OS RISCOS DO SEQUESTRO DE INFORMAÇÕES PELOS RANSOMWARES Luzivan de Morais Ferreira
Resumo: As empresas e indivíduos tornam-se cada vez mais dependentes das tecnologias e das informações por elas gerenciadas. Atualmente as principais atividades de todo negócio, seja este pequeno ou grande depende em algum momento da tecnologia. A maioria dos negócios dependem totalmente e dessa forma qualquer incidente pode impactar negativamente na operação, assim causando perdas financeiras de grandes proporções, sem contar que a empresa pode ter sua imagem afetada, um bem que é intangível e difícil de ser recuperado. Ransomwares são vírus que tem um objetivo bem definido de identificar fontes de informações valiosas e sequestra-las, liberando-as somente mediante pagamento de resgate, dependendo do tipo de informação e da criticidade para o negócio, os custos financeiros para resgate podem ser elevado, ou muito depender de muito tempo para colocar os sistemas funcionando, e se não existir cópias dessas informações, os prejuízos serão enormes.
Palavras-chave: Segurança da Informação, Malware, Ransomware, Softwares Maliciosos, Incidente, Intangível, Vírus, Resgate, Valor, Worm.
1 INTRODUÇÃO
Ransomware é um termo abrangente usado para descrever uma classe de Malwares que serve para extorquir digitalmente as vítimas. Em sua essência esta forma de extorsão pode ser dividida em dois tipos principais e então subdividida conforme as famílias que representam. As duas principais formas de ransomware são aquelas que criptografam, ofuscam ou impedem o acesso aos arquivos, e aquelas que restringem o acesso ou bloqueiam os usuários dos sistemas. Essas ameaças não estão limitadas a nenhuma área geográfica ou sistema operacional em particular e podem atuar em vários dispositivos. Qualquer sistema, de dispositivos Android a sistemas iOS ou Windows, está sujeito aos riscos impostos por esse tipo de exploração de falhas por meio de ransomware. Conforme o alvo, o método de comprometimento do dispositivo pode ser diferente e as ações finais serão limitadas pela própria capacidade do dispositivo, mas há também padrões reconhecíveis seguidos por muitos extorsionários. Historicamente, o ransomware tem sua origem em um código malicioso conhecido como AIDS, escrito em 1989 por Joseph Popp. (Allan Liska e Timothy Gallo, 2017, p. 16).
Artigo apresentado como Trabalho de Conclusão do Curso de Especialização em Gestão de Segurança da Informação, da Universidade do Sul de Santa Catarina, como requisito parcial para a obtenção do título de Especialista em Gestão de Segurança da Informação.
2
1.2 MALWARE
Códigos maliciosos (malware) são programas especificamente desenvolvidos para executar ações danosas e atividades maliciosas em um computador. Algumas das diversas formas como os códigos maliciosos podem infectar ou comprometer um computador são:
pela exploração de vulnerabilidades existentes nos programas instalados; pela auto execução de mídias removíveis infectadas, como pen-drives; pelo acesso a páginas Web maliciosas, utilizando navegadores vulneráveis;
pela ação direta de atacantes que, após invadirem o computador, incluem arquivos contendo códigos maliciosos;
pela execução de arquivos previamente infectados, obtidos em anexos de mensagens
eletrônicas, via mídias removíveis, em páginas Web ou diretamente de outros computadores (através do compartilhamento de recursos). (CERT.br,2017).
1.3 VÍRUS
Vírus é um programa ou parte de um programa de computador, normalmente malicioso, que se propaga inserindo cópias de si mesmo e se tornando parte de outros programas e arquivos.
Para que possa se tornar ativo e dar continuidade ao processo de infecção, o vírus depende da execução do programa ou arquivo hospedeiro, ou seja, para que o seu computador seja infectado é preciso que um programa já infectado seja executado.
O principal meio de propagação de vírus costumava ser os disquetes. Com o tempo, porém, estas mídias caíram em desuso e começaram a surgir novas maneiras, como o envio de e-mail. Atualmente, as mídias removíveis tornaram-se novamente o principal meio de propagação, não mais por disquetes, mas, principalmente, pelo uso de pen-drives.
Há diferentes tipos de vírus. Alguns procuram permanecer ocultos, infectando arquivos do disco e executando uma série de atividades sem o conhecimento do usuário. Há outros que permanecem inativos durante certos períodos, entrando em atividade apenas em datas específicas. Alguns dos tipos de vírus mais comuns são:
Vírus propagado por e-mail: recebido como um arquivo anexo a um e-mail cujo conteúdo tenta induzir o usuário a clicar sobre este arquivo, fazendo com que seja executado. Quando entra em ação, infecta arquivos e programas e envia cópias de si mesmo para os e-mails encontrados nas listas de contatos gravadas no computador.
Vírus de script: escrito em linguagem de script, como VBScript e JavaScript, e recebido ao acessar uma página Web ou por mail, como um arquivo anexo ou como parte do próprio e-mail escrito em formato HTML. Pode ser automaticamente executado, dependendo da configuração do navegador Web e do programa leitor de e-mails do usuário.
Vírus de macro: tipo específico de vírus de script, escrito em linguagem de macro, que tenta infectar arquivos manipulados por aplicativos que utilizam esta linguagem como, por exemplo, os que compõe o Microsoft Office (Excel, Word e PowerPoint, entre outros). Vírus de telefone celular: vírus que se propaga de celular para celular por meio da tecnologia bluetooth ou de mensagens MMS (Multimedia Message Service). A infecção ocorre quando um
3
usuário permite o recebimento de um arquivo infectado e o executa. Após infectar o celular, o vírus pode destruir ou sobrescrever arquivos, remover ou transmitir contatos da agenda, efetuar ligações telefônicas e drenar a carga da bateria, além de tentar se propagar para outros celulares.
(CERT.br,2017). 1.4 WORM
Worm é um programa capaz de se propagar automaticamente pelas redes, enviando cópias de si mesmo de computador para computador.
Diferente do vírus, o worm não se propaga por meio da inclusão de cópias de si mesmo em outros programas ou arquivos, mas sim pela execução direta de suas cópias ou pela exploração automática de vulnerabilidades existentes em programas instalados em computadores.
Worms são notadamente responsáveis por consumir muitos recursos, devido à grande quantidade de cópias de si mesmo que costumam propagar e, como consequência, podem afetar o desempenho de redes e a utilização de computadores.
O processo de propagação e infecção dos worms ocorre da seguinte maneira:
Identificação dos computadores alvos: após infectar um computador, o worm tenta se propagar e continuar o processo de infecção. Para isto, necessita identificar os computadores alvos para os quais tentará se copiar, o que pode ser feito de uma ou mais das seguintes maneiras:
efetuar varredura na rede e identificar computadores ativos;
aguardar que outros computadores contatem o computador infectado;
utilizar listas, predefinidas ou obtidas na Internet, contendo a identificação dos alvos;
utilizar informações contidas no computador infectado, como arquivos de configuração e listas de endereços de e-mail.
Envio das cópias: após identificar os alvos, o worm efetua cópias de si mesmo e tenta enviá-las para estes computadores, por uma ou mais das seguintes formas:
como parte da exploração de vulnerabilidades existentes em programas instalados no computador alvo;
anexadas a e-mails;
via canais de IRC (Internet Relay Chat);
via programas de troca de mensagens instantâneas;
incluídas em pastas compartilhadas em redes locais ou do tipo P2P (Peer-to-Peer).
Ativação das cópias: após realizado o envio da cópia, o worm necessita ser executado para que a infecção ocorra, o que pode acontecer de uma ou mais das seguintes maneiras:
imediatamente após ter sido transmitido, pela exploração de vulnerabilidades em programas sendo executados no computador alvo no momento do recebimento da cópia;
diretamente pelo usuário, pela execução de uma das cópias enviadas ao seu computador; pela realização de uma ação específica do usuário, a qual o worm está condicionado como,
por exemplo, a inserção de uma mídia removível.
Reinício do processo: após o alvo ser infectado, o processo de propagação e infecção recomeça, sendo que, a partir de agora, o computador que antes era o alvo passa a ser também o computador originador dos ataques. (CERT.br,2017).
4
1.5 RANSOMWARE
Ransomware é um tipo de código malicioso que torna inacessíveis os dados armazenados em um equipamento, geralmente usando criptografia, e que exige pagamento de resgate (ransom) para restabelecer o acesso ao usuário.
Como ocorre a infecção?
O ransomware pode se propagar de diversas formas, embora as mais comuns sejam:
através de e-mails com o código malicioso em anexo ou que induzam o usuário a seguir um link;
explorando vulnerabilidades em sistemas que não tenham recebido as devidas atualizações de segurança.
O mais importante é evitar ser infectado, veja a seguir como se proteger. Quais tipos de ransomware existem?
Existem dois tipos de ransomware:
Ransomware Locker: impede que você acesse o equipamento infectado.
Ransomware Crypto: impede que você acesse aos dados armazenados no equipamento infectado, geralmente usando criptografia.
Além de infectar o equipamento o ransomware também costuma buscar outros dispositivos conectados, locais ou em rede, e criptografá-los também.
Como devo me proteger de ransomware?
Para se proteger de ransomware você deve tomar os mesmos cuidados que toma para evitar os outros códigos maliciosos, como:
manter o sistema operacional e os programas instalados com todas as atualizações aplicadas; ter um antivírus instalado;
ser cuidadoso ao clicar em links ou abrir arquivos.
Fazer backups regularmente também é essencial para proteger os seus dados pois, se seu equipamento for infectado, a única garantia de que você conseguirá acessá-los novamente é possuir backups atualizados. O pagamento do resgate não garante que você conseguirá restabelecer o acesso aos dados. (CERT.br,2017).
2 IMPACTO FINANCEIRO
Os Ransomwares causam grandes percas financeiras para os negócios, identificar os riscos de forma que possam levar aos custos financeiros é um problema para a área técnica e também para as área financeira. Em muitos casos os riscos são levantados mas apenas de forma técnica, não sendo fácil determinar o valor financeiro. Muitas empresas no Brasil nos últimos 4 anos têm sofrido muitos
5
ataques desses tipos de vírus, sequestrando informações importantes, deixando assim as atividades paradas por horas ou dias, até que seja decido pagar o resgate ou restaurar um backup (quando existe).
O número de empresas afetadas a cada dia está crescendo, isso considerando as empresas que divulgam ou que a informação sobre o ataque vasa na mídia de alguma forma, se todos os casos fossem divulgados o número seria bem maior, certamente. Nos EUA as grandes empresas são obrigadas a divulgar publicamente os incidentes voltados a TI (Tecnologia da Informação), (Malcolm W. Harkins, 2016).
February 2016: The Hollywood Presbyterian Medical Center in Los Angeles says it has paid a bitcoin ransom to attackers who held its systems hostage, encrypting data and blocking access by hospital staff. Some believe the healthcare industry is the next major target for cyber criminals. (Malcolm W. Harkins, 2016, p. 26).
É nítida a necessidade das empresas terem sistemas cada vez mais seguros e protegidos contra esse tipo de ata que, porem para que as empresas possam investir em segurança, as mesmas precisam ter certeza de como e onde fazer este investimento, infelizmente, principalmente no Brasil as empresas não tem uma boa conscientização a respeito dessa matéria. Compreender os riscos e saber o custo dos mesmos é fundamental para melhoraria dos sistemas contra essas ameaças. É necessário levantar e entender os vetores de ataque e as contra mediadas para cada uma delas, relacionado e medindo os riscos relacionados, para que de alguma forma seja possível de forma mais assertiva possível ter uma estimativa de quanto custa, por exemplo, se uma atividade do negócio ficar inoperante por um determinado tempo.
Os Ransomwares são hoje uma ameaça latente de acordo os especialistas em Segurança da Informação, deveria ser também uma preocupação de toda empresa que tem suas atividades críticas sustentadas por sistemas e informações disponíveis na intranet ou internet.
Ransomware is a blanket term used to describe a class of malware that is used to digitally extort victims into payment of a specific fee. (Allan Liska,Timothy Gallo, 2016, p. 3).
Levantar e quantificar esses riscos é um desafio, por falta de métodos e exemplos práticos, mas é algo que as empresas precisam no momento do planejamento para investimento em segurança.
6
As empresas que são do segmento financeiro, por exemplo, utilizam a Lei Sarbanes-Oxley, mais conhecida como SOX, que serve de roteiro e ajuda bastante neste sentido.
Financial regulation surfaced as a top priority in the United States with the SarbanesOxley Act (SOX), which emerged from the public outrage over corporate and financial accounting scandals at companies such as Enron and WorldCom. These scandals cost investors billions of dollars and damaged public confidence. To help avoid similar catastrophes in the future, SOX imposed financial tracking requirements designed to ensure that a company’s financial reporting is accurate and that there hasn’t been fraud or manipulation. Once enacted, SOX required publiclzy held companies to meet specific financial reporting requirements by the end of 2004. (Malcolm W. Harkins, 2016, p. 10).
Os custos com ataques de Ransomware são cada vez maiores, considerando a variedade de tipos de ataques, quantidade de sistemas vulneráveis e também usuários não treinados a lidar com esse tipo de ameaça. Os dados s sistemas críticos das empresas estão a cada dia tomando proporções maiores, sendo compartilhados de forma online e transitando em diversos tipos de dispositivos, sendo acessados ou manipulados em redes com níveis de segurança diversos, muitas vezes sem criptografia e sistemas protetivos adequados contra esse tipo de ameaça, expondo assim o usuário aos riscos e assim causando grandes percas financeiras nas empresas afetadas.
Ransomware really went out of fashion in the late '90s and didn’t begin to return to prominence until 2015. The availability of more complex encryption schemes, along with more available system-side computing power, helped usher in this new era of ransomware, which has continued to accelerate. As of 2016, it is considered on of the most prevalent forms of attack against computer systems, requiring limited exposure to vulnerabilities and minimal reconnaissance on target. On of the more familiar variants, CryptoWall (currently defunct), was estimated to have accrued $ 18,000,000 by the middle of June 2015. (Allan Liska,Timothy Gallo, 2016, p. 4).
Esta pesquisa tem a pretensão de levantar os principais ransomware existentes, seus vetores de ataque e os tipos de informações e sistemas que são seus principais alvos, sugerindo métodos e
7
técnicas para calcular os custos do negócio afetado por este tipo de vírus, sempre apontando para os ativos do negócio que podem ser tangíveis e assim passivos de mensurar um valor. Esses vírus sempre procuram explorar alguma vulnerabilidade existente, seja ela no software, rede, processos ou pessoas. Muitas empresa investem milhares de reais em segurança, comprando bons servidores, bons roteadores, configurando bons firewalls, mas não investem, por exemplo, nas pessoas. Muitas vezes as fraquezas nas pessoas são a mais exploradas, um colaborador que não tá atento ou não sabe que clicar em um link pode colocar o sistema e suas informações em riscos, esse com certeza é um vetor de ataque muito explorado.
A empresa precisa considerar e saber mensurar quanto custa 1 hora de suas principais operações interrompidas, tendo um valor pelo menos estimado desse custos, ajudar na tomada de decisão, sobre em que investir dinheiro e concentrar esforços, não deixando expondo seus sistemas e usuários aos riscos, não dependente totalmente que o usuário faça uma boa decisão de não clicar em um link infectado, mas sim evitando que este link não chegue ao usuário, essa por exemplo, pode ser uma camada de segurança aplicada com base em investimentos baseados nos custos levantados. É possível observar na Figura 01 que o valor médio cobrado para o resgate só cresce desde 2014, isso comprova que os usuários afetados continuam pagando, assim as quadrilhas especializadas neste tipo de ataque ganham confiança e continuam operando e evoluindo, embora o pagamento não seja garantia de retorno das informações.
2.1 ESTATÍSTICAS
Consumidores x Organizações infectadas por Ransomware de Janeiro/2015 a Abril/2016. (SYMANTEC,2016)
8
Figura 01
Um dos grandes ataques de Ransomware mais recente foi do WannaCry, que se iniciou em 12 de maio de 2017, explorando uma vulnerabilidade no Microsoft Windows. O WannaCry teve êxito justamente nos computadores com o Sistema Operacional desatualizado. Infelizmente é algo comum para muitos usuários e organizações, que por diversos motivos não atualizam seus sistemas operacionais. (GReAT,2017).
O relatório de Cybercrimes de 2016 da Cyebersecurity, Ventures prevê que o Cybercrime custará ao mundo $ 6 trilhões ao ano até 2021. (Steve Morgan, 2017).
2.2 VETORES DE INFECÇÃO
Atualmente um dos vetores mais explorados pelas quadrilhas especializadas no envio de vírus é o e-mail. Todas organizações e indivíduos possuem ma conta de e-mail e as utilizam usando um cliente de e-mail ou web mail. Esses serviços são sempre liberados dentro dessas organizações, pois o e-mail é um dos principais meios de comunicação. O serviço de e-mail é sempre liberados nas políticas de Firewall, dessa forma o Ransomware não precisa quebrar regras complexas de segurança, pois o próprio usuário ao abrir o e-mail, baixar um arquivo ou clicar em um link faz a parte mais importante, que é executar o vírus. Neste momento se existe uma boa solução de antivírus e se este estiver atualizado, há grandes chances de infecção não acontecer.
9
Mas todos os vírus infectam milhares ou milhores de computadores antes que as vacinas sejam criadas. Um Ransomware é um tipo de vírus que explora tanto as vulnerabilidade técnicas quanto a falta de conhecimento do usuário. É demonstrado na Figura 02 uma lista dos principais vetores de ataque. (Malwarebytes, 2016).
Figura 02
Algumas medidas básicas de segurança podem ser seguidas para diminuir os riscos de sofrer este tipo de ataque, sendo alguns como. (PAUL NORRIS, 2017).
Um bom Antivírus instalado e atualizado Sistema Operacional sempre atualizado
Atualizar todos as demais aplicações instaladas Não clicar em links suspeitos
Fazer backup das informações importantes 3 CONCLUSÃO
O investimento em novas tecnologias e políticas de segurança, por se só não protegem uma organização, a Segurança da Informação vai muito além disso, os usuários precisam ser treinados constantemente, os profissionais responsáveis pelos sistemas críticos, bancos de dados e servidores
10
precisam se reciclar o tempo todo, e nunca deixar de fazer o básico, como por exemplo atualizar seus sistemas operacionais, ter bons antivírus atualizados e terem boas soluções de backup. Todos os usuários devem ser treinados nos conceitos básicos de segurança para que possam ser aliados e ajudar combater as ameaças que surgem a todo instante. Um dos vetores de ataque mais utilizados é o e-mail, como visto na Figura 02, ferramenta esta utilizada pela maioria das empresas e usuários, seja um e-mail corporativo ou pessoal. Com a onda de ter tudo conectado com todos os dispositivos os riscos são ainda maiores, pois muitos usuários levam seus dispositivos pessoas e conectam nas redes das empresas, sendo assim as empresas precisam de boas soluções de segurança que considerem o BYOC (Bring Your Own Computer) e IoT (Internet of Things).
É evidente que os investimentos realizados pelas empresas com sua infraestrutura crítica de tecnologia precisa ser levada a sério, considerando que atualmente suas redes, sistemas e banco de dados são fatores decisivos para se manterem no mercado e continuarem prestando seus serviços com qualidade, sem impactos negativos ao negócio, evitando assim que um sequestro de informação possa causar indisponibilidada nas suas operações.
Observo que muitas empresas afetadas por Ransomware se preocupam em retornar suas operações, mas dificilemente investem tempo e dinheiro na descoberta da causa do problema, dessa forma, a maioria delas sofrem mais de uma vez com o mesmo problema. Consideram que simplesmente restaurando o backup o problema é resolvido, muitas vezes a vulnerabilidades e os riscos continuam latente no ambiente. Uma recomendação que faço sempre, é que tenham backups regulares e de preferência em mídias desconectadas, considerando que hoje esse tipo de vírus pode encriptar dados não somente no disco do dispostivo infectado, mas em todas mídias conectadas. Com tudo que foi exposto, fica claro que os riscos só crescem e todos precisam investir em segurança para proteger seus dispositivos, servidores, redes, banco de dados e sistemas críticos.
11
4 REFERÊNCIAS
Allan Liska, Timothy Gallo. Ransomware: Defendendo-se da Extorsão Digital. NOVATEC, 2017. CERT.br, Malware. Disponível em: <https://www.cert.br/malware/>. Acessado em: 05/06/2017. CERT.br, Ransomware. Disponível em: <https://www.cert.br/ransomware/>. Acessado em: 05/06/2017.
Symante, Special Report: Ransomware and Businesses. 2016. Disponível
em:<http://www.symantec.com/content/en/us/enterprise/media/security_response/white papers/ISTR2016_Ransomware_and_Businesses.pdf>. Acessado em: 20/03/2017.
GReAT, WannaCry ransomware used in widespread attacks all over the world. 2017. Disponível em: <https://securelist.com/78351/wannacry-ransomware-used-in-widespread-attacks-all-over-the-world/>. Acessado em: 04/06/2017.
Steve Morgan, Hackerpocalypse: A Cybercrime Revelation. Disponível em: <
http://cybersecurityventures.com/hackerpocalypse-cybercrime-report-2016/>. Acessado em: 05/06/2017.
Malwarebytes, Understanding the Depth of the Ransomware Problem in the United States. 2016. Disponível em: <https://goo.gl/mrzZBM>. Acessado em: 05/06/2017.
PAUL NORRIS, Tips to Improve Your Security Hygiene. Disponível em: <
https://www.tripwire.com/state-of-security/security-awareness/back-to-basics-tips-to-improve-your-security-hygiene/>. Acessado em: 25/07/2017
Malcolm W Harkins. Managing Risk and Information Security. Second Edition. Folsom, California, USA: Apress Open, 2016.
