Blog

Ataques de ransomware continuam a crescer. De acordo com o McAfee Labs, as amostras de ransomware cresceram 169% em 2015 e o total de amostras do malware já somam quase 6 milhões. A técnica não é recente, ela já existe há muito tempo, os primeiros protótipos do malware foram desenvolvidos em meados da década de 1990. No entanto, a modalidade criminosa vem ganhando cada vez mais popularidade devido à impossibilidade de rastrear as moedas virtuais usadas nos pagamentos dos resgates e também pela oferta de pacotes de Ransomware as a Service disponíveis na deep web.

O ransomware usa a criptografia para extorquir as vítimas, os ataques podem causar a perda de acesso à informação, perda de confidencialidade e vazamento de informações. Os ataques podem ser direcionados tanto a consumidores quanto a empresas de todos os portes. É importante entender como funciona a anatomia de um ataque de ransomware para se prevenir com mais eficácia.

Há seis etapas que um ataque percorre para atingir seus objetivos. O primeiro passo é a distribuição. Na verdade, os cibercriminosos utilizam métodos de distribuição bastante conhecidos, geralmente o malware é espalhado por meio de esquemas de phishing envolvendo links fraudulentos, anexos de e-mail ou downloads de arquivos que são instalados no endpoint a partir de sites comprometidos. Mesmo conhecida, a técnica ainda é bastante efetiva, um em cada quatro destinatários abre mensagens de phishing e, surpreendentemente, um em cada 10 clica em anexos recebidos nessas mensagens.

O segundo passo é a infecção. O binário chega no computador do usuário e inicia os processos necessários para completar suas atividades maliciosas. Esta etapa pode incluir técnicas mais novas e comportamentos sofisticados. Por exemplo, o malware CryptoWall 3 funciona da seguinte forma: Gera um identificador de computador exclusivo; certifica um “reboot de sobrevivência” instalando um programa seja executado ao ligar a máquina; desativa cópias e sistemas de reparação e recuperação de erro do Windows, desativa programas de defesa; injeta-se no explorer.exe e svchost.exe e recupera o endereço IP externo.

O terceiro passo é a comunicação. O malware se comunica com os servidores de chave de criptografia para obter a chave pública necessária para criptografar os dados. O CryptoWall 3, por exemplo, se conecta a um site WordPress comprometido e relata seu status. Todo o tráfego de servidor de controle é criptografado usando o algoritmo de criptografia RC4. O quarto passo é a pesquisa de arquivos. O ransomware procura por arquivos no sistema de uma forma sistemática. Ele normalmente busca por arquivos que sejam importantes para o usuário e não podem ser facilmente replicados, como arquivos com extensões de jpg, docx, xlsx, pptx, e pdf.

O passo seguinte é a criptografia. O processo é realizado movendo e renomeando arquivos específicos, as informações são “embaralhadas” e não podem mais serem acessadas sem serem descriptografadas. A última etapa é o pedido de resgate, quando normalmente um aviso aparece na tela do computador infectado exigindo pagamento em bitcoins para então enviar à vítima a chave que poderá desbloquear a máquina.

Conhecer como funciona um ataque de ransomware detalhadamente é essencial para criar estratégias capazes de barrar a atuação do malware antes que ele consiga criptografar a máquina. O método mais proativo de proteger a rede contra ataques é evitar que a ameaça chegue ao endpoint em primeiro lugar. Usar uma solução de segurança que contemple filtro de web, antispam, antimalware e manter atualizado patches do sistema operacional e aplicativos ajuda a bloquear a chegada do malware.

Pare evitar o estágio de infeção é indicado nunca ativar macros, a não ser que você saiba muito bem o que está fazendo. Macros do Office costumam ser usados pelo ransomware no processo de infecção. Também é importante restringir as permissões de acesso dos usuários. Navegar na web, abrir diversos aplicativos e documentos e trabalhar com diversos programas diferentes enquanto conectado com perfil administrativo, por exemplo, aumenta a vulnerabilidade. Também é recomendado usar uma ferramenta de sandbox, que irá analisar melhor os arquivos suspeitos e evitar a contaminação.

 

 

Fonte: http://www.computerworld.com.br/

O que é Cloud Híbrido ?
Cloud híbrido é uma nova forma de trabalhar a infraestrutura de TI que veio para acabar com o “GAP” na utilização dos recursos de infraestrutura e serviços aperfeiçoando o uso do Cloud Público e Privado.
Cloud híbrido combina uma cloud pública e privada dentro da mesma organização, com cada cloud servido aplicativos e objetivos diferentes: como o nome sugere, alguns recursos são executados na infraestrutura local e outros em serviços como Amazon AWS, Digital Ocean, Azue, Google Cloud, etc.  A idéia é que uma organização possa obter o melhor dos dois mundos, mantendo alguns serviços essenciais em uma cloud privada e acessando serviços como webservers na cloud público.

Cloud Público vs Privado
Cloud público e privado são semelhantes em muitos aspectos, mas muito diferente em alguns pontos críticos. Em um cloud privado, os recursos de armazenamento e computação são mantidos atrás de um firewall corporativo, dando maior segurança e maior controle sobre os dados armazenado. A desvantagem é que um cloud privado é mantido em um único local físico, tornando-o mais suscetível a falhas e danos por causas naturais como falha de hardware e interrupções elétricas.
Já o Cloud público, os recursos de computação são fornecidos por um terceiro, em servidores que também acomodam muitos outros clientes, há menos controle sobre esses servidores. Isto pode levantar questões em um ponto de vista de segurança e conformidade, mas normalmente há vantagens de escalabilidade e confiabilidade no quesito disponibilidade, bem como a recuperação de desastres e live migrations.

A utilização de uma arquitetura híbrida, permite que empresa possa acessar os benefícios do cloud público e privado, sem ser limitada pelas desvantagens de cada um. O cloud público e privado destinam-se a serem utilizados de forma independente um do outro. A comunicação entre ambos ocorre por meio de uma conexão criptografada, de modo que os dados possam trafegar de forma segura entre ambos construindo assim uma infraestrutura híbrida.

O Ottawa Hospital diz que nenhum dado relevante foi comprometido e que sua equipe de TI limpou os sistemas infectados imediatamente.

Funcionários do hospital declararam publicamente que a sua equipe de TI, limparam os sistemas e restauraram todos os dados necessários através de backups realizados anteriormente, e que nenhum dos outros 9.800 computadores foram afetados e nenhum dado de paciente foi comprometido.

O ataque contra Ottawa Hospital é o último da série de tentativas de cibercriminosos de ganhar acesso a computadores de hospitais, o objetivo deste criminosos é criptografar os dados e exigir pagamento para libera-lo novamente, estes pagamentos são normalmente realizados por meio de Bitcoin (moeda digital).

“Estamos vendo que um volume extraordinário de anexos com código javascript estão sendo enviados, o qual se clicados levam ao download de um reasomware” explica especialista em segurança da empresa Trustwave.

Em pesquisa no Banco de dados de spam da Trustwave, foram encontrados cerca de 4 milhões e-mails spam durante um período de sete dias no início deste mês, e 20% destes e-mails estavam infectados com reasomware.

Em fevereiro, o hospital Hollywood Presbyterian Medical Center, em Los Angeles sofreu um ataque reasomware, o que causou grande transtorno desligando e até mesmo danificando alguns sistemas do hospital fazendo com que fosse forçado a voltar a utilizar papel para muitas de suas operações. Sem saída o hospital finalmente pagou $17.000 mil dólares em bitcoin para recuperar o controle de seus sistemas.

Os ataques com ReasomWare estão crescendo por que eles exigem relativamente menos conhecimento do que ataques mais sofisticados, de acordo com Kevin Johnson CEO da Secure Ideas.

“É um ataque simplista, fácil para pessoas com baixo conhecimento”, explica Johnson.
“Não estou chamando eles de burros, é que realizar este tipo de ataque não requer nível especialista com habilidades avançadas”.

A forma mais segura de evadir este tipo de ataque é mantar sua infraestrutura em dia, paths de segurança aplicados e política AntiSpam bem afinada, em todo caso é altamente recomendado ter backups atualizados de acordo com a regra de negócio, desta forma você pode reaver seus dados sem a necessidade de pagar o resgate.

 

Os atacantes invadiram a rede do Ottawa Hospital com ransomware, que inicialmente criptografado quatro computadores.

Funcionários do hospital declarou publicamente que a sua equipe de TI, desde então, limpou as máquinas limpo, restaurado dados necessários através de cópias de segurança, e acrescentou que nenhuma das outras 9.800 computadores foram afetados e nenhum dado paciente foi comprometida.

 


Fonte: http://www.healthcareitnews.com/

Sobre

A Suporte365 vem a cada dia se aperfeiçoando com cada desafio superado. Nós aprendemos que a forma correta de se fazer também é a forma mais simples, assim conseguimos trabalhar de forma transparente com nossos clientes, entregando soluções e serviços de alta qualidade.

© 2015 Suporte365. Consultoria em Tecnologia da Informação - CNPJ 18.315.406/0001-29

Buscar