabe. Três ataques
de ransomware infiltraram-se com sucesso em sua rede no ano passado. Em uma ocasião, a Queen’s University
pagou um resgate de aproximadamente US$ 600,00 depois que os hacktivistas infectarem um servidor de
Windows XP, contendo documentos e imagens.

SERVIÇOS FINANCEIROS E BANCÁRIOS

O volume de informações que o setor de serviços financeiros e bancários armazena sobre seus clientes o torna
o principal alvo para ataques de ransomware. As empresas de serviços financeiros e bancários concordam. Para
55 por cento o ransomware é listado como o maior vetor de ameaça de ataques cibernéticos. Quase um terço
delas também diz que perderam entre US$ 100.000,00 e US$ 500.000,00 devido a ataques de ransomware.24
As cooperativas de crédito e os pequenos bancos estão assistindo a saltos significativos no hacktivismo de
ransomware. Elas sofreram 54 por cento do total de incidentes em serviços financeiros e bancários em 2015, em
comparação com 81 por cento em 2016.25 Isto é, em grande medida, devido ao fato de que elas tradicionalmente
têm orçamentos de segurança cibernética menores do que seus concorrentes maiores.

GOVERNO
Quase 10 por cento das organizações que sofreram o impacto de um ataque de ransomware estão no
setor público. Contendo informações críticas nos seus sistemas, as agências governamentais oferecem ao
cibercriminosos um alvo atraente.
No ano passado, o estado de Ohio emitiu um aviso às municipalidades locais, observando que os ataques de
ransomware estão em aumento acentuado e que as municipalidades locais precisam atentar para essas ameaças
instituindo as tecnologias e os processos corretos.
Múltiplas municipalidades locais de Ohio foram atingidas com ransomware durante o último ano. Mais de
170.000 registros eleitorais no condado de Henry foram comprometidos, sendo que os hacktivistas ameaçaram
publicá-los a não ser que fosse pago um resgate. Nenhum resgate foi pago e os registros ainda não foram
publicados até esta data.
Os sistemas de computadores para o tribunal do condado de Morrow, em Ohio foram infectados por ransomware.
O condado optou por não pagar o resgate em bitcoins e os arquivos foram destruídos pelos cibercriminosos.
Infelizmente, os sistemas de backup do sistema do tribunal não estavam atualizados e o condado de Morrow
possuía apenas arquivos em cópia física para backup. Restaurar os arquivos a partir das cópias físicas custou
ao condado mais de US$ 30.000,00 em custos com funcionários.
Os cibercriminosos estão até mesmo visando organizações policiais. Os sistemas de computador usados pelo
escritório do xerife do condado de Lincoln no Maine foram infectados por ransomware. Depois de tentar várias
vezes recuperar as informações, a agência policial optou por pagar aproximadamente US$ 300,00 em bitcoins
ao hacktivista pelas informações.

8
GUIA SOBRE O RANSOMWARE: MAPEAMENTO DO CENÁRIO DE RANSOMWARE

LIÇÕES APRENDIDAS
Com os cibercriminosos obtendo um aumento de trinta e cinco vezes em seus rendimentos resultantes dos ataques de ransomware em 2016,
a frequência e a sofisticação dos ataques vai muito seguramente aumentar em velocidade e escopo. Seria bom se as organizações prestassem
atenção às seguintes lições aprendidas, à medida que o ransomware evolui e sofre mutações, tornando-se uma ameaça sempre crescente às
organizações de virtualmente qualquer formato e tamanho:
1. Parar ameaças conhecidas. Buscar uma solução de segurança cibernética que pare as ameaças de ransomware conhecidas em todos
os vetores de ataque. Isto requer um modelo de segurança em camadas que inclua a rede, o endpoint, o aplicativo e os controles do
centro de dados, movido à inteligência de ameaça global proativa.
2. Detectar novas ameaças. Uma vez que os ransomware estão em constante transformação e novos estão sendo lançados, é importante
instituir a área restrita correta e outras técnicas de detecção avançadas para apontar as variantes em todos aqueles mesmos vetores.
3. Mitigar o invisível. A inteligência acionável em tempo real deve ser compartilhada entre as diferentes camadas de segurança (e, em geral,
produtos de fornecedores) e até mesmo estendida à comunidade de segurança cibernética mais ampla fora da sua organização, como
Computer Emergency Response Teams (CERTs), Information Sharing and Analysis Centers (ISACs) e coalizões industriais como a Cyber
Threat Alliance. Este compartilhamento rápido é a melhor maneira de responder rapidamente a ataques e romper a cadeia de abate antes
que esta sofra uma mutação ou se espalhe para outros sistemas ou organizações.
4. Preparar-se para o inesperado. A segmentação da segurança de redes ajuda a proteger contra o comportamento semelhante
ao de worm do ransomware, como aquele do SamSam e ZCryptor. O backup e a recuperação de dados têm a mesma importância.
As organizações que têm backups de dados recentes são capazes de rejeitar exigências de resgate e de recuperar seus sistemas de
forma rápida e fácil.
5. Fazer backup de sistemas e dados críticos. Embora possa ser um processo moroso restaurar e criptografar um sistema, bem como
uma interrupção das operações comerciais e uma diminuição da produtividade, a restauração de um backup é uma opção muito melhor
do que tornar-se refém sem garantia de que o seu pagamento do resgate resulte no desbloqueio e na restauração dos seus dados e
sistemas. Neste caso, você precisa da tecnologia, dos processos e até mesmo do parceiro comercial corretos para garantir que seus
backups de dados atendam aos requisitos da empresa e que sua recuperação possa ser feita rapidamente.

9
GUIA SOBRE O RANSOMWARE: MAPEAMENTO DO CENÁRIO DE RANSOMWARE

1
“The Digital Universe of Opportunities: Rich Data and the Increasing Value of the Internet of Things,” IDC, abril de 2014.
2
“Non-Malware Attacks and Ransomware Take Center Stage in 2016,” Carbon Black Threat Report, 2016.
3
Minal Khatri, “Ransomware Statistics – Growth of Ransomware in 2016,” Systweak, 25 de agosto de 2016.
4
“Non-Malware Attacks.”
5
Ibid.
6
Khatri, “Ransomware Statistics.”
7
“State of the Channel Ransomware Report 2016,” Datto, 2016.
8
Angela Moscaritolo, “Ransomware Hit 40 Percent of Businesses in the Last Year,” PC Magazine, 3 de agosto de 2016.
9
Ibid.
10
“Non-Malware Attacks.”
11
Adam Chandler, “How Ransomware Became a Billion-Dollar Nightmare for Businesses,” The Atlantic, 3 de setembro de 2016.
12
Vincent Weafer, “Franchising Ransomware,” DARKReading.com, 1 de julho de 2015.
13
Ben Dickson, “What Makes IoT Ransomware a Different and More Dangerous Threat?” TechCrunch, 2 de outubro de 2016.
14
“The Complete Guide to Ransomware,” Barkly, acessado em 30 de janeiro de 2017.
15
“Khatri, “Ransomware Statistics.”
16
“Non-Malware Attacks.”
17
“2016 Q3 Malware Review,” PhishMe, outubro de 2016.
18
“Ransomware Getting More Targeted, Expensive,” KrebonSecurity.com, 20 de setembro de 2016.
19
“State of the Channel Ransomware Report.”
20
Ibid.
21
Jennifer Schlesinger, “Dark Web Is Fertile Ground for Stolen Medical Records,” CNBC, 11 de março de 2016.
22
Erin Dietsche, “12 Healthcare Ransomware Attacks of 2016,” Health IT & CIO Review, 29 de dezembro de 2016.
23
Bill McGee, “Move Over Healthcare, Ransomware Has Manufacturing in Its Sights,” Fortinet Blog, 6 de junho de 2016.
24
G. Mark Hardy, “From the Trenches: 2016 Survey on Security and Risk in the Financial Sector,” SANS Institute, outubro de 2016.
25
“Cyber Attacks on Financial Firms Up; Ransomware Attacks Way Up,” Insurance Journal, 22 de julho de 2016.

SEDE MUNDIAL ESCRITÓRIO DE VENDAS EMEA ESCRITÓRIO DE VENDAS SEDE da AMÉRICA LATINA
Fortinet Inc. TOUR ATLANTIQUE APAC Sawgrass Lakes Center
899 Kifer Road 11ème étage, 1 place de la 300 Beach Road 20-01 13450 W. Sunrise Blvd., Suite 430
Sunnyvale, CA 94086 Pyramide The Concourse Sunrise, FL 33323
Estados Unidos 92911 Paris La Défense Cedex Singapura 199555 Tel.: +1.954.368.9990
Tel.: +1.408.235.7700 France Tel.: +65.6513.3730
www.fortinet.com/sales Ventes: +33-1-8003-1655

Copyright © 2017 Fortinet, Inc. Todos os direitos reservados. O Fortinet®, FortiGate®, FortiCare®, FortiGuard® e algumas outras marcas são marcas registradas da Fortinet, Inc., e outros nomes da Fortinet neste documento também podem ser
marcas registradas e/ou de direito comum da Fortinet. Todos os outros nomes de produtos ou de empresas podem ser marcas comerciais de seus respectivos proprietários. O desempenho e outras métricas aqui contidas foram obtidos em testes
laboratoriais internos sob condições ideais; o desempenho real e outros resultados podem variar. Variáveis de rede, ambientes de rede diferentes e outras condições podem afetar os resultados de desempenho. Nada neste documento representa
qualquer compromisso vinculativo da Fortinet e a Fortinet renuncia a todas as garantias, expressas ou implícitas, exceto na medida em que a Fortinet celebre um contrato de vinculação por escrito, assinado pelo conselho geral da Fortinet, com
um comprador que garante expressamente que o produto identificado operará de acordo com determinadas métricas de desempenho expressamente identificadas e, nesse caso, apenas as métricas de desempenho específicas identificadas
expressamente em tal contrato de vinculação por escrito serão vinculativas à Fortinet. Para absoluta clareza, qualquer garantia será limitada ao desempenho nas mesmas condições ideais dos testes laboratoriais internos da Fortinet. A Fortinet
renuncia por completo a quaisquer convênios, representações e garantias nos termos do presente, expressas ou implícitas. A Fortinet reserva-se o direito de alterar, modificar, transferir ou revisar esta publicação sem aviso prévio, e a versão mais atual
da publicação será aplicável. A Fortinet renuncia por completo a quaisquer convênios, representações e garantias nos termos do presente, expressas ou implícitas. A Fortinet reserva-se o direito de alterar, modificar, transferir ou revisar esta publicação
sem aviso prévio e a versão mais atual da publicação será aplicável. 09 de fevereiro de 2017