Ransomware: Prevenir é bem mais barato do que remediar

por

Com mudanças sutis de tática e de perfil das vítimas, a indústria do sequestro de dados segue bem ativa, especialmente entre as pequenas e médias empresas.

Os Ransomware – tipo de software malicioso que se caracteriza por bloquear o acesso da vítima aos seus dados e cobrança de resgate – seguem fazendo vítimas em todo o mundo entre empresas de todos os tamanhos. Mais de dois anos depois do WannaCry ter infectado mais de 300.000 computadores em todo o mundo, muitas empresas ainda ignoram o impacto que isto pode ter no seu negócio.

Mr.Dec ransomware ou uma de suas variantes, fazendo vítimas desde maio de 2018. O valor do resgate vai aumentando com o passar do tempo para pressionar a vítima

Em especial, as pequenas e médias empresas são altamente vulneráveis. Sem preocupação específica com a segurança e levadas pela crença de que o antivírus é capaz de protegê-las destas ameaças, frequentemente se deparam com a perda dos seus dados e com resgates além de sua capacidade financeira.

Menos de 3 horas depois de instalado, o servidor já virou alvo de ataque

Entre as técnicas mais comuns hoje em dia estão a ausência de um instalador do ransomware, (o mesmo roda em memória ou se apaga ao final do processo de criptografia dos arquivos), dificultando a sua detecção por antivírus, e a propagação usando o serviço de Remote Desktop do Windows.

Várias famílias de ransomware usam atualmente o serviço de Remote Desktop do Windows para infectar as empresas. O RDS permite o acesso remoto à console do servidor e é extremamente útil para trabalho remoto ou para suporte técnico fora da empresa. Infelizmente o uso do RDS em conjunto com a escolha ruim de senhas torna este serviço uma porta de entrada para os ataques.

Em um experimento, subimos uma VM na nuvem com o serviço de RDS publicado na internet. Menos de 3 horas depois de instalado, o servidor já virou alvo de ataque sistemático de tentativas de quebra de senha. Com a paciência infinita dos bots, é questão de tempo até o ataque ter sucesso e o servidor ser infectado. O resgate pode chegar a dezenas de milhares de reais mesmo para pequenas empresas.

Evento 4625 – Falha de logon por usuário ou senha inválidos. A origem? Um IP russo.

Além da publicação insegura de serviços na internet, organizações menores frequentemente tem uma outra prática pior ainda: o backup sendo feito de forma incorreta (ou mesmo nem sendo feito).

No mundo das PMEs, é possível encontrar as situações mais diversas: Empresas que não fazem nenhum tipo de backup dos dados do servidor, empresas que fazem o backup para um HD externo conectado o tempo todo no servidor e até mesmo quem faça o backup para outra partição dentro do mesmo disco do mesmo servidor. Na prática, a empresa não tem de fato uma cópia de segurança dos seus dados.

Nos exemplos que já vimos em empresas que usam os métodos acima, infelizmente não houve como recuperar os dados (à exceção de um caso que optou pelo pagamento do resgate).

Soluções de backup na nuvem são cada vez mais simples, poderosas e baratas, deixando uma cópia dos seus dados fora do alcance do ransomware ou de outras ameaças. Adotar uma solução de backup confiável e revisar a segurança da sua infraestrutura TI sai bem mais barato do que perder os seus dados, acredite!

Quer saber como se manter seguro? Fale com a gente!

Categoria : Ataques
Tags : , , ,