Segundo pesquisa da Fortinet, ameaça está em evidência na América Latina
A frequência de ataques de ransomware, o malware sequestrador, tem crescido na América Latina. A conclusão é de relatório do FortiGuard Labs, da Fortinet. De acordo com o levantamento, o México lidera o ranking, com mais de 60% dos ataques na América Latina. Além disso, é o país mais visado da região, com mais de 21 mil tentativas detectadas de baixar ou disseminar esse tipo de malware em 2018. Isso significa que o país tem, em média, 57 tentativas de invasão por dia. Em segundo está o Chile, com 34% dos ataques detectados de no ano passado.
De acordo com a pesquisa do FortiGuard Labs, esses são os outros países afetados por Ransomware na região: Argentina, Brasil, Colômbia, República Dominicana, Panamá, Peru e Porto Rico.
O que é ransomware?
O ransomware, forma popular de ataque usada pelos cibercriminosos, é um tipo de malware que criptografa dados no computador da vítima e mantém o conteúdo para pedido de resgate. Então, a pessoa ou empresa atacada deve pagar pela chave para descriptografar os arquivos, geralmente recebendo uma mensagem pop-up ou e-mail com instruções.
O pagamento é normalmente exigido em criptomoeda para manter o anonimato do criminoso, mas não necessariamente garante a recuperação dos dados. Os criminosos virtuais geralmente mantêm a chave de descriptografia mesmo depois de receber o pagamento. Quase três quartos dos casos de Ransomware ocorrem quando a vítima abre anexos de e-mail ou de algum site.
Ameaça cresce
Esse tipo de ataque atingiu alta histórica em 2017, tanto no número de detecções quanto na taxa de geração de novas variantes, exibindo uma curva de crescimento quase exponencial impulsionada pelo aumento de famílias de Ransomworm, como o ‘WannaCry‘.
Como esperado, o WannaCry foi o tipo mais ativo em 2018 após seu lançamento em maio de 2017, responsável por 25% do total de tentativas de ataque de na América Latina. Além disso, o FortiGuard Labs detectou uma nova campanha de Ransomware conhecida como CrySiS ou Dharma, atualmente a segunda ação mais ativa na região.
O FortiGuard Labs monitora a família de ransomware CrySiS/Dharma há alguns anos. As credenciais podem ser encontradas por meio de compra on-line na dark web ou por bruteforcing. Depois de autenticado, um invasor CrySiS/Dharma pode mapear remotamente o disco rígido da vítima ou apenas usar a área de transferência para transmitir conteúdo mal-intencionado à vítima. A partir desse ponto, o criminoso tem tudo o que é necessário para invadir a rede e propagar a infecção para outros servidores e dispositivos.
Segundo a empresa, uma das maneiras mais comuns de espalhar esse tipo de código malicioso continua sendo o e-mail; daí a importância de seguir as boas práticas de seu uso e ter uma solução de segurança contra malware. Além disso, é importante verificar os remetentes ao receber mensagens e ignorar os links suspeitos que solicitam o download de arquivos na internet ou que redirecionam a vítima para sites desconhecidos. Ignorar mensagens intimidadoras ou aquelas que parecem ser ‘boas demais para ser verdade’ também é recomendável, já que os e-mails legítimos geralmente são personalizados e trazem as informações solicitadas.”
Como ficar livre do ransomware?
A Fortinet recomenda seguir as melhores práticas de segurança abaixo:
1. Faça backup dos seus dados
A melhor resposta ao ransomware é estar preparado. Para proteger a rede contra ele é importante usar boas práticas de computação e um software de segurança. Primeiro, deve-se sempre fazer um backup de dados confiável e testado que possa ser usado para recuperar dispositivos ou redes no caso de emergência. Também é importante manter backup off-line (não apenas in-line) para recuperação no caso de ataque no sistema de backup. Em vez de pagar resgate, o método mais eficaz é substituir os sistemas operacionais, softwares e aplicativos comprometidos pelas versões limpas do backup.
2. Realize o gerenciamento de acesso
Como o ransomware geralmente é instalado invadindo os Serviços de Área de Trabalho Remota, é importante garantir o bloqueio correto desses serviços. Isso inclui assegurar que os computadores que executam os Serviços de Área de Trabalho Remota não tenham conexão direta com a internet. O ideal é que esses dispositivos estejam na VPN, assim somente as pessoas com conta VPN na rede poderão acessá-los.
Este tipo de malware criptografa unidades de rede mapeadas, unidades host de máquina virtual compartilhada e compartilhamentos de rede não mapeados. Por isso, é importante garantir o bloqueio de compartilhamentos da rede; assim, somente aqueles que realmente precisam de acesso terão essa permissão.
3. Tecnologia adequada
Os processos adequados e as boas práticas devem ter o apoio de tecnologia de ponta. É fundamental adotar controles tecnológicos não apenas para prevenir, detectar e/ou reagir ao ataque, mas também para conter, erradicar e recuperar. É muito importante usar uma tecnologia como o SIEM ou o Sandboxing com inteligência artificial, que pode ter o apoio de uma equipe de pesquisa global com conhecimento local e recursos para atualizar continuamente os mecanismos de ameaça e extrair tendências de ataque mais recentes. Também é importante garantir que essa tecnologia funcione como uma entidade única, como um Fabric, para que a proteção seja uniforme em toda a superfície de ataque.
As organizações precisam mudar suas estratégias de precaução como parte de seus esforços de transformação digital. Dispositivos de segurança já existentes e isolados e a higiene de segurança insatisfatória continuam aumentando o risco de incidentes de Ransomware no atual cenário de ameaças, pois não oferecem visibilidade ou controle adequados. No lugar disso, é fundamental adotar um Fabric dLe segurança que abrange todo o ambiente de rede expandido, integrando todos esses elementos. Essa abordagem permite que informações de ameaças sejam compartilhadas em alta velocidade e escala, reduzindo as janelas necessárias à detecção e fornecendo a correção automatizada das atuais explorações de múltiplos vetores.
