Por Sergio Pohlmann* – É claro que você já escutou falar deles!
Não é necessário ser um profissional de Segurança da Informação, para deparar-se, cada vez com mais frequência, com empresas, pessoas, e entidades, que sofreram um ataque de um Ransomware.
Se você for “da área”, com mais razão, estará com a mente ocupada, com esta, já conhecida, modalidade de ataque, que, em alguns casos, cai de forma fulminante sobre empresas, dos mais diversos portes.
E quem já sofreu um ataque, e teve que recuperar o ambiente, seguramente, passeou pelas ruelas do stress, do sono, da corrida contra o tempo, da apreensão, da pressão, do desespero.
Mas, como funciona um ataque de Ransomware? Como proteger-se? Quais os riscos? Quais as consequências? Como recuperar-se, depois de haver sido atacado?
Tratarei de ser rápido e objetivo, nas definições e sugestões, para aqueles que desejem complementar seu conhecimento sobre o tema. Isto não será um artigo técnico profundo, mas, sim, um artigo direcionado para profissionais de todas as áreas, de forma simples, e acessível.
Vamos lá:
Primeiro, contextualizando, um Ransomware é um ataque informático, que já possui muitos anos de existência, e que, com o passar dos tempos, vem se tornando mais eficiente, mais assertivo, e mais fatal. Mas, acima de tudo, constitui um negócio que move milhões, e, este, é o grande motor deste tipo de ataque.
Como assim? Negócio?
Sim! Negócio! Em um passado longínquo (nem tão distante assim… estamos falando das décadas de 80, 90), quem desenvolvia vírus de computadores, tinha como principal objetivo, na maioria das vezes, demonstrar que sabia, ou “mover o mundo” com algum tipo de “hacktivismo”. Hoje, o Ransomware se transformou em uma impressionante fonte de ingressos, a tal ponto, que existem empresas (no submundo da tecnologia), que “alugam” Ransomwares por um valor específico, ou, mesmo, por “participação nos resultados”. Só este fato (creia-me: é um fato comprovado) já é suficiente para por os especialistas de SI (Segurança da Informação) das empresas, de cabelo em pé!
Pois, não bastasse tal constatação, alguns Ransomwares e alguns times de ataques, que os utilizam, vêm oferecendo “participação nos resultados”, para funcionários de empresas várias. Ou seja, subornam funcionários, para que “facilitem” a entrada e execução do Ransomware.
O funcionamento do “bicho” é, relativamente, fácil de entender: Ele localiza arquivos que considera úteis para os usuários, utiliza uma técnica sofisticada de encriptação, com uma chave (senha complexa) que só é conhecida por quem controla o Ransomware.
Arquivos encriptados seguem existindo, mas são completamente inúteis, pois são ilegíveis para os programas e pessoas que os utilizam. Uma vez encriptados os dados, o Ransomware solicita um pagamento para que sejam “resgatados” os dados, através do fornecimento da chave de encriptação, que pode fazer com que tudo volte ao estado anterior.
O pagamento do “resgate” costuma ser através de alguma moeda digital, para que seja mais difícil rastrear o destino do dinheiro.
De uma forma resumida, é assim.
Mas, vejamos a anatomia de um ataque por Ransomware, e isto nos abrirá novas possibilidades:
Anatomia de um ataque
Observações:
Ativo: Qualquer coisa que agregue valor ao negócio. Um computador, um Sistema, um banco de dados, uma casa, um produto do estoque, um conhecimento específico, etc.
Vulnerabilidade – Todos os ativos possuem vulnerabilidades. São “fraquezas”, que, se exploradas adequadamente, podem permitir a um atacante, o acesso indevido, ou o dano ao ativo.
Primeiro vem o acesso
Em um primeiro momento, é necessário um acesso ao ambiente computacional a ser atacado. Este acesso pode dar-se através de execução de programas de “força bruta”, com a tentativa de encontrar senhas fáceis, pode dar-se através da exploração de uma vulnerabilidade específica, da violação de algum serviço ou dispositivo exposto à internet, ou, mais comumente, através de técnicas de Engenharia Social, onde por exemplo, o atacante envia, para um funcionário da empresa alvo, um arquivo malicioso, um endereço falsificado de alguma página web, através de um e-mail , uma mensagem SMS, ou através de link por algum aplicativo de mensagem.
Esta técnica de utilizar-se das vulnerabilidades humanas, para fazer com que alguém, de dentro da empresa, execute um arquivo, ou acesse um link, ou, ainda, abra uma porta de acesso ao seu computador, sem saber, é conhecida como “Phishing”.
Consolidando a infecção
Agora, que o Ransomware já está na rede da empresa, ele precisa consolidar-se. Atacar um só equipamento, em uma organização com centenas de computadores, seria, como mínimo, pouco produtivo.
Para alastrar-se, como se fora um vírus, ele trata de realizar o que chamamos de “movimentos laterais”, contaminando outros computadores, cujo acesso seja parecido ao anterior; tentando melhorar o acesso para penetrar em contas com maiores privilégios (escalação de privilégios); ou, ainda, ativando-se como modo “bomba de tempo”.
Este modo “bomba de tempo” merece uma observação especial: Ainda que são poucos os Ransomwares que utilizam esta técnica (por enquanto), ela consiste em ir contagiando o maior número de computadores possível, mas sem ativar os mecanismos de encriptação. O motivo disto é que, assim, ele tem tempo de infectar mais equipamentos, e todos ficarão aguardando um determinado momento, para proceder a encriptação, simultaneamente, fazendo com que o dano seja muito maior.
Agora, o tchan final
Finalmente, no momento final do ataque aos arquivos, o Ransomware procede à encriptação, trata de evitar que se consigam utilizar técnicas mais comuns de recuperação (destruindo cópias internas de pontos de recuperação, que existem em algumas instalações), e deixa seu rastro característico, de manter vários arquivos com o aviso sobre o ataque, e o pedido de resgate.
Na maioria das vezes, o pedido de resgate apresenta um prazo, que, uma vez transcorrido, sem pagamento, acarreta um aumento no valor do resgate. Em alguns casos mais atuais, especialmente devido ao rigor das Leis de Proteção de Dados Pessoais, por todo o mundo, como é o caso da nossa LGPD, alguns Ransomwares estão procedendo à chamada “dupla extorsão”, onde, não só o atacante ameaça deixar os dados encriptados, prejudicando, portanto, seu acesso, por parte da empresa, como, também, ameaça “vazar” os dados para o público, gerando graves prejuízos à reputação da empresa, além de expor à mesma à multas e outras penalidades. Este vazamento costuma ser conhecido como “exfiltração de dados”.
Claro que estamos resumindo (muito), o funcionamento do carinha. Mas, em síntese, é assim que ele age.
E se a empresa já foi atacada?
Agora, se a empresa já foi atacada, como proceder para solucionar o problema?
Primeiro, pensemos nas consequências do problema. Como seria sua empresa, sem poder utilizar nenhum dos seus contratos, documentos, ou arquivos vários? Um caos? Na maioria dos casos, é mais do que um caos (eu brincaria, dizendo que são dois caos e meio).
Toda uma empresa parada devido a um ataque fulminante aos servidores da mesma. Como fazer? Como recuperar o ambiente?
a primeira opção é o pagamento do resgate.
Bom, a primeira opção é o pagamento do resgate. Ele costuma situar-se entre alguns milhares de reais, indo até alguns poucos milhõezinhos de dólares. Pagar é uma opção, claro. Mas não há garantia de que o atacante cumpra com sua parte, além de que, se a empresa sofreu mais de uma encriptação, possuirá arquivos que, possivelmente, já não conseguirão ser desencriptados (não, não é impossível! Muitas empresas são infectadas, simultâneamente, por dois ou mais ransomwares). Além do quê, na opinião de muitos profissionais de SI (compartilho), não se deve pagar o resgate, pois isto só reforça o ato criminoso como algo que possui resultado positivo para o atacante.
tentar a desencriptação dos arquivos
Outra alternativa é tentar a desencriptação dos arquivos. Isto é possível, em alguns poucos casos, graças a que algumas iniciativas de empresas de segurança conseguiram encontrar chaves válidas, para alguns Ransomwares conhecidos. Se a empresa tiver muita sorte, e sofrer um ataque de um destes Ransomware conhecidos, poderá tentar reverter o processo através destes projetos.
DR (Disaster Recovery)
Finalmente, a outra forma de recuperar-se de um ataque destes é o DR (Disaster Recovery), que passa pelo processo de recuperar backups (cópias) anteriores, perdendo, assim, um mínimo de dados, mas, tratando de retornar ao funcionamento do sistema, no menor tempo possível. O DR não é um processo simples. Depende de tecnologia, de máquinas atualizadas e eficientes, de processos seguros e eficazes de backup e de restauração, de profissionais preparados e qualificados, e de uma série de outros fatores que podem complicar a restauração dos dados.
Lembra do modo “bomba de tempo”? Se você restaurar o backup de ontem, quando o ransomware já estava atuando neste modo, você voltará a sofrer o mesmo ataque. Ou seja, é necessário localizar e restaurar um backup “sadio”.
Aqui cabe observar que a empresa deve dispor de um bom Plano de Continuidade de Negócios, para tratar de manter-se em pé, ao mesmo tempo que deve possuir um bom Plano de Resposta a Incidentes, para otimizar os passos da recuperação.
Tudo isto custa dinheiro, e, no passado, na maioria das vezes, foi negligenciado, justamente, por ser considerado um “custo”.
Na minha opinião, Segurança da Informação e Tecnologia da Informação, são ‘investimentos”, faz tempo!
Quem pensa que se tratam de setores auxiliares ao negócio, com todo o respeito, na minha opinião, não se dá conta de que TI e SI são parte do “Core Business”.
Há anos, deixaram de ser ferramentas e expectadores, para serem protagonistas da história das empresas modernas, e, hoje, são parte fundamental do produto de qualquer empresa.
Então, o investimento na prevenção, na tecnologia, devem ser urgentes, e não devem obviar necessidades e recursos. O que deve ser feito, deve ser feito!
Segurança 100% nunca vai haver, e a possibilidade de que sua empresa sofra um ataque, sim, tende ao 100%. A cada dia que passa a sua segurança diminui e o seu risco aumenta!
Para completar, o fator mais importante desta cadeia de medidas que devem ser tomadas, é a conscientização do usuário. Aquilo que chamamos de “User awareness”, é o conhecimento que se transmite ao usuário das empresas, para que eles sejam alvos mais difíceis, para os ataques de phishing, para as tentativas de engenharia social, para os subornos, e, até para que eles saibam o que fazer, nos momentos mais difíceis, de um ataque.
Investir em conscientização do usuário, é a medida mais barata e mais eficiente, para ampliar a proteção da sua empresa.
Bem-vindos ao mundo moderno, onde a selva de pedra é feita de silício, onde os pterodátilos passeiam pelas nuvens, e onde as cavernas tem portas com controle de acesso e sistemas de refrigeração controlada! E os habitantes de Neandertal caçam bichinhos irritantes e invisíveis, chamados Ransomwares!
*Sergio Pohlmann CISSP – C|CISO – ISO 27701 Segurança da Informação e Privacidade- LGPD.