Na Mídia

Entrevista

Entrevista sobre ransomware em Cibercrimes da Vida Real

No dia 28 de setembro, o fundador e CVO da Syhunt Felipe Daragon participou como painelista ao lado dos especialistas Fernando Ceolin (Akamai) e Rafael Silva (KnowBe4) no evento Cibercrimes da Vida Real para discutir como se proteger do ransomware.

Confira abaixo os principais trechos da entrevista realizada por Igor Lopes com Daragon. Caso prefira, ainda é possível assistir ao video com todos os participantes no site oficial do evento.


O que é o ransomware? Como que um ransomware pode entrar no computador, como que ele chega até la?

Felipe Daragon: Existem muitas formas de um ransomware entrar num computador. A palavra ransom significa pedir algo em troca, no caso do que eram os seus arquivos. Eles criptografam [os arquivos] e exigem este pagamento, este é o processo. Hoje em dia qualquer deslize [na segurança] da rede, ou nosso pessoal de abrir um arquivo que não deveria de uma fonte insegura, pode levar a uma infecção por ransomware.

Tem alguns dados que falam que em 30% só dos resgates pagos as empresas tiveram os dados de volta. É complicado pois mesmo pagando você não tem a garantia de que aquele dado vai voltar. É interessante pagar ou não é?

Felipe Daragon: Infelizmente tem muitos casos de diretores que tomaram essa decisão de pagar, mas realmente não há garantia nenhuma de que os hackers que cometem esse tipo de chantagem vão cumprir com a palavra. Então, eu penso o seguinte: a melhor forma de lidar com isso é entender que você falhou e mapear quais reflexos que aquilo vai ter, aquela informação vazada, comunicar da melhor maneira possível, tomar medidas pra isto não ocorrer novamente, Deve-se lidar com a realidade, e se em algum ponto este tipo de falha aconteceu, já era - uma vez que os dados vazam, não tem mais como colocar a informação de volta na "caixa".

Como é que eu tiro o ransomware da minha máquina, da minha empresa? Como que se resolve já que não vou pagar o resgate?

Felipe Daragon: A partir do momento em que se tem o conhecimento de que houve uma infecção tem que se fazer um levantamento sobre toda a segurança que você tem no momento dentro da sua rede. Tudo tem que ser re-avaliado, como que a infecção aconteceu, como ela se iniciou, isto tem que ser feito de forma bem detalhada, conferindo logs (registros de tudo que ocorreu dentro da empresa). Algo que as empresas devem ter cada vez mais atenção, é que as vezes tem acontecido uma combinação de fatores.

A gente viu isso agora, em um caso recente. Houve uma senha vazada na dark web e esta senha foi obtida através de um ransomware e a partir daí o hacker sabia que existia um MFA (multi factor authentication), fez um ataque em cima do funcionário, mas não estava funcionando e ele precisou mandar uma mensagem para o funcionário, realizando o chamado ataque de engenharia social, se fazendo passar por um funcionário da própria empresa e dizendo "olha, você precisa aceitar lá os pedidos do MFA. Aqui somos da equipe técnica e tal" e aparentemente foi assim que isso se concretizou o ataque. Então vc teve aí uma combinação de coisas e um fator principal para isto ter funcionado, na reta final depois de tudo ter acontecido, foi o ataque de engenharia social. Os ataques de engenharia social têm sido cada vez mais usados para contornar os mecanismos de segurança já existentes.

Às vezes o próprio o C-level da empresa é atacado com um ransomware quando o atacante quer que a vítima seja própria empresa. A pessoa física também corre o risco nestes casos. Como que acontece neste sentido, como que eu posso me previnir, eu sendo um diretor de empresa eu sendo um possível alvo num caso desses?

Felipe Daragon: Até mesmo uma clonagem de voz é possível hoje com machine learning, então capturando um áudio de um diretor de empresa já se consegue clonar a voz dele. A gente tem com nossa mentalidade de profissional de segurança, que é um pouco mais paranóica, digamos assim, feito esse exercício de pensar o que aconteceria se esse meu dado fosse acessado, o que aconteceria se aquele lugar fosse hackeado, então você começa também a desenhar um pouco do que você vai fazer na sua segurança pensando nisto, já se preparando para um ataque. Buscar simular internamente os ataques, e aí podem entrar até os ataques de engenharia social sobre o qual falava, pode ter um efeito bastante positivo na arquitetura da segurança.

Será que as empresas estão preparadas e estão com as ferramentas corretas para combater isto que a gente está vivendo hoje?

Felipe Daragon: Um exemplo que eu ia dar, isto da questão das tecnologias defasadas que as vezes se utiliza, o antivirus é algo absolutamente necessário nesta luta contra o ransomware, mas é fato que a maioria das vítimas de ransomware no mundo estatisticamente, as empresas que são vitimas, elas estavam com o antivirus atualizado, algo como mais de 70% das vítimas. Então o antivirus não segura a maioria desses ransomware, quer dizer, segura as variantes já conhecidas, mas quando o grupo vai atacar, tem o foco e o objetivo de realmente de causar dano a uma vítima, ele pega todos os antivirus do mercado com as últimas atualizações, ele testa o software malicioso nestes antivirus todos até confirmar que eles não detectam o novo ransomware. E assim o grupo infecta a máquina e não adianta estar com o antivirus mais atualizado que não vai segurar. Então, tudo isto tem que ser re-imaginado em muitos aspectos pra se utilizar tecnologias e abordagens novas, pois realmente o cenário mudou bastante.


Caso queira saber mais sobre a ameaça ransomware, no início deste ano a Syhunt publicou um artigo especial e detalhado sobre o ransomware, que pode ser acessado através deste link.

Contato