CAIS e Aon emitem recomendações para evitar ataques de ransomware como o Petya

Ao
atingir os sistemas de computadores de milhares de usuários e empresas
em centenas de países ao redor do mundo, os vírus WannaCry e Petya
conseguiram fazer em alguns dias o que a indústria de segurança digital
vem tentando há anos: conscientizar a sociedade sobre a gravidade do
risco cibernético. De acordo com estimativas da consultoria e corretora
de seguros Aon, 100% das empresas do mundo já sofreram algum tipo
violação em seus bancos de dados. O problema é que muitas vezes os
hackers operam por meses sem nunca serem descobertos.

Diante
da impossibilidade de se proteger totalmente de ataques e códigos
maliciosos, as empresas precisam tomar alguns cuidados para lidar mais
adequadamente com as consequências em casos de violações. “Algumas
invasões são realmente inevitáveis, mas nem todas elas têm potencial
para causar grandes danos. Nós medimos a gravidade de um ataque
cibernético pelo número de pessoas impactadas e pelo custo financeiro da
solução”, explica Jesus Gonzalez, vice-presidente de Risco Cibernético
da Aon.

O problema
O que fez esses últimos casos de ransomwares tomarem proporções tão grandes é sua forma de se disseminar, explica o analista do Centro de Atendimento a Incidentes de Segurança da RNP (CAIS), Rildo Souza.

“Existem duas formas desses novos ransomwares se
espalharem, eles podem explorar uma vulnerabilidade do protocolo que é
utilizado para compartilhamento de arquivos e impressoras no sistema
operacional Microsoft Windows e/ou
podem utilizar as ferramentas PSEXEC e WMIC, funções do Windows que
permitem a administradores a capacidade de gerenciar computadores
remotamente e em massa para infectar outros hosts. Ao infectar uma única
máquina em uma rede corporativa, por exemplo, o malware se espalha automaticamente para as demais. Assim, basta que o sistema operacional Windows< de
um computador não esteja atualizado e/ou que as ferramentas mencionadas
acima estejam habilitadas no sistema para que ele seja infectado”,
afirma Rildo.

Segundo Souza, para se prevenir de ataques como este, manter o sistema operacional e o sistema antimalware atualizados são algumas das medidas a serem tomadas. Segundo ele, a vulnerabilidade explorada por ataques como o WannaCry e NotPetya teve uma correção disponibilizada pela Microsoft em março, quase dois meses antes desses ataques. No entanto, muitos administradores de sistemas não fizeram a aplicação desta correção nos computadores, deixando redes inteiras vulneráveis.

“O novo ataque do ransomware NotPetya incrementou o modelo de disseminação utilizado pelo WannaCry e agora, mesmo que o usuário tenha aplicado o patch de correção da vulnerabilidade envolvendo o protocolo de compartilhamento de recursos do Windows, ele pode ser infectado, visto que esse novo ransomware se espalha na rede local usando as ferramentas administrativas do sistema mencionas acima”, explica.

O analista de segurança do CAIS, Yuri Alexandro, acrescenta que o ransomware NotPetya
é ainda mais temerário por comprometer arquivos de inicialização do
sistema operacional, fazendo com que o usuário perca acesso total ao
sistema após o seu reinício. “Esse malware especificamente
cifra os arquivos da tabela de partição de inicialização do sistema,
fazendo com que o usuário perca completamente o acesso, sem nem mesmo
poder carregar o Windows, já recebendo a tela de resgate financeiro ao ligar o computador, não conseguindo mais realizar nenhuma ação”, ressalta Alexandro.

O analista alerta ainda que, apesar desses últimos casos remeterem a infecções em
ambientes que utilizam sistemas Microsoft Windows, outros sistemas e tecnologias não estão imunes a ataques dessa natureza. “Existem casos documentados de ransomware em
sistemas operacionais Linux, em dispositivos móveis, como celulares e
tablets, e já em dispositivos de IoT (Internet das Coisas)”, conclui.

Especislistas da  Trend Micro também consideram que esse novo ataque vai além e não é uma simples variante que apenas
utiliza as técnicas de propagação já estabelecidas pelo WannaCry. Até
agora, todos os mecanismos de propagação altamente eficazes estão
completamente sintonizados para propagação interna baseada em rede a um
ritmo acelerado.

Ainda segundo
a Trend Micro, companhias que têm presença na Ucrânia ou tem parceiros
imediatos com operações no país, devem considerar diretamente esse
ataque em risco. Fora deste grupo imediato, o risco diminui
significativamente, no entanto, não existe uma garantia definitiva de
que os usuários estão a salvo e basta um único dispositivo na rede ser
infectado para que esse surto devastador seja ativado.

Como evitar esse tipo de ataque?
O primeiro passo para mitigar o risco cibernético é transmitir corretamente para todos os funcionários as normas de segurança da informação dentro da companhia. “A conscientização tem que ocorrer em todos os níveis hierárquicos. A liderança precisa compreender o papel de cada um dos colaboradores no processo de garantir a segurança da informação”, diz Jesus Gonzalez, da Aon. “De todas as ações possíveis, o desenvolvimento da educação organizacional tem o melhor custo benefício”.

Além
disso, é importante compartilhar o plano com fornecedores terceirizados
e parceiros externos que colaboram com a área de Tecnologia para que
eles possam implementar ações de resposta com mais eficiência. “Uma
resposta rápida à crise é fundamental para mitigar os danos,
especialmente no que diz respeito à reputação e marca”, afirma Gonzalez.
Outros recursos externos também precisam ser identificados no plano de
resposta. “Por exemplo, você já localizou o especialista forense que vai
ser acionado em caso de ataques ou vazamento de informações? Já
desenvolveu um sistema para notificar sua base de usuários afetada pelo
problema? Já selecionou o especialista que vai fazer o aconselhamento
legal?”, questiona Jesus. “Essas definições são prioritárias”, acredita.

O terceiro passo para se proteger do risco cibernético é desenvolver um
plano de continuidade dos negócios. Tradicionalmente, as empresas fazem
esse tipo de planejamento para lidar com riscos físicos, como incêndios e
enchentes, que podem interromper as operações. Com o desenvolvimento
tecnológico, é importante levar em conta o risco cibernético, já que ele
também tem o potencial de paralisar os negócios. “A companhia pode
arcar com os custos de uma paralisação de sistema?”, pergunta o
vice-presidente de Risco Cibernético da Aon. “Dependendo da gravidade do
ataque hacker, os danos podem ser enormes”.

Em relação a esses três passos, os analistas do CAIS recomendam:

– Usar sistemas operacionais originais e com as atualizações automáticas ativadas;

– Desativar no sistema operacional Windows® as chamadas remotas via wmi e psexec, quando o mesmo estiver instalado;

– Utilizar um programa antimalware e mantê-lo com as bases de dados e vacinas sempre atualizadas;

– Não abrir anexos ou clicar em links recebidos de remetentes suspeitos ou desconhecidos;

– Fazer cópias de segurança (backup) dos arquivos do computador com frequência.

Por
fim, o quarto passo para lidar com as consequências de um ataque hacker
ou vazamento de informações é implementar um seguro cibernético e
revisá-lo periodicamente. Em alguns casos, outras coberturas já
existentes, como apólices patrimoniais ou de riscos gerais, podem ser
ajustadas para contemplar as exposições identificadas para o risco
cibernético.

Em outros casos, é melhor contratar um seguro específico
para cuidar dessas questões. Compreender a extensão de sua cobertura
significa pensar sobre o seguro de forma holística, e não como uma
solução somente pontual. “Analise sua cobertura de modo global, e de
modo individual”, recomenda Jesus. “Avaliar todas as vulnerabilidades e
opções de transferência de risco de forma conjunta é a melhor maneira de
garantir a cobertura total.”

Muitas
vezes, empresas pequenas ou médias consideram o seguro cibernético
inacessível, mas de maneira geral elas podem ser mais beneficiadas pela
contratação do seguro do que as grandes empresas. “A seguradora assume o
risco trazendo uma série de especialistas para cuidar dos problemas. Se
houver uma invasão, a seguradora vai disponibilizar especialistas
forenses, consultores jurídicos e gestores de crise”, explica Gonzalez.
“Ou seja, com o seguro, empresas de menor porte têm à disposição uma
oferta de serviços que elas não possuiriam por conta própria”.

Os prejuízos decorrentes de ataques cibernéticos crescem a cada ano. Estima-se
que as empresas no mundo todo terão perdas de US$ 2,1 trilhões até 2019, de acordo com o estudo Cyber Handbook
da consultoria de risco e corretoras de seguros Marsh.

De
acordo com dados da consultoria de risco e corretora de seguros Marsh,
as contratações
de seguros para proteções contra ataques cibernéticos já somam cerca de
US$ 2 bilhões e pode chegar a US $ 20 bilhões até 2025. Os EUA continuam
a ser o maior mercado de seguros cibernéticos, onde quase 20% de todas
as organizações têm seguros para riscos cibernéticos.

Com a ascensão dos ataques de hackers
aos sistemas das empresas, alguns setores da economia ficaram mais expostos aos ciberataques.
Com base na carteira de risco cibernético da multinacional
americana Marsh, as indústrias de manufatura e de comunicação, mídia e
tecnologia lideram a contratação desse seguro, com 63% e 41% das
apólices, respectivamente. 

Representatividade nas contratações do Seguro Cibernético
por indústria, segundo o Cyber Handbook 2016 é a seguinte:

 

No
Brasil, estima-se que há atualmente 40 apólices de seguros contratadas
pelas empresas contra ataques
de hackers. Hospitais, instituições financeiras, tecnologia, varejo,
alimentos e bebidas estão os cinco segmentos que mais contratam seguros
cibernéticos.

Em virtude do aumento dos ataques cibernéticos e da maior exposição dos dados de seus clientes, houve
no Brasil um aumento na procura por seguros e projetos de gestão de risco como forma de gerenciar possíveis ataques de hackers.

Ações do CAIS para reforçar a segurança
O CAIS
teve papel de destaque no apoio às universidades e instituições de
ensino e pesquisa usuárias da rede acadêmica, administrada pela Rede
Nacional de Ensino e Pesquisa (RNP). Em 19 de abril, por meio de seu
serviço de alertas de segurança, divulgou a correção para a
vulnerabilidade no serviço SMB, da Microsoft, a mesma explorada pelo
Wannacry. Além disso, tem realizado ações de conscientização sobre o uso
seguro de computadores e sistemas, tanto para técnicos e analistas de
tecnologia da informação, quanto para usuários finais das instituições
clientes. 

Desde 2008, a RNP disponibiliza para consulta todas as fraudes identificadas pelo CAIS
sobre os principais golpes que estão em circulação. Para reportar
fraudes sobre os links maliciosos e páginas falsas de instituições,
basta enviar um e-mail para phishing@cais.rnp.br.