Um dos principais vetores de infecção por ransomware é a exploração de vulnerabilidades no protocolo RDP (Remote Desktop Protocol)
Os ataques de ransomware, um tipo de malware que criptografa os dados das vítimas e exige um pagamento para liberá-los, estão se tornando cada vez mais frequentes e sofisticados no Brasil. No momento da escrita desta realizei uma pesquisa de inteligência de ameaças encontrando 61.778 possíveis alvos dessa ameaça somente no Brasil. Um dado alarmante.
Segundo dados da SonicWall, o país foi o quarto mais afetado por esse tipo de ataque em 2021, com mais de 33 milhões de tentativas de invasão. Além de causar prejuízos financeiros, os ataques de ransomware podem comprometer a produtividade, a reputação e a segurança das organizações, fatores que não podem ir muito além do apetite ao risco e a tolerância ao risco de muitas corporações nacionais.
Um dos principais vetores de infecção por ransomware é a exploração de vulnerabilidades no protocolo RDP (Remote Desktop Protocol), que permite o acesso remoto a computadores e servidores. Muitas empresas utilizam esse recurso para facilitar o trabalho à distância, mas nem sempre adotam as medidas de proteção adequadas, como a atualização dos sistemas, a autenticação de dois fatores e, principalmente, o uso de VPNs (Virtual Private Networks).
A pesquisa informada no início da matéria também revela as localidades do Brasil com mais risco de ataques, sendo São Paulo com 22.635 sistemas expostos, Osasco com 4.656, Campinas com 1.938 e Rio de Janeiro com 1858. Lembre-se, mesmo sua localidade não aparecendo aqui, a outra metade dos resultados estão espalhados pelo Brasil.
Esses números revelam a exposição das redes corporativas a ataques de ransomware, que podem ser realizados por meio de ferramentas automatizadas que escaneiam a internet em busca de portas abertas. Tais ferramentas podem ser usadas por profissionais éticos em empresas que objetivam a segurança bem como agentes maliciosos.
Algumas pessoas utilizam uma técnica não recomendada de mudar o número da porta TCP padrão do RDP, achando que isso vai trazer segurança, mas na realidade não traz. Isso é uma tentativa de usar “segurança por obscuridade”, que não é recomendada, pois, quando é empregada como primeira solução ou somente a única, acaba trazendo uma falsa impressão de segurança. Ferramentas utilizadas por agentes maliciosos conseguem encontrar a porta alterada e realizar o ataque da mesma forma.
Um exemplo recente de ataque de ransomware foi o que afetou as Lojas Americanas, uma das maiores redes varejistas do país. Em agosto de 2021, a empresa teve seus sistemas criptografados pelo grupo REvil, que pediu um resgate de US$ 11 milhões em criptomoedas para liberar os dados. A empresa não confirmou se pagou o valor, mas afirmou que conseguiu restaurar suas operações sem impactos significativos.
Outra vítima de ransomware no Brasil foi a Renner, a maior rede de lojas de departamento do país. Em setembro de 2021, a empresa sofreu um ataque do grupo RansomEXX, que bloqueou seus sistemas e pediu um resgate de US$ 20 milhões em criptomoedas para desbloqueá-los. A empresa também não confirmou se pagou o valor, mas disse que tinha backups dos seus dados e que estava trabalhando para normalizar suas atividades.
Esses casos ilustram a gravidade dos ataques de ransomware e a necessidade de as empresas investirem em medidas de prevenção e mitigação. Algumas recomendações são:
– Utilizar feeds de inteligência nos sistemas de segurança (Firewalls, EDR, IPS/ISD) para possibilitar o bloqueio de ataques de fontes detectadas previamente por empresas especializadas.
– Manter os sistemas operacionais e as aplicações atualizados com as últimas correções de segurança;
– Utilizar soluções de antivírus, firewall, firewall de aplicação e antimalware para proteger os dispositivos e as redes;
– Realizar backups periódicos dos dados críticos e armazená-los em locais seguros e desconectados da rede principal;
– Educar os colaboradores sobre os riscos de clicar em links ou anexos suspeitos em e-mails ou mensagens;
– Restringir o acesso ao RDP apenas aos usuários autorizados, redes seguras e utilizar senhas fortes e únicas para cada conta, além de não expor este protocolo para a internet;
– Habilitar a autenticação de dois fatores para o RDP e utilizar VPNs para criptografar o tráfego de dados;
– Monitorar constantemente as atividades e os eventos da rede, buscando identificar e bloquear possíveis tentativas de ataque.
Os ataques de ransomware são uma ameaça real e crescente para as empresas brasileiras, que devem estar preparadas para enfrentá-los. A segurança cibernética não pode ser encarada mais como um luxo, mas uma necessidade para garantir a continuidade dos negócios e a confiança dos clientes.
NetApp combate ransomware em tempo real com Inteligência Artificial Integrada
Administradores de backup sob ataque à medida que as ameaças de ransomware evoluem
Relatório 2024 da Check Point Software: epidemia de ransomware e expansão da IA em cibersegurança
