Alerta vermelho!!! Do vírus ao Ransomware
Alerta Vermelho!!! Do vírus ao Ransomware.
Atuo na área da segurança da informação desde os anos 2000 e, quando olho para essa época, é fácil perceber que algumas tecnologias “modernas” são na verdade uma releitura do passado recheadas de novidades.
Vamos fazer um exercício sobre isso. Vejamos algo comum, como o mercado fonográfico. Avaliando marcos históricos onde o disco de vinil passou a ser utilizado em uma escala comercial a partir de 1948 até o lançamento do iPod em 2001, se passaram 53 anos onde o modelo comercial Gravadora, Talentos, Gravação em Mídia e distribuição para o grande público imperou soberano. E, em outras áreas da tecnologia não foi diferente.
Coincidentemente ou não, em 2001 o que existia em termos de ameaças digitais era o que o mercado convencionou chamar de “Vírus de Computador”. Os vírus de computador já existiam antes de 2001 porém, com a massificação do uso da internet e a sua distribuição, já era possível entender o seu real impacto e os riscos aos negócios.
Nessa época alguns desses vírus ficaram muito conhecidos, como por exemplo o “I Love You” em maio de 2000 e o Vírus Nimda em setembro de 2001. Inclusive, atuei em uma situação com aproximadamente 120 servidores e 1500 desktops para deter este último vírus. Esses vírus causavam grandes impactos nas operações de empresas.
Vale ainda um destaque para o Nimda, que foi uma das primeiras pragas digitais que incorporou em seu payload vários métodos de propagação, incluindo exploração de vulnerabilidades de sistemas operacionais, uma vez infectada a máquina hospedeira passava a realizar uma exploração lateral em busca de outras “vítimas”. Esse era o mundo digital dos anos 2000.
O tempo passou, e esses vírus foram rebatizados de Malwares (Malicious Softwares), já que seu espectro de ação não cabia mais na definição de “vírus de computador”.
Nessa época os fabricantes adotaram um semáforo de Alertas Vermelhos e Amarelos que eram disparados para todos os parceiros de negócios como por exemplo setores de revendas, que prestavam suporte e consultoria às empresas. Isso acontecia para que todos fossem alertados e conseguissem tomar as medidas possíveis para proteger seus ambientes tecnológicos, uma vez que a chegada do vírus era imprevisível e os danos também.
Outra coisa que mudou muito foi o comportamento dos atacantes, esses no passado se contentavam em construir uma ameaça que assolasse o planeta digital no menor tempo possível, atingindo a maior quantidade de computadores, não importando se eram computadores de empresas ou domésticos.
Com o tempo, os produtores dos agora Malwares, começaram a produzir códigos mais complexos e de difícil remoção, que começaram a ser chamados de APT’s (Advanced Persistent Threats), já compostas por códigos complexos que infectavam os equipamentos e, a partir de uma porta de entrada iniciavam um processo de download (DROP) de códigos e propagação lateral para outros equipamentos, tornando sua remoção muito complexa.
Outra característica muito marcante dos APT’s era o seu modo de atuação Stealth, onde adotavam técnicas de evasão para detecção de seu código, pelos “antivírus”. Os APT’s passaram a receber essa nomenclatura por volta de 2010.
Passamos uma década combatendo vírus de computador e malwares e, após isso, as bases para os ataques atuais foram estabelecidas com a criação de ameaças avançadas e persistentes.
Temos um espaço de tempo de 10 a 11 anos e, hoje em dia, as ameaças possuem uma detecção muito mais complexa e que, como parte de seu payload, dropam nas redes de computadores, agora Ransomwares, entre outras ameaças.
Os Ransomwares, são exemplos que mostram que códigos antigos também causam severos danos às operações corporativas – e podem gerar impactos graves.
Temos ainda um ambiente tecnológico onde redes sociais trazem um outro componente moderno que é o DANO à MARCA, pois os ataques por Ransomwares tornam-se públicos em uma velocidade “viral”, trazendo ainda uma necessidade de não apenas responder à ameaça. As empresas precisam ter uma resposta rápida para a comunidade e aos seus consumidores, para evitar um total desastre financeiro.
Além desses pontos, temos ainda um planeta “cloudificado” e recheado de leis regulamentações, relacionadas a cibersegurança ou privacidade e proteção de dados.
Para complicar ainda mais, temos equipes de TI que passaram mais de 10 anos respondendo a ataques de APT’s “Stealth” que causavam poucos impactos perceptíveis à operação.
Devido a complexidade das ameaças atuais, torna-se praticamente impossível responder a ataques como esses sem um plano efetivo de detecção e resposta aos incidentes, além da necessidade de implementação de tecnologias capazes de detectar precocemente o ataque.
Entretanto, uma vez que o risco de infecção por malwares de fato se concretiza, é de fundamental importância ter um time de consultores de segurança com alta capacidade para analisar o ataque, que atue em parceria com a corporação afetada, visando buscar técnicas para evitar a propagação descontrolada da ameaça na rede, bem como a redução do impacto às operações. Avaliando o cenário atual, é necessário que as corporações repensem suas estratégias de defesa contra ciberameaças.
Uma tendência que venho acompanhando no mercado é o compartilhamento de informações de inteligência para detecção para ciberataques entre as corporações.
Além disso, é necessário pensar em realizar uma estrutura robusta de detecção e uma resposta a incidentes. Em alguns assessments de segurança que participei, muitas empresas investem na proteção de seus ativos, porém as fases de detecção, resposta e recuperação dos incidentes deixam a desejar. Outro tema relevante é a baixa quantidade de empresas que realizam uma atividade consistente de risco e compliance, de maneira que o planejamento para investimento anual seja direcionado para as ações mais relevantes no combate às ameaças digitais.
É necessário desenvolver planos e ações disruptivas para responder a um ataque de Ransomware ou de outras ameaças modernas. Além de conscientizar os colaboradores para que eles possam contribuir ativamente para a proteção virtual da empresa.