Tag Archives: segurança da informação

  • 0

Erros comuns de PMEs: o ataque à rede de fornecedores

Tags : 

Share

Bill não gosta de ligações pela manhã. Não que seja preguiçoso; ele só acha que o trabalho deve começar depois que o equilíbrio emocional das pessoas tenha sido reestabelecido após o caos do deslocamento matinal – e certamente não antes da segunda xícara de café. Mas o telefone não parava de tocar.

“Porque a pessoa não desiste? Não aprendeu que é rude não desligar depois de três toques? Que falta de respeito! E se eu estiver ocupado com algo importante?”, resmunga Bill ao tentar desenterrar seu telefone de uma pilha sobre a sua mesa enquanto o aparelho toca novamente.

“Bill, meu pendrive não está carregando”, lamenta o designer gráfico pelo telefone.

“É porque desabilitei todas as portas da sua máquina há décadas! Você sabe que todos os arquivos precisam ser carregados por meio de um computador protegido – fale com o Alberto. Se pudesse, eu te desconectaria da internet!”, responde, e completa em pensamento “e arrancaria seus braços também”.

“Eu sei, eu sei! Mas não é apenas comigo – não carrega no computador de ninguém! Por favor, me ajude, é um projeto realmente importante. Temos que alterar o layout rápido ou vão me matar. O Alberto só volta depois do almoço”.

“Dwight, concordamos que todas as tarefas passam pelo Alberto, todos os documentos passam pelo computador dele. É o único do departamento que possui antivírus. De qualquer forma, quem enviou de repente esses arquivos pelo pendrive?”.

“A Cristina. Ela me pediu para fazer algumas correções urgentes no layout do folheto. Precisa ser impresso imediatamente. Ela vai me matar se isso não for feito logo, e não se importa se o Al não está por perto. Você sabe como ela é”.

“Seus pendrives serão a minha morte. Tá bem, já estou indo”.

Bill desliga e olha pensativo para o teto. Ok, a chefe deles motiva aquele desespero – e não está nem aí para convenções como o procedimento para transferir arquivos de fontes externas. O administrador de sistemas fica de pé, se alonga, coloca seu laptop embaixo do braço e vai para a área de design.
Os proprietários da agência de publicidade Magenta Elk consideram-se bem espertos. Desde o seu início como um estúdio de design familiar, a microempresa se transformou em uma empresa com quase 100 funcionários. Agora tem um departamento completo de designers, um diretor de criação capaz de acertar até mesmo com o cliente mais delirante, um departamento de desenvolvimento Web, e até mesmo sua pequena gráfica. Dentre os seus clientes estão várias multinacionais importantes que confiam suas campanhas de publicidade à agência.

No entanto, os donos nunca encontraram recursos para um departamento de TI minimamente decente. Bill gerencia todo o equipamento; consertava computadores a domicílio antes de ser contratado alguns anos atrás. Nunca conseguiu convencê-los a admitirem pelo menos mais um funcionário para ajudar.

“Me dê seu pendrive!”, rosna Bill ao abrir seu laptop enquanto se aproxima. “O que você lê aqui? Tudo está funcionando na minha máquina. Drivers estão sendo instalados… verificar, pode apostar… abrir… aqui está a pasta do projeto”.

Neste ponto, o antivírus exibe uma janela vermelha “Objeto malicioso Trojan.downloader.thirdeye.n foi detectado“. Bill fica boquiaberto em frente à tela.

“Dwight, que raios é isso?! Você tentou abrir isso em qualquer outro lugar?”, Bill aponta com o dedo para o arquivo Layout_corrections.docx.exe.

“Bem, de que outra forma eu saberia quais alterações fazer? Eu tentei, mas não abria de jeito nenhum. Eu cliquei e não aconteceu nada”.

“Não consegue ver que nem mesmo é um documento?! A extensão é EXE!”

“Não consigo ver nenhuma extensão! Consigo ver o ícone e o nome. Por que está gritando comigo? Tudo o que fiz foi tentar abrir o arquivo da Cristina!”.

“Faz sentido, acho. As extensões de arquivos conhecidos não são mostradas”, reflete Bill. “Tudo bem, vamos ficar calmos: em quais computadores você tentou acessá-lo?”.

“Bem, no da Anna Miller, da contabilidade. No laptop do fotógrafo. E no da Lena da logística. E no do Tom do desenvolvimento. E no da Kate… o que há de errado, é um vírus? Não é minha culpa! Talvez o fotógrafo estivesse contaminado!”.

“Isso não é apenas um vírus qualquer – é um Trojan feito especialmente para você! Não contamina apenas computadores aleatórios; alguém colocou isso especificamente nesse pendrive!”. Bill acessa a interface Web do roteador para isolar os computadores mencionados. “A propósito, onde você conseguiu a senha da Cristina? Ela saiu ontem para uma viagem de negócios”.

“Está anotada em um pedaço de papel embaixo do teclado – todo mundo sabe disso…” murmura o designer, ainda na defensiva. “Eu não levei para casa ou nada assim, encontrei aqui apenas ontem!”.

“O que você quer dizer com ‘encontrei’?”, diz um Bill assustado.

“Bem, quero dizer que ela deixou um bilhete na recepção pedindo que eu ajustasse o layout imediatamente”.

“Você está louco? Cristina esteve aqui o dia inteiro ontem. Por que raios ela precisaria deixar um pendrive com instruções em um post-it? Ela deixa muitos bilhetes para você? Você sabe que ela prefere conversar pessoalmente. E tinha acabado de colocar os arquivos no servidor! Droga, o servidor!”, Bill começa a digitar no teclado novamente. “Qualquer pessoa pode deixar qualquer coisa na recepção. A que horas isso aconteceu, exatamente?”.

“Bem, não sei. Era tarde e eu estava prestes a ir embora, então a Ivone disse que alguém havia deixado um envelope com um pendrive para mim. Ela estava saindo para um lanche, mas não viu quem era. Eu voltei, tentei abrir no laptop da Anna e no da Cristina, então – bem, você sabe o resto”.

“Dwight, você entende que alguém — ” o discurso é interrompido por uma ligação. É o CEO. “Tenho um mau pressentimento sobre isso…”.

“O que aconteceu? Por que não está na sua mesa?”, pergunta o CEO mal-humorado.

“Desculpe, os designers estão com um problema. Alguém deixou um pendrive — ”

“Esquece os designers”, interrompe o CEO. “Eu acabei de receber uma ligação da Österberg & Jones. O site da empresa está espalhando vírus desde ontem à noite. Somos as únicas pessoas que também têm acesso à página – para atualizar banners. Eu preciso provas de que não fomos nós. Supondo que não fomos nós”.

“Humm.. Quem teve acesso?”, pergunta Bill, suando frio.

“Não sei, exatamente. Algumas pessoas do desenvolvimento Web; eles fizeram o site. Talvez Dwight. Cristina com certeza – é cliente dela e você sabe que ela ama controlar tudo”.

“Humm… acontece que…”, a voz de Vítor se cala de repente. “Na verdade, acho que fomos nós”.

“Bem, estamos encrencados. Eles estão ameaçando com processos. Se fomos nós, então temos muitas explicações para dar. Preciso de uma análise detalhada até o final do dia. Se precisa de especialistas externos para a investigação, já me diga. Preciso de um relatório honesto e completo em mãos quando for rastejando até a Österberg & Jones. Agora faça um resumo rápido. O que aconteceu?”.

“Parece que alguém nos entregou deliberadamente um pendrive infectado. A Österberg & Jones era provavelmente o verdadeiro alvo. Você sabe como são as questões de segurança. Faço o que posso, mas estamos com falta de equipamento, pessoas, materiais… Até mesmo o antivírus não está — “.

“Ok, ok, entendi. Esse é seu jeito educado de dizer que sou um idiota. Vai ter sua equipe, e antivírus para todos. Se sobrevivermos a isso. O que duvido muito”.

Lições

• O procedimento da empresa para trabalhar com arquivos de fontes externas é perfeitamente bom e adequado. Mas não é seguido, porque alguns funcionários acreditam que uma tarefa é mais importante do que segurança. Na realidade, segurança deve ter mais prioridade do que até mesmo ordens diretas da administração.

• Muitas pessoas têm acesso aos recursos do cliente, um problema ainda pior pelo fato de que ninguém sabe exatamente quem pode acessá-los. Idealmente, essa informação deve ser conhecida por um funcionário, no máximo dois. Além disso, credenciais de acesso devem ser exigidas em cada login. Salvá-las no navegador é uma ideia extremamente ruim, assim como acessar o site de um computador desprotegido.

• Ter senhas escritas em um papel e presas embaixo do teclado pode soar ridículo, mas é na verdade bastante comum em muitas empresas. Isso é totalmente inaceitável – ainda que ninguém frequente seu escritório, às vezes membros da equipe podem causar o mesmo dano.

• Uma solução de segurança confiável deve ser instalada em todas as máquinas, sem exceção.

Por Nikolay Pankov, Editor, Social Media Content Factory, Kaspersky Lab

DICA MULTICONECTA
E esta última recomendação É MUITO SÉRIA. Se na sua empresa você ainda não tem essa Linha de Defesa Organizada – e não importa qual seja o tamanho do seu negócio – Você ainda poderá ter problemas muito mais caros do que custaria investir nisso.

Resolva logo, aqui, na Loja Multiconecta.

Share

  • 0

Maciço ataque ransomware GoldenEye / Petya está se desdobrando em todo o mundo

Tags : 

Share

Se você ainda não ouviu falar do novo ransomware que iniciou sua propagação hoje pela Europa em questão de horas, ficará sabendo. Trata-se do ransomware GoldenEye / Petya o qual já foi confirmado pela Kaspersky, Symantec, Bitdefender e outras empresas de segurança.

Diferente do #WannaCry que se espelhava “automaticamente” via uma vulnerabilidade do Windows no protocolo SMB, o GoldenEye / Petya se propaga via e-mail ou link malicioso onde o usuário precisa receber e abrir um arquivo do Office (Word e WordPad) que explora uma vulnerabilidade descoberta no Pacote Office (CVE-2017-0199).

Após aberto, o arquivo malicioso realiza o download do instalador do GoldenEye / Petya em background e inicia a criptografia dos arquivos.

Como pedido de resgate é solicitado $300 em bitcoin para enviar a chave de descriptografia dos dados daquela máquina, segue o endereço de e-mail encontrado até o momento no envio desses links e arquivos maliciosos: wowsmith123456@posteo.net

Abaixo as versões afetadas a essa vulnerabilidade:

  • Microsoft Office 2007 SP3;
  • Microsoft Office 2010 SP2;
  • Microsoft Office 2013 SP1;
  • Microsoft Office 2016;
  • Microsoft Windows Vista SP2
  • Windows Server 2008 SP2;
  • Windows 7 SP1.

A solução para essa vulnerabilidade do Pacote Office foi disponibilizada pela Microsoft no dia 11 de Abril de 2017.
Recomendamos que as seguintes atividades emergenciais sejam realizadas:

  • Nova verificação de atualizações de segurança em sistemas operacionais Microsoft sejam realizadas e caso houver qualquer pacote de segurança disponível, favor instalar;
  • Atualização das assinaturas dos antivírus instalados;
  • Recomendação aos colaboradores para não clicarem em arquivos e e-mails suspeitos.

Link para maiores informações: https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-0199.

Fonte: Bitdefender

Share

  • 0

Sistema operacional humano: O paraíso dos hackers!

Tags : 

Share

Parece que o sistema operacional que realmente precisa de algumas correções de segurança é o humano. Enquanto gigantes da tecnologia como Microsoft, Google e Apple lançam atualizações, ajustes, correções constantes para ameaças, as brechas sempre aparecem no elo mais fraco – o funcionário negligente ou ignorante. O peopleware (aquela peça que fica entre o monitor e o encosto da cadeira), pode perceber, sempre tem uma parcela de culpa considerável.

Convenhamos: é praticamente impossível que um apaixonado Romeu não seja acometido pelo ciúme e curiosidade nesses tempos de cada vez mais sofisticados ataques que se valem de recursos de engenharia social. Olhando apenas para o ano passado, veremos que as maiores violações tiveram como alvo e tática enganar um empregado.

E isso é, apesar de anos de advertências lançadas por especialistas que bateram na tecla do treinamento para que os trabalhadores se conscientizem de seu papel na segurança da informação, ainda é fundamental uma palestra para todo o time a cada seis meses para que a sistema operacional humano não fique desatualizado.

Em uma pesquisa recente realizada pela Flash Dark Reading, mais da metade dos 633 entrevistados disseram que “a ameaça de engenharia social mais perigosa para as organizações ocorre devido à falta de conscientização dos funcionários”.

O último McAfee Phishing Quiz, que tocou mais de 30 mil participantes de 49 países no início deste mês, constatou que 80% dessas pessoas caíram em pelo menos um e-mail de phishing em alguma das 10 perguntas do questionário. Entre os usuários de negócios, o melhor resultado veio de equipes de TI e P&D -, mas a sua pontuação foi de apenas 69% de acertos na detecção de mensagens que eram legítimas das que eram maliciosas.

Em suma, hackear o humano continua a ser muito fácil. Chris Hadnagy, especialista em descobrir falhas a partir de engenharia social, disse “como você pode constatar a partir do noticiário recente, ataques a partir de mídias sociais funcionam muito bem”. De acordo com ele, de cada três pontos principais para o sucesso de um ataque, duas são humanas.

A primeira é que as pessoas são programadas para querer ajudar o próximo. “Essencialmente, queremos confiar nas pessoas”, diz. Em segundo lugar, a maioria dos usuários são ignorantes sobre ameaças de segurança. “As empresas não estão fazendo um grande trabalho de conscientização sobre como esses problemas afetam o empregado”, adicionou. “Coloque os dois pontos juntos – a psicologia e a falta de conhecimento – e você tem terreno fértil para a engenharia social.”

“Tudo começa com OSINT (sigla em inglês para inteligência de código aberto) ou coleta de informações online”, pontua Hadnagy, para acrescentar: “Essa é a força vital de engenharia social. Uma vez que o dado é recolhido, torna-se evidente que o vetor de ataque vai funcionar melhor”.

Theresa Payton, ex-CIO da Casa Branca e atualmente na posição de CEO da Fortalice Solutions, concorda que essa abordagem inicial dá aos atacantes ferramentas muito melhores para enganar seus alvos. “Descobrir quem é a equipe executiva da empresa, o escritório de advocacia, os nomes dos servidores corporativos, projetos em andamento, relações com os fornecedores e muito mais”, lista, “permite que usem esse conhecimento, o que muitas vezes pode ser feito em menos de um dia, para criar sofisticadas tentativas de engenharia social.”

Os invasores também praticamente eliminaram uma das suas fraquezas mais óbvias. Em outras palavras: não vivemos mais os dias de ortografia e gramática ruim que, por muito tempo, fez mensagens de phishing uma fraude relativamente óbvia. Parece que os hackers descobriram o corretor gramatical.

Outra evolução toca o nascimento/expansão do “vishing”, no qual um atacante faz um telefonema, se passando por alguém de outro departamento, para ludibriar o funcionário, fazendo-o clicar em um link em um e-mail sem verificá-lo completamente.

“Isso significa o envio do e-mail envenenado a uma secretária para depois chamá-la ao telefone ‘confirmando o recebimento’ da mensagem sob o pretexto de ter que comunicar algo importante para a organização”, cita Mark Gazit, CEO da ThetaRay, “O adversário normalmente permanece na linha para garantir que o funcionário lança o anexo. ”

O especialista observa que os ataques vishing também incluem o envio de SMS com um link para um site de phishing ou uma mensagem de spam para um funcionário, alegando que um de seus cartões de pagamento foi bloqueado. “Na pressa para responder a essa mensagem, as vítimas acabam divulgando suas credenciais bancárias e outros dados aos hackers”, comenta.

O único jeito eficaz para conter esta vulnerabilidade, dizem os especialistas, é melhorar o treinamento. E isso significa mudar o modelo predominante de mensagens impositivas. Passa por fazer com que os colaboradores se conscientizem da importância de atenção ao ambiente de ataques com recursos cada vez mais arrojados.

“O treinamento não deve ser um ‘evento’. Precisamos passar de algo de formação para o reforço positivo. Sinceramente, a maior parte dessas atividades se enquadra em aspectos muito limitados de transmissão de conhecimento, além de serem centradas, ainda, no computador”, observa Payton.

Ela recomenda a criação de um “feedback loop” para os funcionários. “Diga-nos porque os nossos protocolos de segurança ficam no caminho de suas atividades profissionais; quais os gatilhos emocionais; deixe-nos mostrar-lhe como seguir o nosso conselho para que se proteja de ataques tanto no trabalho quanto em casa”, aconselha.

Hadnagy acredita que o treinamento eficaz deve incluir exemplos do “mundo real”. “Fazemos imitações durante o horário comercial para ter acesso ao prédio”, ilustra. “O objetivo não é fazer as pessoas olharem para aquilo como algo estúpido, mas para mostrar os pontos fracos e o que você precisa fazer para fortalecê-los.”

Gazit lembra que , com a explosão no volume de informações diárias, muitos funcionários tendem a esquecer dos ensinamentos tão logo voltam para suas mesas. Ele concorda com seus colegas especialistas que os colaboradores precisam sentir que a formação é relevante. “Os executivos, contadores, administradores e trabalhadores da fábrica não estão sujeitos às mesmas ameaças virtuais, assim que o treinamento deve ajudar cada grupo aprenda a reconhecer e lidar com as ameaças específicas que são mais susceptíveis de encontrar”, crê.

É claro, tal como é o caso com a tecnologia, nada fará uma organização um organismo a prova de balas. Mas Hadnagy garante que uma boa formação pode reduzir drasticamente o risco. Ele falou de uma empresa que contratou sua equipe há dois anos para testar a sua consciência, e 80% dos empregados clicaram em e-mails de phishing, 90% foram vítimas de vishing e 90% foram enganados por um dos membros de sua equipe que se passou por um funcionário do help desk. “Demos o treinamento e depois fizemos um teste prático”, comprovou.

Isso, segundo ele, demonstra o quão eficaz pode ser um bom treinamento. “Declarações como: ‘Não há nenhum patch para a estupidez humana’ são prejudiciais para a crença que podemos corrigir isso”, acredita. “Não se trata de seres humanos sendo estúpido, mas sobre seres humanos sem conhecimento e sem instrução, que pouco sabe o quanto uma ameaça de segurança atinge ele e sua empresa”, conclui.

Publicado originalmente no Insider – Computerworld

Share

  • 0

CUIDADO COM O RANSOMWARE: CRESCE NO BRASIL O CRIME DE SEQUESTRO DE DADOS

Tags : 

Share

É bem possível que ontem, ou hoje, você tenha encerrado seu expediente na empresa finalizado seu trabalho sem maiores problemas.

Mas imagine que chegando de volta ao escritório, descobre que todo banco de dados da empresa esteja inacessível. Nenhum sistema funciona, ninguém da companhia consegue trabalhar – a não ser, avisa uma mensagem na tela, que você pague US$ 3 mil. Pois é, você foi vítima de um sequestro de dados, mais conhecido no meio de segurança digital como Ransomware.

Leia o artigo na íntegra, abaixo. E, se depois de ler você reconhecer que precisa de uma solução especialista para proteger os dados de sua empresa, clique aqui.

Esse caso relatado acima é real, aconteceu a um empresário do meio automotivo do Recife. “Nosso servidor ficava numa das filias, com todos os dados, principalmente notas fiscais e estoque. Ficamos com todo acesso bloqueado. Montamos uma equipe de especialistas para tentar quebrar essa limitação, mas não deu certo ainda”, conta o empresário.

Os próximos passos são emitir um laudo técnico que comprove a invasão do sistema da empresa e entrar com uma queixa na Delegacia de Repressão aos Crimes Cibernéticos da Polícia Civil. “Isso poderá nos proteger judicialmente para o caso de uma fiscalização da Fazenda. Os outros processos da empresa terão que ser refeitos manualmente”, completa.

Segundo o delegado Derivaldo Falcão, a polícia pernambucana até hoje não foi notificada por nenhum caso de sequestro de dados. “Não posso afirmar com certeza, mas imagino que muitos empresários evitam acionar a polícia com medo de que a informação seja divulgada e suas empresas pareçam frágeis”, avalia Falcão.

Não denunciar é um erro, e pode fazer com que a prevenção a novos casos seja prejudicada. “No caso de ataques à empresas, por exemplo, é muito mais fácil para nós conseguirmos uma quebra de sigilo junto à Justiça, já que houve dano material. Temos ainda contato com outras delegacias pelo Brasil, que podem nos ajudar na investigação”, completa o delegado.

Entretanto, o empresário recifense está longe de ser uma exceção. Segundo uma pesquisa sobre a segurança da informação nas empresas realizada pela Kaspersky Lab, apenas 34% das empresas brasileiras reconhece a séria ameaça que o ransomware representa. “Empresas financeiras, agências do governo, instituições acadêmicas e até hospitais; qualquer organização pode ser vítima. A principal motivação por trás dessas campanhas de extorsão é o dinheiro, seja golpes de bloqueio simples, que apenas travam os dispositivos, mas não criptografam as informações, até aquele que os sequestros criptografados se mostraram muito mais lucrativos para os cibercriminosos”, afirma o pesquisador sênior de segurança da Kaspersky Lab no Brasil, Fabio Assolini.

Essa prática não é nova, mas ganhou mais fôlego nos últimos anos. “Tecnicamente é um conceito antigo, mas a novidade é o uso em larga escala. Para o cibercriminoso é algo fácil de se usar e que atinge um grande número de vítimas”, afirma o gerente regional da Trend Micro Brasil, Marcos Rizo.

A principal forma de abordagem é a engenharia social, ou seja, os hackers enviam e-mails com anexos que parecem relevantes para o destinatário (tais como “folha de pagamento” ou “nota fiscal”) mas que são malwares disfarçados. “Os principais alvos são pessoas que não conhecem tanto de tecnologia e, ao mesmo tempo, possuem dispositivos vulneráveis, com itens de segurança desabilitados ou desatualizados”, conta Rizo. O vírus então invade o sistema, captura os dados e impõe sobre ele uma criptografia, cuja chave só os cibercriminosos têm.

Os dados da empresa pernambucana foram criptografados de tal forma que nem as ferramentas mais atuais de quebra de códigos puderam acessá-los. “Ficar com a empresa parada, tentando acessar o sistema, me custou mais do que os US$ 3 mil que me pediram de resgate. Mas me recusei a pagar, porque sei que esse dinheiro financia outros golpes e crimes diversos, até terrorismo”, afirma o empresário.

De acordo com Assolini, o pagamento também não é garantia de ter seus dados de volta. “Muitas vezes, as empresas vítimas de ransomware pagam pelo resgate sem perceber que, depois disso, não há qualquer garantia de que seus dados serão desbloqueados. Também há evidências de que, no caso de um ransomware mal-codificado, talvez não seja possível recuperar essas informações”, explica.

Fonte: Por RENATO MOTA, para o MUNDOBIT

Share

  • 0

Por que os hospitais são o novo alvo dos hackers?

Tags : 

Share

Os hospitais se tornaram o novo alvo dos hackers. O grupo de Inteligência de Segurança da Informação da Cisco, Talos identificou uma variante de ransomware – uma espécie de vírus que sequestra dados – especialmente voltado para a área da Saúde. Os hackers fizeram várias vítimas nos EUA no último mês (como o Centro Médico Presbiteriano de Hollywood e o Hospital Metodista de Kentucky) e há indícios de que a ameaça já chegou ao Brasil.

Ao que tudo indica, essa variante (chamada de “Samsam”) se infiltra nos servidores através das redes e criptografa toda a base de dados dos hospitais, incluindo prontuários de pacientes, lista de visitantes, etc. Para descriptografar os dados é preciso uma chave, liberada pelos hackers mediante um pagamento (que gira em torno de milhares de dólares).

Mas por que atacar justamente hospitais?

O ransomware é o modelo mais utilizado pelos criminosos – e com sucesso, já que muitas empresas não têm outra saída a não ser pagar para ter seus dados de volta. Segundo o Relatório Anual de Segurança da Cisco, essa forma de ataque movimenta em média US$ 34 milhões por ano, tornando-a um negócio lucrativo. O que os hackers agora perceberam é que eles podem lucrar ainda mais ao apontar seus “canhões” para o setor da Saúde.

“Os hospitais têm uma base de dados valiosa, com prontuários de pacientes, histórico de doenças e medicamentos, etc. Sem esses dados, eles não podem agendar consultas, realizar procedimentos médicos ou atender urgências”, afirma Fernando Zamai, Engenheiro Consultor de Segurança da Cisco. Ou seja: sem sua base de dados, os hospitais praticamente param. E os hackers perceberam que eles estão mais dispostos a pagar pelo resgate desses dados – e a pagar altos valores.

Além disso, esses ataques afetam as redes dos hospitais, que dependem delas para se comunicar. Os hospitais também guardam informações pessoais de seus clientes e podem ser penalizados por entidades de classe caso os dados vazem. Por fim, o próprio setor da Saúde não costuma investir pesado em Segurança para a infraestrutura (como o setor financeiro, por exemplo), o que o torna um alvo mais atraente para os criminosos.

Como este vírus se infiltra na infraestrutura?

Segundo Fernando Zamai, existem várias formas de executar o ataque incluindo o roubo das credencias administrativas de terceirizados, para daí então se infiltrar nas redes. Além disso, o ambiente hospitalar concentra uma grande movimentação de pessoas facilitando que alguém não autorizado tenha acesso direto a uma porta aberta (um switch ou um roteador desprotegido), conectando um laptop e executando o arquivo contendo o malware”, afirma o especialista.

Essa variante de ransomware não tem um vetor de ataque focado no usuário, como o phishing (e-mail com arquivo suspeito que procura “fisgar” o destinatário). O “Samsam” ao entra na infraestrutura se comunica com a rede de comando e controle do hacker que se escondem na Internet usando técnicas avançadas como a criação dinâmica e aleatória de domínios e também movimentam-se lateralmente pela infraestrutura comprometida buscando outros pontos de infecção. Quando a equipe de TI do hospital percebe, a ameaça já infectou diversas máquinas e criptografou os dados sensíveis.

Qual é o prejuízo para os hospitais?

No caso do Centro Médico Presbiteriano de Hollywood, os diretores preferiram o meio mais rápido de resolver o problema, pagando US$ 17 mil (cerca R$ 68 mil) para reaver os dados. Já o Hospital Metodista de Kentucky se recusou a pagar e usou cópias de backup, demorando cinco dias para voltar a operar (parcialmente). O pagamento é feito em “Bitcoins”, uma moeda digital que torna impossível saber quem são os verdadeiros autores do ataque.

No Brasil, um ataque de ransomware a hospitais poderia ser catastrófico. Segundo outro estudo recente da Cisco, as empresas brasileiras usam menos sistemas de defesa do que empresas de outros países, estando também atrasadas na adoção de políticas padronizadas como a ISSO 27001. O corte geral nos orçamentos de TI dos últimos anos também pode deixar os hospitais ainda mais vulneráveis aos ataques dos hackers.

Qual é vacina para esse ataque?

Fernando Zamai, engenheiro de segurança da Cisco do Brasil, afirma que, como as ameaças hoje são amplas e dinâmicas, a Segurança de TI também deve ser ampla e dinâmica. “A nova variante de ransomware pode entrar por várias brechas e adquirir vários formatos, o que requer sistemas de Segurança em toda a infraestrutura”, explica o especialista. Ou seja: já não basta ter um firewall e um antivírus para proteger as redes – é melhor saber o que passa por elas e monitorar o tráfego de dados.

Proteja os dados críticos de sua clínica ou hospital

Segurança da Rede – MultiFirewall v2 – Conheça a solução
Backup na Nuvem MultiBackup MozyPro – Saiba mais

Uma das soluções é analisar as requisições de resolução de nome (como o OpenDNS), que identifica o ransomware no momento em que ele tenta se comunicar com o servidor de comando e controle do hacker e bloqueia sua atividade. A adoção do serviço é simples e rápida, totalmente na nuvem e existem pacotes de proteção gratuitos. Outra solução é adotar equipamentos capazes de reconhecer automaticamente os usuários e seus dispositivos, permitindo o acesso de acordo com perfis e políticas previamente estabelecidas.

Um item obrigatório aos administradores de TI é a pratica de realizar backup dos dados e de forma frequente. Ter um backup integral e constante do banco de dados pode evitar que os hospitais, que dependem das informações, tenham de pagar o resgate no caso de um ataque de ransomware. Porém, Zamai lembra que isso pode não ser suficiente: “as novas ameaças podem danificar até mesmo cópias guardadas em diversos lugares”.

Fonte: Risk Report, em 08/04/2016

Share

Procure-nos para uma solução completa para o TI da sua empresa