Há uma nova vaga de ataques de ransomware: descubra como pode proteger-se
Vários tipos de organizações a nível mundial têm registado uma onda de ataques informáticos do tipo ransomware. Esta ameaça resulta da cada vez maior sofisticação dos métodos de intrusão utilizados pelos piratas informáticos e, em alguns casos, do desmazelo das vítimas em termos da segurança das suas infraestruturas de Tecnologias de Informação (TI), bem como de comportamentos inseguros por parte dos seus colaboradores.
Recentemente, investigadores de segurança descobriram um novo botnet que está a atacar sistemas Windows vulneráveis com uma ligação de Remote Desktop Protocol (RDP) exposta à Internet. Designado GoldBrute, este malware compilou uma lista de mais de 1,5 milhões de sistemas únicos que podem ser pirateados através de ataques de força bruta ou de preenchimento de credenciais. Estão em causa mais de 2 milhões de máquinas e como o GoldBrute mantém uma pesquisa contínua da vulnerabilidade na web, a lista de potenciais alvos vai aumentando continuamente. O interesse de cibercriminosos em servidores RDP aumentou depois da descoberta do BlueKeep, uma vulnerabilidade crítica no código de execução de Remote Desktop Services (RDS) do Windows.
Outra ameaça latente e que visa especificamente os ambientes empresariais é o Ryuk, um tipo de ransomware que se infiltra no sistema, cifrando os dados e plataformas e tornando-os inutilizáveis. Este é uma evolução do ransomware Hermes e até agora foi utilizado para fazer ataques precisos e direcionados, ao contrário da maioria do ransomware que é distribuído sistematicamente através de campanhas massivas de spam.
Cada vez mais os cibercriminosos apostam na especialização num único tipo de ataque, havendo vários grupos dedicados a apenas uma tática de intrusão. Desde o desenvolvimento de malware, passando pela criação de emails para phishing ou de sites para recolher dados de potenciais vítimas, muitas são as estratégias utilizadas nestes ataques que podem perturbar seriamente as operações das empresas e organizações afetadas, com elevados custos financeiros e de reputação.
Ataques de ransomware por falta de investimento em segurança
A cidade de Baltimore, nos EUA, é um dos casos recentes que reflete como poupar em segurança informática pode acarretar sérios problemas em termos monetários e de operacionalidade. Um grande ataque informático à infraestrutura de TI da Câmara local, a 7 de maio passado, parou vários serviços cruciais da autarquia.
O ataque com um ransomware denominado “RobbinHood” afetou linhas de telefone e emails, a base de dados de multas e os sistemas de pagamento da água e de impostos sobre imóveis e veículos. Isto levou a que milhares de dólares ficassem por cobrar. O presidente da Câmara de Baltimore, Bernard Young, aponta para danos superiores a 18 milhões de dólares, sendo que 8 milhões são relativos a pagamentos que não foram processados devido ao ataque.
Milhões de dólares de prejuízos para Baltimore que já tinha sido alvo de outro ataque informático, em 2018, que afetou o sistema de chamadas de emergência da cidade. A Câmara não parece ter aprendido com a lição. E uma análise efetuada ao ataque deste ano concluiu que os cibercriminosos aproveitaram o facto de o sistema informático da autarquia estar desatualizado em termos de segurança e de infraestrutura. A imprensa local destaca que o município tem negligenciado o investimento na infraestrutura tecnológica, prevendo apenas 2,5% do orçamento anual para operações de TI.
O ataque a Baltimore surgiu poucos dias depois de a cidade de Atlanta ter sofrido uma intrusão semelhante com ransomware que afetou centenas de programas de software, muitos dos quais críticos para a funcionalidade da cidade. No caso de Atlanta, o pedido de resgate já vai nos 21 milhões de dólares.
As duas cidades norte-americanas são apenas o exemplo do que pode acontecer em muitos outros casos, com especialistas de segurança a alertarem que ataques similares podem ocorrer, a nível mundial, noutras organizações e empresas, seja por falta de investimento em segurança ou por mero desconhecimento e interesse em apostar nesta vertente. E também por não se querer aprender com os erros dos outros.
Como evitar um ataque de ransomware
O primeiro passo para evitar um ataque de ransomware passa por fazer uma análise profunda à infraestrutura de TI, para perceber se está devidamente atualizada e protegida contra eventuais ataques. Pode recorrer-se a uma empresa externa especializada, como a Eurotux, para levar a cabo uma averiguação mais independente e conhecedora. Este será o procedimento ideal porque um olhar distanciado da realidade da empresa pode permitir detetar mais facilmente potenciais falhas e riscos.
Essencial para evitar um ataque de ransomware é apostar em soluções de segurança state of the art capazes de fazerem face às ameaças mais sofisticadas. A Sophos, parceira da Eurotux, oferece ferramentas de segurança de próxima geração, como é o caso do Sophos Intercept X que é considerado, atualmente, a solução de proteção endpoint mais completa do mercado. Esta solução está em constante evolução e melhoria, incluindo redes neurais de deep learning que bloqueiam ameaças de malware, incluindo ransomware. O Intercept X Advanced com EDR (Endpoint Detection and Response) reforça as capacidades de segurança na deteção e na análise avançadas de ameaças, bem como na remediação de incidentes.
A Sophos disponibiliza ainda o Intercept X para Servidores, apostando numa estratégia de segurança preditiva com base na Inteligência Artificial para detetar características suspeitas em códigos potencialmente maliciosos. Os ataques a servidores são muito nefastos para as operações de uma empresa ou organização, ainda mais do que os ataques a endpoints individuais, dado que preservam os dados vitais do negócio e/ou atividade. A solução da Sophos permite manter a operacionalidade de forma mais descansada perante a capacidade de constante aprendizagem e evolução.
Adicionalmente, quando o ataque já ocorreu, é fundamental garantir a existência de cópias de segurança validadas para recuperar um estado coerente dos serviços. Também é crucial reforçar a capacidade técnica para apoiar a rápida recuperação das infraestruturas, complementando as equipas internas, nomeadamente com uma equipa de resposta rápida com densidade de competências como a que é disponibilizada pela Eurotux.
Mas cada realidade pode exigir soluções diferenciadas, conforme as necessidades e características peculiares da situação. A Eurotux presta serviços de análise e aconselhamento neste âmbito, ajudando os seus clientes a escolher as melhores ferramentas para proteção da sua infraestrutura de TI.
Se está preocupado com a segurança da sua empresa, não hesite em contactar-nos.
