Check
Point alerta para o crescimento desta ameaça em que os cibercriminosos, antes
de criptografar os bancos de dados dos equipamentos infectados, extraem grandes
quantidades de informações e ameaçam publicá-las para assegurar o pagamento de
um resgate
Os pesquisadores da Check Point® Software Technologies Ltd. (NASDAQ: CHKP), uma fornecedora líder
global de soluções de cibersegurança, identificaram a utilização de uma nova
tática de ransomware, conhecida por “dupla extorsão”, por meio da qual os
cibercriminosos agregam uma etapa extra ao seu ataque. Antes de criptografar a
base de dados das vítimas, eles conseguem extrair uma grande quantidade de
informações confidencial para ameaçá-las com a publicação desses dados, a menos
que seja pago um resgate. Para demonstrar que a ameaça é séria, os
ciberatacantes filtram uma pequena parte da informação crítica na Dark Web, de
modo a aumentar o nível de intimidação caso o resgate não seja pago.
O primeiro caso
divulgado sobre este tipo de ataque de ransomware de “dupla extorsão” aconteceu
em novembro de 2019 e envolveu a Alliad Universal, uma grande empresa dos
Estados Unidos dedicada a soluções, sistemas e serviços de segurança. Quando as
vítimas se negaram a pagar o resgate solicitado no valor de 300 Bitcoins
(aproximadamente US$ 2,3 milhões), os cibercriminosos, valendo-se do vírus
“Maze”, ameaçaram utilizar a informação confidencial, os certificados de e-mail
e os nomes de domínio roubados para elaborar uma campanha de spam com a identidade
da empresa. Ao mesmo tempo, publicaram uma amostra dos arquivos roubados que
incluíam contratos, registros médicos, certificados de encriptação, entre
outros dados.
Desde então, por meio do
ransomware Maze foram publicados os detalhes de dezenas de empresas,
escritórios de advocacia, prestadores de serviços médicos e seguradoras que não
cederam aos pedidos de resgate. Estima-se que muitas outras empresas tenham
evitado a publicação de seus dados confidenciais pagando o resgate exigido.
“A dupla extorsão é uma
tendência em voga entre os ataques de ransomware. Ao filtrar a informação
confidencial na Dark Web como uma amostra de que a ameaça é séria, os
cibercriminosos exercem muito mais pressão sobre suas vítimas”, afirma Lotem
Finkelsteen, diretor de Threat Intelligence da Check Point. “Esta variante de
ciberameaça é especialmente preocupante para os hospitais, uma vez que, ao
estarem totalmente voltados para o atenidmento de pacientes de Coronavirus,
seria muito complicado enfrentarem um ataque com essas características. Por
este motivo, aconselhamos aos hospitais que, agora, mais do que nunca, ampliem
suas medidas de segurança”, ressalta Finkelsteen.
Os hospitais
na mira dos cibercriminosos e do ransomware de dupla extorsão
A atual situação do
setor de saúde é de saturação devido à concentração de todos os seus esforços
no combate à propagação da COVID-19, fazendo com que tenham poucos recursos
técnicos e de pessoal disponíveis para otimizar os seus níveis de
cibersegurança.
Comunicado de
imprensa do grupo por trás do Maze sobre o Coronavírus
Por este motivo, os
especialistas da Check Point orientam para a adoção de uma estratégia de
proteção baseada na prevenção, de modo a evitar que os hospitais se convertam
numa nova vítima de ransomwares como o NetWalker, que recentemente afetou
vários hospitais espanhóis e norte-americanos. Para tal, as cinco principais
ações de proteção a serem tomadas são:
- Fazer uma cópia de segurança: é vital fazer backup dos arquivos importantes, procurando usar sistemas de armazenamento externo. Também é relevante utilizar ferramentas para realizar cópias de segurança de forma automática, se possível, para todos os funcionários, já que desta forma se minimiza o risco de erro humano caso esta ação não aconteça com regularidade.
- Educação e treinamento aos funcionários para reconhecerem potenciais ameaças: os ataques mais comuns utilizados nas campanhas de ransomware continuam sendo os e-mails de spam e phishing. Em muitas ocasiões, o usuário pode prevenir um ataque antes que este ocorra. Para isso, é fundamental treinar os funcionários e consciencializá-los sobre os protocolos de atuação em caso de indícios de ciberataques.
- Limitar o acesso à informação: para minimizar os riscos e o impacto de um possível ataque com ransomware, é fundamental controlar e limitar o acesso à informação e recursos, para que os funcionários só utilizem aqueles que são imprescindíveis para realizar o seu trabalho. Desta forma, reduz-se significativamente a possibilidade que um destes ataques afete toda a rede.
- Ter sempre o software e o sistema operacional atualizados: contar sempre com a última versão do sistema operacional nos equipamentos, bem como dos programas instalados (entre eles o antivírus), e aplicar regularmente todos os pacotes de segurança evitará que os cibercriminosos tirem proveito de vulnerabilidades já existentes. Vale lembrar que esta é a estratégia de mínimo esforço para os cibercriminosos, pois eles não têm de descobrir novas formas de ataque, a não ser utilizar aquelas já conhecidas e aproveitar a janela de oportunidade que lhes é oferecida pelo usuário até que atualize o sistema.
- Implementar medidas de segurança avançadas: para além das proteções tradicionais baseadas em assinatura, como o antivírus e o IPS, as organizações necessitam incorporar camadas adicionais de segurança para se protegerem contra os malwares novos e desconhecidos. Dois elementos importantes a serem considerados: a extração de ameaças (“limpeza” de arquivos) e a simulação de ameaças (sandboxing avançado). Cada elemento proporciona um nível de segurança distinto que, quando utilizado conjuntamente, oferecem uma solução integral para a proteção contra o malware desconhecido tanto para a rede como para os dispositivos.
Check
Point Software Technologies Ltd.
Nenhum comentário:
Postar um comentário