Entrevista

Na M�dia

Entrevista sobre ransomware em Cibercrimes da Vida Real

No dia 28 de setembro, o fundador e CVO da Syhunt Felipe Daragon participou como painelista ao lado dos especialistas Fernando Ceolin (Akamai) e Rafael Silva (KnowBe4) no evento Cibercrimes da Vida Real para discutir como se proteger do ransomware.

Confira abaixo os principais trechos da entrevista realizada por Igor Lopes com Daragon. Caso prefira, ainda � poss�vel assistir ao video com todos os participantes no site oficial do evento.

O que � o ransomware? Como que um ransomware pode entrar no computador, como que ele chega at� la?

Felipe Daragon: Existem muitas formas de um ransomware entrar num computador. A palavra ransom significa pedir algo em troca, no caso do que eram os seus arquivos. Eles criptografam [os arquivos] e exigem este pagamento, este � o processo. Hoje em dia qualquer deslize [na seguran�a] da rede, ou nosso pessoal de abrir um arquivo que n�o deveria de uma fonte insegura, pode levar a uma infec��o por ransomware.

Tem alguns dados que falam que em 30% s� dos resgates pagos as empresas tiveram os dados de volta. � complicado pois mesmo pagando voc� n�o tem a garantia de que aquele dado vai voltar. � interessante pagar ou n�o �?

Felipe Daragon: Infelizmente tem muitos casos de diretores que tomaram essa decis�o de pagar, mas realmente n�o h� garantia nenhuma de que os hackers que cometem esse tipo de chantagem v�o cumprir com a palavra. Ent�o, eu penso o seguinte: a melhor forma de lidar com isso � entender que voc� falhou e mapear quais reflexos que aquilo vai ter, aquela informa��o vazada, comunicar da melhor maneira poss�vel, tomar medidas pra isto n�o ocorrer novamente, Deve-se lidar com a realidade, e se em algum ponto este tipo de falha aconteceu, j� era - uma vez que os dados vazam, n�o tem mais como colocar a informa��o de volta na "caixa".

Como � que eu tiro o ransomware da minha m�quina, da minha empresa? Como que se resolve j� que n�o vou pagar o resgate?

Felipe Daragon: A partir do momento em que se tem o conhecimento de que houve uma infec��o tem que se fazer um levantamento sobre toda a seguran�a que voc� tem no momento dentro da sua rede. Tudo tem que ser re-avaliado, como que a infec��o aconteceu, como ela se iniciou, isto tem que ser feito de forma bem detalhada, conferindo logs (registros de tudo que ocorreu dentro da empresa). Algo que as empresas devem ter cada vez mais aten��o, � que as vezes tem acontecido uma combina��o de fatores.

A gente viu isso agora, em um caso recente. Houve uma senha vazada na dark web e esta senha foi obtida atrav�s de um ransomware e a partir da� o hacker sabia que existia um MFA (multi factor authentication), fez um ataque em cima do funcion�rio, mas n�o estava funcionando e ele precisou enviar uma mensagem para o funcion�rio, realizando o chamado ataque de engenharia social, se fazendo passar por um funcion�rio da pr�pria empresa e dizendo "olha, voc� precisa aceitar l� os pedidos do MFA. Aqui somos da equipe t�cnica e tal" e aparentemente foi assim que isso se concretizou o ataque. Ent�o vc teve a� uma combina��o de coisas e um fator principal para isto ter funcionado, na reta final depois de tudo ter acontecido, foi o ataque de engenharia social. Os ataques de engenharia social t�m sido cada vez mais usados para contornar os mecanismos de seguran�a j� existentes.

�s vezes o pr�prio o C-level da empresa � atacado com um ransomware quando o atacante quer que a v�tima seja pr�pria empresa. A pessoa f�sica tamb�m corre o risco nestes casos. Como que acontece neste sentido, como que eu posso me previnir, eu sendo um diretor de empresa eu sendo um poss�vel alvo num caso desses?

Felipe Daragon: At� mesmo uma clonagem de voz � poss�vel hoje com machine learning, ent�o capturando um �udio de um diretor de empresa j� se consegue clonar a voz dele. A gente tem com nossa mentalidade de profissional de seguran�a, que � um pouco mais paran�ica, digamos assim, feito esse exerc�cio de pensar o que aconteceria se esse meu dado fosse acessado, o que aconteceria se aquele lugar fosse hackeado, ent�o voc� come�a tamb�m a desenhar um pouco do que voc� vai fazer na sua seguran�a pensando nisto, j� se preparando para um ataque. Buscar simular internamente os ataques, e a� podem entrar at� os ataques de engenharia social sobre o qual falava, pode ter um efeito bastante positivo na arquitetura da seguran�a.

Ser� que as empresas est�o preparadas e est�o com as ferramentas corretas para combater isto que a gente est� vivendo hoje?

Felipe Daragon: Um exemplo que eu ia dar, isto da quest�o das tecnologias defasadas que as vezes se utiliza, o antivirus � algo absolutamente necess�rio nesta luta contra o ransomware, mas � fato que a maioria das v�timas de ransomware no mundo estatisticamente, as empresas que s�o vitimas, elas estavam com o antivirus atualizado, algo como mais de 70% das v�timas. Ent�o o antivirus n�o segura a maioria desses ransomware, quer dizer, segura as variantes j� conhecidas, mas quando o grupo vai atacar, tem o foco e o objetivo de realmente de causar dano a uma v�tima, ele pega todos os antivirus do mercado com as �ltimas atualiza��es, ele testa o software malicioso nestes antivirus todos at� confirmar que eles n�o detectam o novo ransomware. E assim o grupo infecta a m�quina e n�o adianta estar com o antivirus mais atualizado que n�o vai segurar. Ent�o, tudo isto tem que ser re-imaginado em muitos aspectos pra se utilizar tecnologias e abordagens novas, pois realmente o cen�rio mudou bastante.

Caso queira saber mais sobre a amea�a ransomware, no in�cio deste ano a Syhunt publicou um artigo especial e detalhado sobre o ransomware, que pode ser acessado atrav�s deste link.