Quem tem medo do Ransomware?

Valter Santos, threat intelligence researcher na AnubisNetworks

A AnubisNetworks participou na Operação Tovar, suportando as autoridades policiais internacionais, juntamente com outras empresas privadas, no desmantelamento das botnets associadas ao malware Gameover Zeus e ao ransomware Cryptolocker.

Ambas as ameaças, operadas pelo mesmo grupo, existiam desde 2013 e mudavam na altura o paradigma e a sofisticação do malware. Por um lado, o Gameover Zeus, um trojan bancário desenvolvido a pensar no roubo de informação pessoal e bancária utilizava os conceitos das redes peer-to-peer para que as vítimas comunicassem com os operadores da botnet, de forma a que não fosse fácil para a polícia identificar que sistemas estes usavam para o comando e controlo da mesma. Desta forma, seria muito difícil interromper a operação e atribuir a sua existência a um grupo ou indivíduo específico.

Por outro lado, o Cryptolocker veio aumentar a complexidade do que se fazia no ransomware, introduzindo em larga escala a utilização de criptografia para cifrar os ficheiros das vítimas e pedir um resgate pela chave que permite decifrar os mesmos. Até à altura, o ransomware limitava-se a bloquear a utilização do sistema operativo permitindo com alguma facilidade o desbloqueio sem ter que se pagar resgate.

O Cryptolocker era uma operação secundária do grupo que operava o Gameover Zeus e, veio na sequência dos operadores quererem por um lado aumentar o seu lucro com o que faziam; e, pelo outro terem à disposição várias vítimas infetadas com o Gameover Zeus, mas que não continham nenhuma informação pessoal ou bancária relevante. Era necessária uma maior rentabilidade. Solução: para todos os sistemas infetados com Gameover Zeus que não interessavam instalavam Cryptolocker, pedindo um resgate pelos ficheiros cifrados. E assim nasceu um modelo de negócio.

Na realidade, é mais fácil gerir uma operação de ransomware do que de um trojan bancário. Necessita de menos infraestrutura, de menos investigação, de menos intervenientes, deixa menos evidências para a polícia e tem uma margem de lucro muito aceitável. Tendo isto em conta, desde então vários grupos criminosos orientaram o seu esforço para o desenvolvimento e operação de ransomware.

Como se pode ver o aparecimento de famílias de ransomware tem aumentado ao longo do tempo, sendo 2016 o ano em que teve um crescimento exponencial devido ao sucesso e rentabilidade que tem. A tendência é vermos cada vez mais grupos a converterem-se para operações deste tipo e a distribuição de ransomware a aumentar de intensidade. Aliás, é raro o dia em que não vemos deste lado uma campanha de distribuição de ransomware. Seja Locky, Zepto, TorrentLocker ou Cerber, eles estão aqui, podem mudar de nome, mas vão continuar.

Do ponto de vista do utilizador normal ou daqueles que têm a missão de proteger as nossas empresas, o importante é serem capazes de responder ao seguinte:

Como me protejo?

Se for infetado, pago ou não pago o resgate?

Vamos começar pela segunda, porque se pensarmos nessa resposta temos mais vontade de responder à primeira.

PAGAR OU NÃO PAGAR?

Continuando a história inicial e voltando a 2013, quando os sistemas que suportavam a operação do CryptoLocker foram apreendidos pela polícia ficou-se a saber que na totalidade cerca de 500.000 vítimas foram infetadas com aquele malware e destas cerca de 6.500 efetuaram o pagamento o que equivale a uma percentagem de 1,3%. Na altura, o resgate inicial pedido era de cerca de 300 euros e aumentava à medida que as horas sem pagar passavam. O grupo lucrou cerca de 3 milhões de euros.

Se quer fazer parte dos 1% que pagam o resgate que o ransomware normalmente pede, lembre-se que não está só a atirar dinheiro pela janela, sem garantia alguma que os ficheiros vão ser recuperados, como está também a alimentar as organizações criminosas.

Mas, na realidade a resposta para esta pergunta depende de cada um e do seu contexto. A resposta simples é “Não pague”, a resposta definitiva, mais complexa, é “Depende… disto. Depende… daquilo.”

Para evitar ter que responder a esta pergunta a sério, informe-se como se proteger de ransomware e de outros tipos de malware.

COMO SE PROTEGER?

A proteção contra ransomware tem tudo a ver com preparação. Por um lado, devemos ter sempre em mente que mais cedo ou mais tarde vamos ser alvo de uma infeção, por outro lado, não existe uma única solução para nos proteger contra este tipo de ameaças. Por isso, devemos pensar numa defesa com várias camadas de proteção, quer sejamos um utilizador singular ou um responsável pela segurança de uma grande empresa.

 

As seguintes camadas devem fazer parte de uma boa estratégia de defesa contra o ransomware:

1 – Email Gateway / Anti-spam

O email ainda é um dos principais vetores de infeção de malware. A solução anti-spam deverá ser capaz de filtrar mensagens com os seguintes tipos de anexos já que estes nunca devem ser enviados por email e são muito utilizados para a distribuição de ransomware: .exe, .bat, .ps1, .js, .jse, .scr, .com, .ocx, .jar, .vb, .vbs, .vbe, .bas, .ws, .wsf, .shs, .pif, .hta, .lnk.

Também os ficheiros comprimidos (.zip, .rar) devem ser verificados para a existência de ficheiros com estas extensões. Em caso de dúvida, deve enviar para a quarentena.

2 – Domain Group Policy

Em redes baseadas em sistemas operativos da Microsoft, a política de domínio deve ser atualizada de forma a incluir os seguintes mecanismos de proteção:

Bloquear macros em ficheiros de office quando estes são descarregados da Internet, o que inclui anexos de mensagens de email;

Restringir a execução de aplicações em pastas temporárias ou de dados de utilizadores (data folders);

Desabilitar o Windows Script Host;

Mostrar extensões para os ficheiros conhecidos.

3 – Restringir o acesso de escrita a Network Shares

É prática comum permitir escrita num share de rede a qualquer utilizador da empresa. Ao restringir o acesso de escrita somente aos utilizadores que de fato necessitam, minimiza a exposição dos ficheiros nesse share e previne que sejam encriptados devido a uma infeção por ransomware de um qualquer sistema na rede.

Pequenas e médias empresas transformam uma infeção deste tipo num problema enorme, devido ao simples fato dos shares de rede terem permissões de escrita demasiado permissivas.

4 – Backups

Manter uma boa política de backups é meio caminho andado para recuperar de qualquer infeção de ransomware e restaurar a operação normal. Uma das primeiras coisas que o ransomware vai fazer no sistema é apagar qualquer backup local da máquina. É por isso importante manter backups offline ou em sistemas remotos que não sejam simples de aceder.

 

5 – Segurança de Perímetro

Manter políticas e assinaturas atualizadas nos acessos outbound de dentro da rede para a Internet. Uma boa solução de perímetro deve ser capaz de bloquear conexões aos sistemas de comando e controlo (C2) de malware conhecido. Algumas famílias de ransomware necessitam de contatar o C2 antes de iniciar o processo de encriptação de ficheiros. Ao manter a capacidade de bloquear estes acessos no perímetro vai aumentar a probabilidade de incapacitar este primeiro acesso, que o ransomware precisa de fazer com o C2 evitando que os ficheiros sejam cifrados.

6 – Antivírus e Software Atualizado

Isto não é mais do que boa higiene de segurança. Manter o sistema operativo e o antivírus atualizados é o 1,2,3 de qualquer política de segurança. O antivírus por si só não vai bloquear os ataques mais recentes e ainda desconhecidos, mas vai ajudar qualquer coisa.

7 – Educação de utilizadores

Se não forem os utilizadores, o ransomware não é instalado em lado nenhum. Fazer passar a mensagem que não se deve abrir anexos de emails não solicitados, é meio caminho para manter os computadores lá de casa ou da empresa fora da zona de risco. Mas digamos, esta é, e continua a ser, a parte da defesa mais difícil de concretizar.

Sessões de esclarecimento, educação por exemplo, cartazes espalhados pela empresa, etc., tudo ajuda a fazer aumentar o user awareness e a postura de segurança de uma empresa.

---