Recursos/White Papers

Notícias

CAIS e Aon emitem recomendações para evitar ataques de ransomware como o Petya

Manter o sistema operacional e o sistema antimalware atualizados são algumas das medidas a serem tomadas. Mas não bastam

Da Redação

Publicada em 29 de junho de 2017 às 08h31

Ao atingir os sistemas de computadores de milhares de usuários e empresas em centenas de países ao redor do mundo, os vírus WannaCry e Petya conseguiram fazer em alguns dias o que a indústria de segurança digital vem tentando há anos: conscientizar a sociedade sobre a gravidade do risco cibernético. De acordo com estimativas da consultoria e corretora de seguros Aon, 100% das empresas do mundo já sofreram algum tipo violação em seus bancos de dados. O problema é que muitas vezes os hackers operam por meses sem nunca serem descobertos.

Diante da impossibilidade de se proteger totalmente de ataques e códigos maliciosos, as empresas precisam tomar alguns cuidados para lidar mais adequadamente com as consequências em casos de violações. “Algumas invasões são realmente inevitáveis, mas nem todas elas têm potencial para causar grandes danos. Nós medimos a gravidade de um ataque cibernético pelo número de pessoas impactadas e pelo custo financeiro da solução”, explica Jesus Gonzalez, vice-presidente de Risco Cibernético da Aon.

O problema
O que fez esses últimos casos de ransomwares tomarem proporções tão grandes é sua forma de se disseminar, explica o analista do Centro de Atendimento a Incidentes de Segurança da RNP (CAIS), Rildo Souza.

“Existem duas formas desses novos ransomwares se espalharem, eles podem explorar uma vulnerabilidade do protocolo que é utilizado para compartilhamento de arquivos e impressoras no sistema operacional Microsoft Windows e/ou podem utilizar as ferramentas PSEXEC e WMIC, funções do Windows que permitem a administradores a capacidade de gerenciar computadores remotamente e em massa para infectar outros hosts. Ao infectar uma única máquina em uma rede corporativa, por exemplo, o malware se espalha automaticamente para as demais. Assim, basta que o sistema operacional Windows< de um computador não esteja atualizado e/ou que as ferramentas mencionadas acima estejam habilitadas no sistema para que ele seja infectado”, afirma Rildo.

Segundo Souza, para se prevenir de ataques como este, manter o sistema operacional e o sistema antimalware atualizados são algumas das medidas a serem tomadas. Segundo ele, a vulnerabilidade explorada por ataques como o WannaCry e NotPetya teve uma correção disponibilizada pela Microsoft em março, quase dois meses antes desses ataques. No entanto, muitos administradores de sistemas não fizeram a aplicação desta correção nos computadores, deixando redes inteiras vulneráveis.

“O novo ataque do ransomware NotPetya incrementou o modelo de disseminação utilizado pelo WannaCry e agora, mesmo que o usuário tenha aplicado o patch de correção da vulnerabilidade envolvendo o protocolo de compartilhamento de recursos do Windows, ele pode ser infectado, visto que esse novo ransomware se espalha na rede local usando as ferramentas administrativas do sistema mencionas acima”, explica.

Petya

O analista de segurança do CAIS, Yuri Alexandro, acrescenta que o ransomware NotPetya é ainda mais temerário por comprometer arquivos de inicialização do sistema operacional, fazendo com que o usuário perca acesso total ao sistema após o seu reinício. “Esse malware especificamente cifra os arquivos da tabela de partição de inicialização do sistema, fazendo com que o usuário perca completamente o acesso, sem nem mesmo poder carregar o Windows, já recebendo a tela de resgate financeiro ao ligar o computador, não conseguindo mais realizar nenhuma ação”, ressalta Alexandro.

O analista alerta ainda que, apesar desses últimos casos remeterem a infecções em ambientes que utilizam sistemas Microsoft Windows, outros sistemas e tecnologias não estão imunes a ataques dessa natureza. “Existem casos documentados de ransomware em sistemas operacionais Linux, em dispositivos móveis, como celulares e tablets, e já em dispositivos de IoT (Internet das Coisas)”, conclui.

Especislistas da  Trend Micro também consideram que esse novo ataque vai além e não é uma simples variante que apenas utiliza as técnicas de propagação já estabelecidas pelo WannaCry. Até agora, todos os mecanismos de propagação altamente eficazes estão completamente sintonizados para propagação interna baseada em rede a um ritmo acelerado.

Ainda segundo a Trend Micro, companhias que têm presença na Ucrânia ou tem parceiros imediatos com operações no país, devem considerar diretamente esse ataque em risco. Fora deste grupo imediato, o risco diminui significativamente, no entanto, não existe uma garantia definitiva de que os usuários estão a salvo e basta um único dispositivo na rede ser infectado para que esse surto devastador seja ativado.

Como evitar esse tipo de ataque?
O primeiro passo para mitigar o risco cibernético é transmitir corretamente para todos os funcionários as normas de segurança da informação dentro da companhia. “A conscientização tem que ocorrer em todos os níveis hierárquicos. A liderança precisa compreender o papel de cada um dos colaboradores no processo de garantir a segurança da informação”, diz Jesus Gonzalez, da
Aon. “De todas as ações possíveis, o desenvolvimento da educação organizacional tem o melhor custo benefício”.

Além disso, é importante compartilhar o plano com fornecedores terceirizados e parceiros externos que colaboram com a área de Tecnologia para que eles possam implementar ações de resposta com mais eficiência. “Uma resposta rápida à crise é fundamental para mitigar os danos, especialmente no que diz respeito à reputação e marca”, afirma Gonzalez. Outros recursos externos também precisam ser identificados no plano de resposta. “Por exemplo, você já localizou o especialista forense que vai ser acionado em caso de ataques ou vazamento de informações? Já desenvolveu um sistema para notificar sua base de usuários afetada pelo problema? Já selecionou o especialista que vai fazer o aconselhamento legal?”, questiona Jesus. “Essas definições são prioritárias”, acredita.

O terceiro passo para se proteger do risco cibernético é desenvolver um plano de continuidade dos negócios. Tradicionalmente, as empresas fazem esse tipo de planejamento para lidar com riscos físicos, como incêndios e enchentes, que podem interromper as operações. Com o desenvolvimento tecnológico, é importante levar em conta o risco cibernético, já que ele também tem o potencial de paralisar os negócios. “A companhia pode arcar com os custos de uma paralisação de sistema?”, pergunta o vice-presidente de Risco Cibernético da Aon. “Dependendo da gravidade do ataque hacker, os danos podem ser enormes”.

Em relação a esses três passos, os analistas do CAIS recomendam:

- Usar sistemas operacionais originais e com as atualizações automáticas ativadas;

- Desativar no sistema operacional Windows® as chamadas remotas via wmi e psexec, quando o mesmo estiver instalado;

- Utilizar um programa antimalware e mantê-lo com as bases de dados e vacinas sempre atualizadas;

- Não abrir anexos ou clicar em links recebidos de remetentes suspeitos ou desconhecidos;

- Fazer cópias de segurança (backup) dos arquivos do computador com frequência.

Por fim, o quarto passo para lidar com as consequências de um ataque hacker ou vazamento de informações é implementar um seguro cibernético e revisá-lo periodicamente. Em alguns casos, outras coberturas já existentes, como apólices patrimoniais ou de riscos gerais, podem ser ajustadas para contemplar as exposições identificadas para o risco cibernético.

Em outros casos, é melhor contratar um seguro específico para cuidar dessas questões. Compreender a extensão de sua cobertura significa pensar sobre o seguro de forma holística, e não como uma solução somente pontual. “Analise sua cobertura de modo global, e de modo individual”, recomenda Jesus. “Avaliar todas as vulnerabilidades e opções de transferência de risco de forma conjunta é a melhor maneira de garantir a cobertura total.”

Muitas vezes, empresas pequenas ou médias consideram o seguro cibernético inacessível, mas de maneira geral elas podem ser mais beneficiadas pela contratação do seguro do que as grandes empresas. “A seguradora assume o risco trazendo uma série de especialistas para cuidar dos problemas. Se houver uma invasão, a seguradora vai disponibilizar especialistas forenses, consultores jurídicos e gestores de crise”, explica Gonzalez. “Ou seja, com o seguro, empresas de menor porte têm à disposição uma oferta de serviços que elas não possuiriam por conta própria”.

hackers

Os prejuízos decorrentes de ataques cibernéticos crescem a cada ano. Estima-se que as empresas no mundo todo terão perdas de US$ 2,1 trilhões até 2019, de acordo com o estudo Cyber Handbook da consultoria de risco e corretoras de seguros Marsh.

De acordo com dados da consultoria de risco e corretora de seguros Marsh, as contratações de seguros para proteções contra ataques cibernéticos já somam cerca de US$ 2 bilhões e pode chegar a US $ 20 bilhões até 2025. Os EUA continuam a ser o maior mercado de seguros cibernéticos, onde quase 20% de todas as organizações têm seguros para riscos cibernéticos.

Com a ascensão dos ataques de hackers aos sistemas das empresas, alguns setores da economia ficaram mais expostos aos ciberataques. Com base na carteira de risco cibernético da multinacional americana Marsh, as indústrias de manufatura e de comunicação, mídia e tecnologia lideram a contratação desse seguro, com 63% e 41% das apólices, respectivamente. 

Representatividade nas contratações do Seguro Cibernético por indústria, segundo o Cyber Handbook 2016 é a seguinte:


1. Manufatura: 63%
2. Comunicação, Mídia e Tecnologia: 41%
3. Manufatura: 63%
4. Comunicação, Mídia e Tecnologia: 41%
5. Educação: 37%
6. Atacado/Varejo: 30%
7. Instituições financeiras: 28%
8. Power & Utilities: 28%
9. Indústrias: 27%
10.  Hospitality and Gaming: 15%
11.  Serviços: 13%
12.  Healthcare: 6%

 

No Brasil, estima-se que há atualmente 40 apólices de seguros contratadas pelas empresas contra ataques de hackers. Hospitais, instituições financeiras, tecnologia, varejo, alimentos e bebidas estão os cinco segmentos que mais contratam seguros cibernéticos.

Em virtude do aumento dos ataques cibernéticos e da maior exposição dos dados de seus clientes, houve no Brasil um aumento na procura por seguros e projetos de gestão de risco como forma de gerenciar possíveis ataques de hackers.

Ações do CAIS para reforçar a segurança
O CAIS teve papel de destaque no apoio às universidades e instituições de ensino e pesquisa usuárias da rede acadêmica, administrada pela Rede Nacional de Ensino e Pesquisa (RNP). Em 19 de abril, por meio de seu serviço de alertas de segurança, divulgou a correção para a vulnerabilidade no serviço SMB, da Microsoft, a mesma explorada pelo Wannacry. Além disso, tem realizado ações de conscientização sobre o uso seguro de computadores e sistemas, tanto para técnicos e analistas de tecnologia da informação, quanto para usuários finais das instituições clientes. 

Desde 2008, a RNP disponibiliza para consulta todas as fraudes identificadas pelo CAIS sobre os principais golpes que estão em circulação. Para reportar fraudes sobre os links maliciosos e páginas falsas de instituições, basta enviar um e-mail para phishing@cais.rnp.br.

 



Reportagens mais lidas

Acesse a comunidade da CIO

LinkedIn
A partir da comunidade no LinkedIn, a CIO promove a troca de informações entre os líderes de TI. Acesse aqui