Ramsonware: Como se proteger

As declarações recentes por parte de um dos grupos de ransomware mais ativos: o “Conti group” que opera desde 2020 com o ransomware Ryuk e que está baseado em São Petersburgo (Rússia) de que irá agir contra todos os países que estiverem “contra a Rússia” deveria colocar todos os 46 países que integram a lista oficial “inimigos da Rússia” de sobreaviso.

O Conti não é o único grupo protegido e baseado na Rússia: estima-se que 74% de todo o dinheiro capturado em operações de ransomware acabe em mãos russas e a marca russa parece nítida porque boa parte do software é desenhado para não correr se o computador usar IPs russos e dado o nível muito elevado de actividade destes grupos em grupos de discussão de língua russa. É assim razoável presumir que vão aumentar os ataques a partir do território da federação russa e que Portugal não ficará imune a esta tendência global contra todos os países que se posicionaram contra a “operação especial” na Ucrânia.

Isto significa que as empresas e os cidadãos portugueses se devem preocupar pela primeira fase de uma operação de ransomware: a penetração nos seus sistemas e redes que é feito, por regra, através de Phishing. Para se proteger é possível contratar serviços como os disponibilizados por empresas como a www.mimecast.com ou a www.proofpoint.com que oferece segurança ao email através de protecção avançada contra spam, malware ataques DoS, reescrita de URLs anexados em mensagens de correio electrónico, arquivo de email na cloud em triplicado e em sistemas imutáveis acessíveis por um cliente desktop ou através da web. Mas antes de adquirir serviços deve começar pelos básicos e instruir os seus utilizadores ou familiares a:
1. Terem especiais cuidados com links e anexos em mensagens que têm origem fora da organização ou família
2. Estarem atentos a todas as tentativas de disfarce nos campos de “From:” (por exemplo escrevendo na descrição de um mail externo o mail e nome de alguém da rede local ou da família)
3. A nomes de domain semelhantes mas diferentes daqueles que conhece e usa,
4. e se tem um mail domain próprio à boa configuração dos registos SPF, DKIM e DMARC (que pode avaliar facilmente no https://webcheck.pt/pt)

Adicionalmente e na frente muito importante dos utilizadores da sua rede doméstica ou organizacional:
1. Invista na sua própria formação e na das pessoas que acedem à Internet na sua família e empresa. Para o fazer convide todos a fazer o curso online gratuito “Cidadão Ciberseguro” que está disponível em https://www.nau.edu.pt/pt/curso/cidadao-ciberseguro.
2. Se trabalha numa organização pública ou numa empresa defina um fluxo claro e bem comunicado que os utilizadores possam seguir para reportarem todas as situações que considerem suspeitas: uma caixa de correio, um número de telefone especializado. Na comunicação deixe claro que os utilizadores que usarem este contacto não estão a perder o seu tempo nem o dos técnicos que analisarão cada uma destas situações: pelo contrário: podem salvar a organização de um dano considerável ou, até, fatal. Mais vale gastar alguns minutos a verificar se um email é uma porta de entrada para um ataque de ransomware do que perder dados valiosos para a organização. Pondere um sistema de prémios em vez de punições: elogie que levanta casos suspeitos e permite o barramento de campanhas de phishing. Premeie estas pessoas com destaques na newsletter regular ou através de prémios simbólicos.
3. Faça simulações de campanhas de phishing com ferramentas disponíveis em vários (como as da https://www.titanhq.com) ou através de mensagens de mail desenhadas e criadas por si mesmo que, depois, podem medir quem clicou ou abrir (por exemplo colocando um form de credenciais num apache server controlado por si).

Depois de terem entrado na sua rede através da exploração de uma vulnerabilidade de um dos seus sistemas ou (mais frequentemente) através de um mail de phishing, o hacker vai colocar a correr na máquina ou máquinas comprometidas um “Dropper” um software encarregue de carregar da Internet o verdadeiro payload do kit. Se entraram, esta será a sua segunda oportunidade para os travar.
1. Comece por ter um bom antivirus (o ranking dos melhores AV gratuitos muda todos os anos:https://www.pcmag.com/picks/the-best-free-antivirus-protection) mas, considere seriamente investir num software pago (que não seja o russo Kaspersky conforme recomendação do EUA desde 2017 e desde 2021 da Alemanha e nomeadamente num dos recomendados neste link: https://www.investopedia.com/best-antivirus-software-5084503).
2. Se tem controlo sobre a sua rede local estude e implemente o Applocker (terá que ter sistemas Windows Enterprise e configurar Group Policies como pode constatar em https://docs.microsoft.com/en-us/windows/security/threat-protection/windows-defender-application-control/applocker/applocker-overview). Desta forma poderá controlar que aplicações pode e não pode executar na sua rede ou computador e até definir a partir de que paths esses programas podem ser executados (por vezes os hackers usam programas com nomes familiares que são executados a partir de paths não convencionais).
3. Se ainda não tem instale o proxy server (como o gratuito http://www.squid-cache.org) e monitorize os acessos que por aqui passam usando o ficheiro squid.conf para somar URLs que são usados por estes gangs de ransomware.
4. Configure os seus computadores na firewall local ou na firewall da organização para que possam sair para a Internet apenas or HTTP ou HTTPS (ou em qualquer outro protocolo que seja necessário como o FTP ou o SFTP)
5. Se não existe uma razão de negócio ou de trabalho para aceder a TLDs mais usados por gangs de malware barre o seu acesso no squid.conf (ver acima) e que não surgem, frequentemente (como o .com) em acessos legítimos: é o caso de .tk, .cn, .ga, .cf, .tw, .ml, .gq, .icu, .top e .xyz.
6. Use um proxy corporativo: não permita que na sua rede local existam computadores sem VPN, mesmo quando tudo o que acedem está na Internet e tenha um proxy como o Squid (gratuito) que poderá ter, até, um balanceador de carga (gratuito) como o HAproxy. E nesse proxy configure regras de conteúdo. Monitorize e barre acessos a sites perigosos: designadamente redes sociais, sites de partilha de ficheiros ou pornografia.
7. Não permita, por defeito, a execução de macros em ficheiros Office: Actualmente uma das variantes de dropper (um programa malicioso que carrega o malware para o computador ou telemóvel do alvo) usa uma macro de excel dentro de um .zip para criar a sua botnet: Trata-se do ncZip/XLSMDownldr.A.aggr!Camelot.
8. Ligue as firewalls dos computadores. Um dropper terá dificuldades em carregar o seu malware se tiver que lidar com firewalls locais ligadas em cada computador. É desta forma que poderá controlar que aplicações podem aceder à Internet e controlar os script engines e se acedem (ou não) à Internet.
9. Para os computadores Windows da sua rede, use uma Group Policy para que extensões tais como .bat, .js, .vbs, .hta e .ps1 são executadas pelo notepad.exe e não pelo script engine correspondente. Se tiver automatismos eles ficarão quebrados pelo processo mas poderá não usar todas estas extensões e a assim reduz a sua superfície de ataque
10. Instale uma ferramenta como o https://www.activecountermeasures.com/free-tools/rita/ para analisar o seu tráfego de rede em busca de padrões que localizem e identiquem malware activo na sua rede.

Quanto uma rede local fica infectada a infecção começa sempre num único computador e é aqui que pode travar um problema que, muito rapidamente, pode destruir toda a sua rede:
1. Crie formas de impedir o movimento lateral na sua rede: ligue as firewalls dos computadores e impeça os computadores da sua rede de comunicarem entre si. Se tem um servidor na sua rede: ligue a sua firewall e ajuste os recursos a que ele pode aceder. Bloqueie acessos RDP ou SSH que não sejam necessários. Bloqueie acessos a servidores internos (como consolas de servidores virtuais OVM, VMware ou hyper-v) que não sejam necessários aos utilizadores comuns.
2. Se tem um servidor de file share para todos os utilizadores: divida-o por vários (por exemplo: por departamento) e controle o acesso aos mesmos por segmento de rede ou por firewall configuradas para grupos de computadores. Isto pode impedir um malware de sair do departamento ou área que foi inicialmente infectado.
3. Nos file shares evite shares abertos a todos, para escrita, e funcione ou altere os shares com base no princípio de “menor permissão necessária”: isso poderá impedir que muitos ficheiros sejam encriptados por malware. Reveja todos os seus shares de rede e elimine os obsoletos.
4. Controle as credenciais com permissões administrativas na sua rede: Use o LAPS da Microsoft (gratuito) para ter passwords de administração diferentes nas máquinas da sua rede. Como backup crie passwords de administração diferentes em todas as máquinas e guarde-as num ficheiro KeePass. Reduza a quantidade de credenciais de administração ao número mínimo possível e crie alertas para quando são usadas e permita apenas que sejam usadas em certos servidores ou computadores.
5. Separe as contas que usa no dia a dia das contas com privilégios de sistema.
6. Procure manter todos os equipamentos, sistemas e aplicações actualizados e com os patches disponíveis nos fabricantes. Desta forma poderá resolver muitas vulnerabilidades e impedir a entrada do ransomware.

Execute alguns ou todos estes passos e poderá ter a certeza de que a sua rede familiar ou organizacional fica mais protegida contra ramsonware mas tenha sempre a certeza de algo: não há soluções milagrosas e no que respeita a incidentes de cibersegurança há sempre uma certeza: não é o “vai acontecer” que importa é o “quando” e o que vai fazer a este propósito pelo que deve de antecipadamente redigir e testar um plano de resposta e, sobretudo, ter sempre backups offsite regulares (e testados) para os seus ficheiros e sistemas mais críticos.

CpC – Cidadãos pela Cibersegurança

Deixe uma Resposta

Preencha os seus detalhes abaixo ou clique num ícone para iniciar sessão:

Logótipo da WordPress.com

Está a comentar usando a sua conta WordPress.com Terminar Sessão /  Alterar )

Imagem do Twitter

Está a comentar usando a sua conta Twitter Terminar Sessão /  Alterar )

Facebook photo

Está a comentar usando a sua conta Facebook Terminar Sessão /  Alterar )

Connecting to %s

Create your website with WordPress.com
Iniciar
%d bloggers like this: