�ձ���ë�г�

[Consciência ETIR/IFSP #1][TLP:CLEAR] Guia de prevenção contra os ataques de sequestro e vazamento de dados (ransomwares)

--
[TLP:CLEAR] - Não há limites na divulgação.
Conheça mais sobre TLP em: https://www.gov.br/cisc/pt-br/tlp
--

O presente material, elaborado pela ETIR-IFSP (Equipe de Tratamento e Resposta a incidentes em Redes Computacionais do IFSP), servirá como uma referência para consulta rápida, tendo como seu principal objetivo trazer informações que favoreçam a conscientização, esclarecimento e a prevenção contra os ataques cibernéticos no âmbito do IFSP, que levem à criptografia, sequestro e o vazamento de dados institucionais e pessoais, ataques estes denominados tecnicamente de Ransomwares. Esta ação também visa contribuir direta e indiretamente para o fortalecimento da segurança cibernética ao fator humano, peça fundamental ao perfeito funcionamento do ambiente computacional da instituição.

Conceitos e Definições:

• - �侱�������é�پ�����: Universo ou espaço produzido e composto por elementos computacionais e suas comunicações.

A palavra Ransomware é a junção de “ransom” (resgate) e “ware” (referência à elementos computacionais), e é um tipo de programa (software, código, script) malicioso, que ao efetuar um ataque com sucesso “sequestra” e torna inacessíveis os dados e arquivos armazenados em um equipamento, bloqueando-os ou criptografando-os e exibindo uma mensagem ou aviso. Ou seja, cria-se uma barreira para impedir o acesso e somente o criminoso tem a chave para torná-los acessíveis novamente. Normalmente é exigido o pagamento na forma de um resgate para restabelecer o acesso ao proprietário. O pagamento geralmente é realizado através de criptomoedas, porém nunca é recomendado o pagamento, pois não há nenhuma garantia de que criminoso liberará os acessos.

Existem dois tipos de ransomware:

��

• - Ransomware Locker: impede que você acesse o equipamento infectado, criando um bloqueio, inicialmente, sem o uso de criptografia.

��

��

��

��

��

• - Ransomware Crypto: impede que você acesse os dados armazenados no equipamento infectado, geralmente usando criptografia.

��

��

��

��

Sistemas que podem ser atacados:

Para todos os sistemas conhecidos hoje e que estejam vulneráveis existe pelo menos uma variante de Ransomware em potencial.

Conceitos e Definições:

• - Criptografia: Sistema matemático que gera uma espécie de embaralhamento ou codificação dos dados, antes legíveis em texto claro, transformando-os em um formato que não seja entendido facilmente por terceiros, onde somente seu proprietário ou quem criptografou a informação possa revelá-los novamente.
• - Criptomoedas: Tipos de dinheiros totalmente digitais e de operação descentralizada. Ex: Bitcoin, Ethereum.
• - �ճܱ��Ա��á���𾱲�: Não tenham recebido as devidas atualizações de segurança sugeridas pelo desenvolvedor ou fabricante ou por não possuírem atualização.

Engenharia Social

Principal meio utilizado pelos criminosos em ataques e fraudes, virtuais e presenciais, se utilizando de meios, como o contato pessoal, contato virtual ou o contato telefônico, em alguns casos uma junção de todos estes, buscando�� nos convencer, persuadir, abusando da nossa boa fé, fazendo-nos obedecê-los.

• - Ocorre, por exemplo, quando o criminoso:
  • - tenta nos convencer a fornecer informações sensíveis;
  • - tenta nos convencer a acessar links, anexos, conteúdos ou arquivos suspeitos e maliciosos;��
  • - tenta nos convencer a conectar dispositivos desconhecidos e maliciosos em uma rede institucional para facilitar o ataque.
  • - tenta acessar fisicamente um local restrito;

Pescaria de dados (phishing)

Tipo de fraude que combina meios técnicos eletrônicos e engenharia social para convencimento e persuasão.

• - Ocorre, por exemplo, quando o criminoso:
  • - Tenta nos convencer a realizar interações eletrônicas suspeitas, que podem desencadear o ataque cibernético, ou a fornecer condições facilitadas para a ação criminosa.
  • - Envia mensagens eletrônicas via e-mails ou aplicativos de mensagens, com links e ou anexos maliciosos;
  • - Realiza ações que combinam mensagens eletrônicas e ligações telefônicas;

Sistemas ou serviços desatualizados e vulneráveis

Quando o ataque de ransomware é desencadeado, através dos meios descritos acima, ele passa a se propagar, explorando vulnerabilidades em sistemas ou serviços que não tenham recebido as devidas atualizações de segurança.
Estas vulnerabilidades permitem a execução de ações sem o nosso consentimento, o próprio código malicioso começa a busca de forma autônoma por alvos vulneráveis na rede, sejam eles outras máquinas, servidores de serviços computacionais ou dispositivos de rede, exploram as vulnerabilidades, comprometendo-os e se propagando, ou fazendo-os de ponte para o acesso a outros dispositivos externos.

��

Em um ambiente institucional, os impactos são muito severos:

Comprometimento das redes onde ocorreu o ataque, a criptografia/bloqueio dos dados armazenados e a paralisação dos serviços e sistemas

• - A propagação é automática nos dispositivos vulneráveis da rede em que o ataque foi originado e em outras redes em casos de vulnerabilidades bastando que alguém inicie o programa malicioso involuntariamente.
  
  • - Podem atingir desde dispositivos de rede, as máquinas pessoais e até as que funcionam como provedoras centrais dos serviços de tecnologia (servidores), criptografando/bloqueando os arquivos e dados, e paralisando os serviços providos, gerando prejuízos.
  • - Em alguns casos técnicos específicos, o ataque pode ir laém das redes locais, e se propagar entre redes externas que estejam desprotegidas, isso ocorre mesmo através de serviços como de VPN por exemplo, ampliando ainda mais o impacto institucional.

Roubo de dados

• - Durante o ataque, o criminoso realiza a extração (roubo) de todos os arquivos e dados das máquinas atingidas, armazenando-os em local remoto, externo e controlado por ele. Imagine conteúdos extremamente sensíveis em posse de um criminoso, que poderá torná-los públicos a qualquer momento.

Extorsão através de resgate e possível exposição de dados sensíveis e pessoais

• - Após o ataque, o criminoso normalmente solicitará o pagamento de um resgate para liberar o acesso aos arquivos, não parando por aí, ainda há a ameaça de que estes dados serão tornados públicos na internet. Não há nenhuma garantia que após o pagamento os arquivos ou dados serão liberados ou não serão publicados. Do outro lado estão criminosos que não tem nada a perder.

��

Reflita sobre o impacto, paralisações, transtorno e trabalho técnico necessários para que um ambiente atacado volte a operar normalmente.��

O IFSP possui mecanismos e processos técnicos de prevenção e proteção às ameaças cibernéticas, porém, cada um de nós é parte crucial no mecanismo e no processo humano de proteção contra incidentes cibernéticos que afetem os dados institucionais, pessoais e o funcionamento dos serviços eletrônicos.��

Todos temos responsabilidades éticas e legais sobre a segurança das informações institucionais!

Conceitos e Definições:

• - Segmento de rede: Subdivisão de uma rede de computadores. Em um ambiente institucional podemos dar exemplos de redes administrativas e redes acadêmicas.
• - VPN: Acrônimo de Rede Privada Virtual. Rede que funciona sobre a internet, interligando através de um túnel, entes institucionais. Também interliga da mesma forma, pessoas que estejam fisicamente externas a estes entes institucionais.

Apesar da sofisticação que o código malicioso possui, ele precisa ser iniciado, seja por alguém de nós, que tenha sido convencido a realizar alguma ação de forma involuntária, seja por um criminoso que conseguiu um acesso privilegiado àquele ambiente.��

O fato é que o sucesso de um ataque de Ransomware depende de uma falha humana ou de um sistema vulnerável.

Para que possamos exercer controle sobre estes fatores, há medidas simples e muito eficazes de proteção contra este tipo de ataque

Cuidemos do sistema e de seus programas

• - Mantenha o sistema operacional e os programas instalados com todas as atualizações aplicadas;
• - Tenha um antivírus/anti-malware instalado e atualizado, com proteções locais e de internet ativas. Eles nos protegem contra ameaças já conhecidas, porém, sabemos que novos códigos maliciosos surgem a todo momento e nem sempre são acompanhados pela capacidade de atualização destes�� mecanismos. Por isso que eles são uma camada para nossa proteção e não uma solução definitiva. O nosso comportamento preventivo é a arma mais eficaz, onde desconfiar é sempre a regra de ouro;

Fiquemos atentos aos links

- Tenha cuidado ao clicar em links ou ao abrir quaisquer arquivos que tenham chegado até você, seja através de e-mails, anexos, aplicativos de mensagens, anúncios, pendrives, etc, não importando como foram recebidos e quem os enviou;

• - Sempre que possível, prefira digitar o link no navegador do que acessá-los através de click.
• - Sem clicar, posicione o mouse sobre o link e observe a barra inferior do seu navegador, ela mostrará para onde você realmente será levado.
• - Não acesse links ou sites que estejam no formato numérico (IP), por exemplo: https://123.123.123.123. A probabilidade de ser um site falso é muito grande.

��

��

��

��

��

• - Quando acessar um site, observe além do “cadeadinho verde”, observe também o certificado, ele dirá quem é o proprietário do site.

��

��

��

��

��

• - Tenha cuidado ao clicar em links ou ao abrir quaisquer arquivos que tenham chegado até você, seja através de e-mails, anexos, aplicativos de mensagens, anúncios, pendrives, etc, não importando como foram recebidos e quem os enviou;

Fiquemos atentos às mensagens

• - Apresentam no campo “Assunto”: textos alarmantes ou vagos como “Sua senha está inválida”, “A informação que você pediu”, “Veja aqui as suas fotos”, “Nós temos informações sobre você” e “Parabéns”;
• - Apresentam no “Corpo”: mensagens que sejam objetivas e insistentes, pedindo para acessar algum link, baixar algum anexo, instalar algum programa ou fornecer alguma informação;
• - Não considere que mensagens vindas de conhecidos são sempre confiáveis, pois o campo remetente pode ter sido falsificado ou elas podem ter sido enviadas de contas falsas ou invadidas;
• - Verifique inclusive o link daquela reunião que você não marcou, fique atento a links que possuem em sua formação os dizeres “.exe”, “.bat”, “.sh”, por exemplo;

Questione-se!

• - Por que instituições ou pessoas com as quais você não tem contato estão lhe enviando mensagens:
• - Se você não tem conta em um determinado banco ou vínculo com determinada empresa, não há porque recadastrar dados ou atualizar módulos de segurança; mesmo as que você tiver vínculo, não é usual o contato telefônico, por aplicativos de mensagem ou por e-mail. Procure imediatamente os canais seguros de comunicação para confirmação;
• - Por mais que as ligações ou mensagens sejam de um ente querido ou colega de trabalho ou de uma empresa parceira solicitando�� dados, nunca faça o que te pedem. Procure�� confirmar as informações, pois o número telefônico, conta de e-mail ou conta do aplicativo�� dessa pessoa ou empresa podem ter sido clonados, roubados ou falsificados.
• Desconfie sempre! Não forneça informações principalmente por meios digitais ou telefônicos, antes de ter absoluta certeza�� do que, e de quem se trata, e que isso é legal;

Cuidado com o que compartilhamos!

• - Ataques direcionados de ransomware podem ser planejados para atingir a instituição através de seus colaboradores, em todos os níveis. Os criminosos realizam um estudo minucioso de nossa vida virtual pública, criando um cenário totalmente realístico para nos persuadir (engenharia social).��
• - Exposição demais gera informações demais. Quanto mais informações espalharmos, menos controle temos sobre elas. Informações�� espalhadas na internet jamais se apagam totalmente.

Cuidados com as nossas credenciais!

• - Como vimos nos tópicos anteriores, os ataques de ransomwares também podem ocorrer através de atacante que consiga acesso a um ambiente privilegiado, uma das formas de um atacante conseguir este acesso é através do roubo de credenciais ou através de credenciais vazadas nas camadas da internet.
• - Se você tiver notícia de que alguma empresa que você possui cadastro, sofreu algum tipo de ataque cibernético, troque imediatamente as suas credenciais em todos os locais que as usa repetidamente.
• - Procure utilizar senha “fortes”, evitando que elas sejam descobertas por ataques de dicionário ou força bruta, o famoso “tentativa e erro, tentativa acerto”. Uma senha forte deve possuir no mínimo 8 caracteres, sendo obrigatório o uso desta combinação na sua composição: ao menos dois dos caracteres da sua senha devem ser maiúsculos, minúsculos (letras), números e símbolos permitidos.
• - Sempre habilite o segundo fator de autenticação em suas contas, ele é a sua segurança extra contra acesso não autorizados.
• - JAMAIS utilize credenciais institucionais para cadastros pessoais. E quando a utilizar para cadastros ligados a sua função, nunca utilize a mesma senha.
• - Nunca salve as suas credenciais em navegadores de internet. Os dados salvos ali são facilmente capturados em caso de um ataque cibernético. Prefira sempre as ferramentas chamadas de “Cofres de senha”.

Cuidados com as redes onde nos conectamos!

• - Quando nos conectamos em uma rede (cabeada ou wifi) desconhecida, não sabemos quem é que está por trás dela ou como é a segurança dessas redes, por isso em caso de necessidade, utilize a sua rede de dados móveis.
• - Seu dispositivo pode estar sendo acessado de forma não autorizada e seus dados roubados ou comprometidos.
• - Seus tráfego de rede pode estar sendo interceptado por um criminoso. Ele pode ter criado uma rede falsa para que você se conecte e ele possa capturar suas credenciais.
• - O criminoso poderá realizar redirecionamentos do seu acesso, portanto, se você acessar um site legítimo, o criminoso que controla a rede poderá forçar sua conexão para acessar um site malicioso, comprometendo o seu dispositivo.
• - Qualquer rede está suscetível à interceptações, porém, redes públicas ou�� residenciais são mais vulneráveis que as redes de dados móveis (3G, 4G ou 5G).

Backup

• - E a dica de ouro quando o assunto são ataques de ransomwares: Façamos backups frequentes dos arquivos mais críticos e importantes de nossos dispositivos. Se o equipamento for infectado, a única garantia de rever e acessar os arquivos novamente é possuir backups atualizados. O pagamento do resgate aos criminosos não garante que você conseguirá restabelecer o acesso aos dados;

Conceitos e Definições:

• - IP: Endereço do Protocolo de Internet. Ou seja, é um identificador de conexões com a internet.
• - Ataque de dicionário ou força bruta: destinado a burlar um mecanismo de autenticação com o objetivo de descobrir uma senha tentando centenas ou, algumas vezes, milhões de possibilidades, como por exemplo, usando um aglomerado de combinações que formam palavras aleatórias.
• - Backup: Cópia de segurança dos seus dados em um dispositivo. Após a cópia, ela deve ficar fora do dispositivo.

��

[TLP:CLEAR]

• Anterior