Ransomware volta a ganhar força e ataques crescem 229%

Ransomware volta a ganhar força e ataques crescem 229%

Os ataques ransomware – que tiveram uma queda significativa de 645 milhões para 184 milhões entre 2016 e 2017 – estão voltando com força total neste ano. Somente nos primeiros seis meses de 2018, já somam a quantia de 181,5 milhões de ataques, o que representa um aumento de 229% em relação ao mesmo período de 2017.

Os números são de relatório da empresa de segurança da informação SonicWall, que mostra números recordes e alarmantes sobre o volume de malware, ataques de ransomware, ameaças criptografadas e ataques baseados em chip.

Crescimento de malware

De acordo com o relatório, o volume de malware continua crescendo desde os níveis recordes de 2017 e não mostrou sinais de diminuição durante o primeiro semestre de 2018.

“Os pesquisadores de ameaças dos SonicWall Capture Labs registraram 5,99 bilhões de ataques de malware durante os dois primeiros trimestres do ano. Nesse mesmo período, em 2017, a SonicWall registrou 2,97 bilhões de ataques de malware”, explica Bill Conner, CEO da SonicWall.

O executivo diz que, em uma análise mensal de 2018, o volume de malware permaneceu consistente no primeiro trimestre, antes de cair para menos de 1 bilhão por mês em Abril, Maio e Junho. “É importante destacar que esses totais ainda eram mais do que o dobro do pesquisado em 2017”, ressalta.

Ataques criptografados

Durante a atualização do relatório Relatório de Ameaças Cibernéticas SonicWall 2018, os pesquisadores da companhia constataram que os ataques criptografados estão crescendo em níveis recordes. Essa tendência acompanha o uso, cada vez mais crescente, de criptografia.

Conner aponta que, em 2017, a SonicWall relatou que 68% das sessões foram criptografadas pelos padrões SSL/TLS. Nos seis primeiros meses de 2018, 69,7% das sessões estão utilizando criptografia. Ataques criptografados aumentaram 275% em comparação com este período em 2017.

“Os ataques criptografados são um grande desafio”, diz Conner. “Poucas organizações estão cientes de que os cibercriminosos estão usando criptografia para contornar os controles tradicionais de segurança de redes. Muitos gestores não estão ativando novas técnicas de mitigação, como inspeção profunda de pacotes de tráfego SSL e TLS (DPI-SSL). Nós prevemos que ataques criptografados aumentariam em escala e sofisticação até se tornarem o padrão para a entrega de malware. Não estamos tão longe disto”, completa.

Podemos te ajudar com a sua estratégia de segurança. A Portnet é a única parceira Gold em Minas com certificação Technical Master da SonicWall. Fale com a gente! 

 

Fonte: computerworld.com.br

 

 

Segurança de endpoints: o que você precisa saber ao comprar a solução

Segurança de endpoints: o que você precisa saber ao comprar a solução

O gerenciamento e a segurança dos endpoints são essenciais no ambiente atual de crimes cibernéticos crescentes. Os usuários finais conectam-se e desconectam-se continuamente da rede com seus dispositivos de endpoint. Ao mesmo tempo, esses endpoints são o campo de batalha para panorama de ameaças atual. As ameaças criptografadas estão cada vez mais atingindo endpoints não verificados, ransomware está aumentando e o roubo de credenciais persiste silenciosamente. No entanto, a crescente ameaça de ransomware e de outros ataques mal-intencionados baseados em malware provou que as soluções de proteção de clients não podem ser medidas com base apenas na conformidade dos endpoints.

Os desafios da proteção de endpoints

Os produtos de segurança de endpoints estão no mercado há anos, mas os administradores enfrentam os seguintes desafios:
• Manter produtos de segurança atualizados
• Aplicar políticas e conformidade
• Obter relatórios
• Ameaças provenientes de canais criptografados
• Compreender alertas e etapas de correção
• Gerenciamento de licenças
• Impedir ameaças avançadas, como ransomware

Manter produtos de segurança atualizados

Os administradores precisam garantir que os endpoints gerenciados estejam executando a versão correta dos componentes de software de segurança instalados conforme exigido pela política de conformidade.

Para impedir ataques emergentes, os administradores de segurança de rede precisam de endpoints gerenciados para avaliar a postura de segurança e relatar seu status de forma contínua.

Alguns administradores precisam interromper o tráfego entre servidores em seus data centers, o que geralmente
representa a maior parte do tráfego entre seus switches. Eles precisam da opção de colocar um dispositivo em quarentena localmente caso ele não esteja em conformidade ou seja infectado. Nestes casos, o firewall deve bloquear o acesso à Internet, assim como bloquear esse dispositivo a partir da LAN, restringindo assim os caminhos de rede para os mesmos locais de quarentena que o firewall está restringindo.

Além disso, os administradores de segurança precisam garantir que todos os dados entre o cliente unificado e o console de gerenciamento centralizado não possam ser adulterados durante o trânsito, a fim de garantir a integridade dos dados.

Aplicar políticas e conformidade

Se os endpoints estiverem em um estado não coberto pela política, os administradores precisarão ser capazes de impedir que o dispositivo de endpoint use os serviços UTM para passar o tráfego pelo firewall. Os usuários finais também têm uma importante função a desempenhar na segurança de enpoints. Eles realizam seus trabalhos em notebooks corporativos e outros endpoints. Os usuários precisam saber imediatamente se algum software ou comportamento mal-intencionado for detectado para que possam agir ou arquivar um tíquete, se necessário.

Obter relatórios

Em alguns casos, os administradores podem gerenciar múltiplos firewalls, mas seus usuários são configurados em um único pool. Eles precisam ser capazes de obter o login único (SSO) de qualquer administrador de firewall ou de consoles de gerenciamento de segurança para gerenciar as políticas do cliente. Ao mesmo tempo, as regulamentações de conformidade geralmente determinam que todas as funções de administrador cumpram o princípio de privilégio mínimo, de modo que o gerenciamento do cliente unificado tenha controle de acesso baseado em função suficiente para acesso privilegiado. Por exemplo, isso pode ser limitado a duas funções, uma com acesso de leitura/gravação e outra com acesso somente leitura.

Ameaças provenientes de canais criptografados

Com mais aplicativos da Web sendo protegidos por canais criptografados, como HTTPS, e o malware também recorrendo à criptografia para ignorar a inspeção baseada em rede, tornou-se imperativo ativar a Inspeção Profunda de Pacotes de tráfego SSL/TLS (DPI-SSL). No entanto, isso não é facilmente aplicado sem a implantação em massa de certificados SSL/TLS confiáveis para todos os endpoints a fim de evitar a experiência do usuário e os desafios de segurança. Isso requer um mecanismo subjacente para distribuir e gerenciar certificados e a forma como os navegadores confiam neles.

Compreender alertas e etapas de correção

Os usuários finais normalmente são menos conscientes do risco de segurança do que os profissionais de segurança e, portanto, eles precisam da plataforma de proteção de endpoints para alertá-los sobre o perfil de risco em mudança enquanto viajam com seus notebooks entre diferentes locais e para aconselhá-los sobre como ficar protegidos.

Por exemplo, um alerta pode ser gerado a partir de um cliente unificado ou de um software de terceiros ou pode fornecer um redirecionamento para uma fonte externa, como uma página da Web.

Para corrigir rapidamente qualquer problema de conformidade com a política da empresa, pode ser benéfico para os usuários finais e a TI para que os usuários finais tenham acesso a informações de autoajuda. Se o dispositivo de um usuário ficar fora da política e esse usuário estiver em quarentena, os usuários também precisarão de orientação sobre as ações necessárias para voltar à conformidade.

Gerenciamento de licenças

Os administradores precisam garantir que qualquer software de segurança de endpoint adquirido seja atualizado automaticamente para sua interface de gerenciamento para que eles possam manter os endpoints licenciados corretamente. Por exemplo, todas as informações de licença relacionadas a um cliente devem ser monitoradas e armazenadas centralmente. No caso de uma nova compra de licença, um sinal deve ser enviado ao gerenciamento centralizado do cliente unificado para alertar e iniciar o direito de software.

Em uma programação periódica, alguns administradores precisam executar relatórios de conformidade em relação a todas as licenças de terceiros implantadas para pagar seus parceiros.

Impedir ameaças avançadas, como o ransomware

As abordagens tradicionais podem, às vezes, deixar lacunas no cumprimento dos requisitos administrativos. A abordagem das tecnologias tradicionais de antivírus, baseada em assinaturas com muitos conflitos, falhou em relação ao ritmo no qual novos malwares são desenvolvidos e suas técnicas de evasão, trazendo a
necessidade de uma abordagem diferente para a proteção do cliente. Isso não deve apenas fornecer mecanismos avançados de detecção de ameaças, mas também oferecer suporte a uma estratégia de defesa em camadas nos endpoints.

Uma limitação importante nas soluções pontuais atuais (conhecidas como clientes de AV reforçados) é que o desenvolvimento é específico de um determinado terceiro e foi incorporado às ofertas dele. Os administradores precisam de um modelo mais aberto, permitindo uma adição relativamente rápida de módulos de
segurança adicionais caso o negócio ou o setor exijam isso.

Conclusão

Devido ao aumento do uso de endpoints como um vetor de ataque cibernético, os profissionais de segurança precisam agir para proteger os dispositivos de endpoint. Além disso, com a proliferação de teletrabalho, mobilidade e BYOD, há uma necessidade extrema de fornecer proteção consistente para qualquer cliente, em qualquer lugar.

Os administradores de segurança precisam avaliar as soluções de endpoint com os requisitos do mundo real em mente.

Fonte: © 2018 SonicWall Inc. 

 

 

Microsoft OneDrive ganha proteções contra ransomware

Microsoft OneDrive ganha proteções contra ransomware

Se o seu PC for infectado com ransomware, a ameaça irá se espalhar de arquivo para arquivo, criptografando todos até que você pague aos criminosos pela chave digital. Mas o ransomware também pode se espalhar entre os seus documentos armazenados na nuvem – e é isso que as novas proteções da Microsoft para o OneDrive tentam resolver.

A empresa de Redmond anunciou nesta quinta-feira, 5/4, a habilidade de “voltar” os arquivos hospedados no OneDrive para versões armazenadas há um mês, por exemplo, para te ajudar a voltar a um ponto antes de eles terem sido infectados por malware. A companhia também disse que utilizará seus sistemas automatizados de detecção de ameaças para descobrir quando o ransomware começou a infectar esses arquivos e te alertar via smartphone que uma infecção aconteceu.

A Microsoft também anunciou proteções adicionais para a leitura e o compartilhamento de arquivos armazenados no OneDrive e enviados via Outlook.com, a versão baseada na web do Outlook – incluindo e-mails criptografados.

No entanto, vale destacar que essas novidades todas só estão disponíveis para os assinantes do serviço Office 365, que também oferece acesso a outros aplicativos da organização, como Word, Excel e PowerPoint. As proteções para o Outlook ainda não estão disponíveis para a versão Office 365 do app.

“Com a crescente presença e sofisticação das ameaças on-line como vírus, ransomware e golpes de phishing, é cada vez mais importante contar com as ferramentas e as proteções corretas para ajudar a proteger os seus aparelhos, informações pessoais e arquivos para que não sejam comprometidos”, afirmou o VP da divisão Office, Kirk Koenigsbauer, em um post no blog da gigante.

O que isso significa para você

Apesar da navegação inteligente e outras boas práticas na Internet serem a sua primeira defesa contra diferentes tipos de malware, incluindo ransomware, essas ameaças estão por aí. E se um ransomware infectar o seu PC, ele tentará infectar outros computadores da sua rede, incluindo conexões persistentes com o armazenamento na nuvem.

Apagar todos os seus arquivos e atualizar o PC poderia ser uma solução interessante – se não significasse perder todos os seus arquivos. A Microsoft está anunciando o OneDrive como uma solução para isso: faça upload de todos os seus arquivos críticos agora, antes do PC ser infectado. E, mesmo que o esconderijo do OneDrive seja infectado, você poderá acessar uma versão mais antiga e não infectada dos documentos.

Proteções na nuvem

A novidade é que a Microsoft adaptou a sua funcionalidade Files Restore – antes disponível apenas para o OneDrive for Business – e a trouxe para as assinaturas de consumidores finais do Office 365. Não apenas a Microsoft vai detectar um ataque, mas você será notificado por qualquer canal de comunicação que a empresa usaria normalmente para te enviar mensagens: e-mail, notificação pop-up e outras opções.

Depois, você poderá acessar o OneDrive e essencialmente “voltar” para um dia anterior. Você vai querer escolher um dia antes de a Microsoft ter te alertado sobre o ataque, obviamente.

A companhia também avançou as medidas de segurança dentro do Outlook. Agora é possível proteger com senhas os links para arquivos ou pastas. Isso é bastante útil. Anteriormente, não existia realmente uma maneira de proteger os links de serem compartilhados com qualquer pessoa. Segundo a Microsoft, tanto a detecção de ransomware quanto as proteções para os links já estão disponíveis.

Se você está preocupado com esses links sendo encaminhados, a Microsoft também começou a resolver isso. No Outlook.com, você agora tem a opção de criptografar um arquivo ou evitar que ele seja encaminhado, ou as duas coisas ao mesmo tempo.

O compartilhamento de links protegidos por senhas, a criptografia de e-mails e a prevenção contra o encaminhamento de links começarão a ser liberados nas próximas semanas, de acordo com a Microsoft.

Quer saber mais sobre as novidades do Office 365 Microsoft? Fale com um especialista Portnet!

Fonte: Microsoft

 

 

Pagamentos ao ransomware: alimentando a indústria dos cibercrimes

Pagamentos ao ransomware: alimentando a indústria dos cibercrimes

Se você está considerando se tornar um criminoso virtual ou talvez um vilão tradicional procurando atualizar suas habilidades para o século 21, tenho certeza de que a sua escolha seria investir em operações com ransomware. Você poderia, graças à simplicidade de plataformas como Ransomware como um Serviço e a disposição das vítimas a pagarem resgates, estar dirigindo um negócio de muito sucesso — mesmo que ilegal — em questão de dias ou semanas. Esse é o nível de sucesso do ransomware como meio de extorquir dinheiro das vítimas.

O principal motivo para o sucesso desenfreado do ransomware como um vetor de ataque é sua efetividade e capacidade de gerar dinheiro para os criminosos virtuais. Serviços de pagamento anônimo como o Bitcoin tornam os pagamentos de resgate simples para vítimas e sem riscos para os invasores. As empresas estão até começando a manter pagamentos em Bitcoin preparados no caso de serem atacadas e não conseguirem se recuperar.

E o Bitcoin não é o único meio disponível de pagamento de resgates. Os criminosos virtuais oferecem meios flexíveis na hora de ajustar suas contas. Os primeiros ransomwares e Lockerwares (o velho malware que bloqueava sua tela) eram primitivos quando se tratava de cobrar o pagamento: Mensagens de extorsão via SMS eram comuns, assim como o uso de cupons Ukash (atualmente extintos). Hoje em dia, o Bitcoin permanece como o método mais popular de pagamento, mas outras criptomoedas como a mais sofisticada Ethereum e as menos conhecidas, Litecoin e Dogecoin, também são opções. As últimas duas moedas ficam atrás do Bitcoin em termos de transação, mas todas essas criptomoedas podem ser facilmente lavadas pela darknet, possibilitando cobranças fáceis e anônimas.

Uma pesquisa recente feita pela Google, Chainalysis, Universidade da Califórnia em San Diego e o Instituto Politécnico da Universidade de Nova Iorque revelou que o ransomware gerou uma renda de mais de US$ 25 milhões nos últimos dois anos. Ao analisar os 34 tipos diferentes de ransomware e rastrear seus métodos de pagamentos através dos registros de “blockchain”, foi possível obter o fluxo dos pagamentos de resgates em Bitcoins feitos pelas vítimas. Uma das variantes mais bem-sucedidas do ransomware é o Locky, que dizem ter dado mais de US$ 7 milhões aos seus donos.

Se você já foi afetado por um ransomware, sabe que o resgate exigido para poder ter acesso aos seus dados geralmente é pequeno. Em média, um resgate custa em torno de US$ 700 a US$ 1.500 dólares. Essa estratégia de baixo custo é feita para ter certeza de que você pode pagar o resgate em vez de procurar alternativas de recuperação mais caras. O pagamento do resgate é desenvolvido pelos criadores de malwares para ser a opção mais fácil para você de propósito, assim eles podem maximizar seus lucros. Existe uma teoria econômica consistente por trás disso: A elasticidade do preço na demanda, por exemplo, mas também a noção de que o preço baixo, investimento pequeno e o grande volume vão facilitar o pagamento ao dono do ransomware em vez de alternativas custosas e de alto risco.

Relatos de que o ransomware é capaz de alterar seu preço baseado na localização geográfica do computador da vítima auxilia a economia do ransomware também. A plataforma do Fatboy Ransomware como Serviço é conhecida por usar o índice Big Mac da The Economist para oferecer às suas vítimas um meio acessível de se livrar dessa situação difícil. O índice Big Mac mensura as diferenças na paridade do poder de compra entre moedas mundiais para ajustar o preço de um hambúrguer. Agora ele é utilizado por criadores de ransomware para garantir que seja qual for o lugar que seu malware atacar, o preço do resgate estará de acordo com a localização e a moeda.

É importante notar que nós também observamos o preço do ransomware estar deliberadamente alto em alguns segmentos do mercado, geralmente onde há um risco significativo de não fazer nada sobre a situação. Hospitais, por exemplo, têm notado demandas altas de resgate quando sistemas médicos importantes ou vitais são afetados. A moral desses invasores obviamente não existe.

Pagar o resgate, seja com Bitcoin ou outro método, sempre vai parecer ser o jeito mais fácil de se livrar do problema, mas nunca é a garantia de que você poderá voltar à sua atividade normal. Em primeiro lugar, é pouco provável que o ransomware descriptografe todos os seus dados. Você pode esperar cerca de 80% deles de volta, no máximo. Segundo, o ransomware vai ficar nos seus sistemas e pode levar a mais problemas e violações. E em terceiro lugar, saiba que ao pagar o resgate, você está negociando com terroristas e ajudando a financiar as partes mais sombrias e sinistras da natureza humana, como terrorismo, tráfico de pessoas, lavagem de dinheiro, tráfico de drogas, prostituição e todo tipo de atividade criminosa.

Claro, nós sabemos que existem situações em que você não tem nenhum backup ou meios para se recuperar de um ataque de ransomware, e assim, sem opções a não ser pagar o resgate. Mas, nos ambientes corporativos, você tem uma escolha e, portanto, nenhuma desculpa. NÃO PAGUE o resgate. Em vez disso, confie na sua proteção e preparação.

Mantenha-se seguro. Fale com um dos nossos especialistas!

 

Fonte: Veem

 

 

Bad Rabbit Ransomware: o último ataque

Bad Rabbit Ransomware: o último ataque

Na terça-feira, 24 de outubro, uma nova vertente de ransomware chamado Bad Rabbit apareceu na Rússia e na Ucrânia. À noite, o foco estava se espalhando para a Europa, incluindo a Turquia e a Alemanha. As vítimas relatadas até agora incluem aeroportos, estações de trem e agências de notícias.

O primeiro foi encontrado depois de atacar meios de comunicação russos e grandes organizações na Ucrânia. O instalador inicial é mascarado por uma atualização do Flash. Curiosamente, este malware contém uma lista de credenciais de Windows codificadas, com maior probabilidade de entrada de força bruta em dispositivos na rede.

Já existem infecções espalhadas pelos países europeus e é praticamente certo vermos infecções no Brasil nas próximas horas.

 

Segundo análise da Kaspersky, fabricante russa de antivírus, o ataque não usa explorações (exploits). É um drive-by attack: as vítimas baixam um falso instalador Adobe Flash Player de sites infectados e iniciam manualmente o arquivo .exe, infectando os seus PCs.

Vale notar que este é um ataque que funciona em computadores Windows. A Adobe, porém, já anunciou fim do Flash Player para 2020. Em seu lugar, vem sendo usada tecnologia html5.

Ou seja, se você entrar em algum site que solicite a atualização do Flash para ver um vídeo ou ter acesso a algum conteúdo, não a faça via pop-ups do próprio site. Você pode descobrir se está utilizando a versão mais recente no próprio site da Adobe e obter o download seguro e original do Flash caso seja necessário seu uso.

Ao clicar no botão “Instalar”, o download de um arquivo executável é iniciado. Este arquivo, encontrado como install_flash_player.exe, é que causa o bloqueio dos seus dados na máquina.

A firma de cibersegurança russa Group-IB relata que pelo menos três veículos de imprensa russos foram atacados, contando também “instituições estatais e objetos estratégicos na Ucrânia como vítimas”. A firma contou à Motherboard que um aeroporto em Odessa, o metrô de Kiev e o ministério da Infraestrutura da Ucrânia foram todos afetados por um “novo ciberataque em massa”.

A agência de notícias russa Interfax anunciou no Twitter que estava trabalhando para restaurar seus sistemas depois de os hackers derrubarem seus servidores.

Uma vez infectadas, as vítimas eram redirecionadas a um site escondido por Tor em que um resgate de 0,05 bitcoins (cerca de R$ 911 na cotação atual) era exigido. Se não for pago dentro de aproximadamente 40 horas, o custo para descriptografar os dados perdidos aumenta. Não há garantias, porém, de que ao pagar a quantia pedida em bitcoin, os hackers vão liberar os seus dados no PC. A mensagem de resgate, em fonte vermelha sobre um fundo preto, parece ser similar àquela usada nos ataques do NotPetya em junho deste ano.

De acordo com a Kaspersky Lab, de Moscou, as infecções de Bad Rabbit foram detectadas também na Turquia e na Alemanha. “Baseado em nossa investigação, esse é um ataque direcionado contra redes corporativas, usando métodos parecidos àqueles usados no ataque do [NotPetya]”, afirmou a empresa. “Entretanto, não podemos confirmar que ele esteja relacionado ao NotPetya. Vamos continuar nossa investigação.”

A firma de cibersegurança tcheca ESET disse em um post de blog que o ataque aos sistemas do metrô de Kiev foram uma variante do ransomware Petya, no qual o NotPetya também foi baseado — embora o NotPetya tenha sido determinado posteriormente como um malware wiper, projetado para danificar dados permanentemente, e não coletar resgates.

 

Como se proteger do Bad Rabbit Ransomware? 

  • Aplique todos os patches aos sistemas operacionais;
  • Remova o Flash completamente;
  • Desative o WMI do Windows para evitar infecções em rede;
  • Faça backup;
  • Use uma senha de boa complexidade;
  • Proteja os pontos finais com uma solução anti-vírus atualizada;
  • Certifique-se de que o firmware do ponto de extremidade e do ponto final esteja atual;
  • Implemente sandbox de rede para descobrir e mitigar novas ameaças;
  • Implante um firewall de próxima geração com uma assinatura de segurança do gateway para interromper ameaças conhecidas.

 

Os clientes SonicWall estão protegidos? 

Sim. Protegidos desde o dia zero! A SonicWall Capture Labs lançou assinaturas para proteger contra o malware Bad Rabbit que estão disponíveis para qualquer pessoa com uma assinatura de Gateway Security ativa (GAV / IPS). Além disso, o serviço de sandbox SonicWall Capture Advanced Threat Protection (ATP) é projetado para fornecer proteção em tempo real contra novas ameaças de malware, mesmo antes que as assinaturas estejam disponíveis no firewall.

É recomendado que os clientes da SonicWall garantam imediatamente que o serviço Sandbox Capture ATP esteja ativado nos firewalls de próxima geração com o recurso Block Until Verdict. Para o Bad Rabbit, não é necessário atualizar as assinaturas nos firewalls da SonicWall, pois são propagadas automaticamente para a base instalada em todo o mundo após a implantação.

 

Os clientes Sophos estão protegidos?

Sim. Os clientes da Sophos Intercept X e Exploit Prevention foram protegidos contra este ataque de forma proativa, sem atualizações necessárias.

Fontes: nakedsecurity.sophos.com; blog.sonicwall.com; gizmodo.uol.com.br; techtudo.com.br

 

As soluções da Portnet além de aumentar a segurança e a disponibilidade do seu ambiente, proporcionam a tranquilidade necessária pra você pensar no seu negócio.

Converse com os especialistas de segurança Portnet e encontre a solução ideal para a sua empresa!