Analysis
No Mês Europeu da Cibersegurança, Alberto Rodas, Sales Engineer da Sophos Ibéria, aborda o estado atual da cibersegurança, principalmente a evolução do ransomware e o que as organizações estão a fazer para se protegerem
26/10/2020
Como está a evoluir o ransomware de modo geral e, em particular, em Portugal? A realidade é que o ransomware não vai desaparecer – e esta é uma realidade comum a Portugal e a todos os países, na verdade. Na Sophos temos visto grupos como o WastedLocker a levar as táticas de evasão a um novo nível; inclusivamente, agora encontraram formas de iludir as ferramentas de comportamento anti-ransomware. Este é o mais recente exemplo de como os atacantes “deitam mãos à obra” e utilizam novas manobras para desativar manualmente o software, sendo este um passo prévio a um ataque de ransomware completo. Atividades furtivas como a extração de dados e a desativação de cópias de segurança são também outros indícios. Quanto mais tempo os atacantes estiverem na rede, mais danos podem fazer – é por isso que a inteligência e a resposta humanas são componentes críticas da segurança quando se trata de detetar e neutralizar os primeiros sinais de que um ataque está a acontecer. As empresas portuguesas precisam de se adaptar a estas tendências crescentes e tomar medidas para reforçar o seu perímetro, desativando o RDP para impedir que os criminosos obtenham acesso remoto à rede, um dos denominadores comuns em muitos dos ataques de ransomware que a Sophos analisa. As pequenas empresas já se começam a aperceber para os riscos associados ao não investimento em cibersegurança? Gostaríamos de poder dizer que sim, mas tendo em conta o panorama atual, em muitos casos isso não é verdade. Embora os responsáveis de TI estejam, no geral, conscientes destes riscos, muitas vezes não dispõem de recursos suficientes para os mitigar, nem para sensibilizar os utilizadores e os gestores das empresas. É por isso que as campanhas e ferramentas de sensibilização e formação como a Phish Threat são tão importantes para todos os colaboradores de uma empresa, sem exceções, funcionando como uma camada adicional de segurança. As simulações, cursos e, em suma, a formação, tornam cada um dos elos da cadeia de uma empresa consciente do risco e, assim, aumentam a segurança de todos. Para além dos tradicionais conselhos de cibersegurança, o que é que as empresas devem fazer para proteger os seus sistemas, operações e colaboradores de ransomware? Os cibercriminosos estão cada vez mais organizados, mais preparados, contam com melhores ferramentas e preparam muito melhor os ataques, que têm objetivos específicos. Existem “empresas” especializadas em encontrar vulnerabilidades e que, uma vez detetadas, vendem esses acessos a outros grupos cibercriminosos para que possam continuar o trabalho. Este é um cenário que complica a segurança de todas as empresas. A proteção tradicional que incluía o email, o perímetro, os postos de trabalho e os servidores já não serve – agora exige-se uma solução holística que permita proteger todos estes ambientes, de forma individual e também coletiva. Para além disso, as empresas não só precisam de proteger-se, como também de ser capazes de detetar possíveis ameaças no seu ambiente, até mesmo antes de elas ocorrerem; e é precisamente para isso que existem novas tecnologias como o EDR (Endpoint Detection and Response), claro, e serviços para a sua gestão. Muitas das empresas que foram afetadas tinham apenas um antivírus para proteger o local de trabalho e outras tinham, em teoria, soluções avançadas, o que demonstra que nem todas as soluções avançadas são suficientes. É preciso escolher muito bem que solução de proteção avançada se instala, pois nem todas são iguais. A Sophos publicou vários estudos sobre ransomware que incluem conselhos e as melhores práticas para proteger o Endpoint, como:
De que maneira é que o ransomware - e as ciberameaças, no geral - evoluíram em Portugal durante a pandemia? Embora não seja muito justo generalizar, o que temos visto, especialmente no início da pandemia, é que muitas empresas se deixaram levar pela urgência de manter a produção, sem ter em conta os riscos a que se expunham. Um exemplo claro foi o aumento dos escritórios remotos desprotegidos, acessíveis a partir da Internet. Por essa razão, poderíamos dizer que esta transição “acelerada”, que se tornou imperativa da noite para o dia, não foi realizada da forma mais segura em muitos casos e Portugal não foi exceção. Isto acontece muitas vezes quando as mudanças não são devidamente planeadas, os riscos não são estudados e não se conta com os recursos necessários para implementar as ditas alterações. O problema é que, nesta ocasião, várias empresas sofreram na própria pele o ditado “Pior a emenda que o soneto”, e foram afetadas por ciberataques e infeções de ransomware em resultado de estarem expostas mais do que o necessário ao mundo exterior. Os “maus da fita” estão a adaptar-se a esta nova situação através de três vias principais de ataque:
O que é que as empresas nacionais devem fazer para assegurarem que, no caso de sofrerem um ataque de ransomware, o impacto seja o menor possível? A investigação que acabámos de lançar, sobre um recente ataque com o ransomware Ryuk, revela os desafios que os sistemas de defesa estão a enfrentar. As equipas de segurança devem estar em alerta 24 horas por dia, sete dias por semana, e ter uma compreensão completa das últimas ferramentas e comportamentos dos cibercriminosos. Os resultados de um estudo global que lançámos este mês também demonstram claramente o impacto destas exigências quase impossíveis. Entre outras coisas, a confiança das empresas que foram vítimas de um ataque de ransomware na sua própria sensibilização quanto a ciberameaças ficou profundamente prejudicada. No entanto, a sua experiência com ransomware também parece ter-lhes dado uma maior apreciação da importância de contar com profissionais de segurança qualificados, bem como um sentido de urgência quanto à introdução de soluções de threat hunting nos seus sistemas de segurança, para melhor compreender e identificar os comportamentos atuais dos cibercriminosos. Sejam quais forem as razões, é evidente que quando se trata de segurança, uma empresa nunca é a mesma depois de ter sido atingida por um ciberataque de ransomware, pelo que devem seguir todos os conselhos que mencionei acima e tentar por todos os meios que tal não lhes aconteça. |