7 jul 2017

Negócios na mira do ExPetr

Ameaças Business

Estamos testemunhando o aparecimento de uma nova variação de cryptomalware. Nossos especialistas o batizaram de ExPetr (outros o chamam de Petya, PetrWrap e outros).  A principal diferença desse novo ransomware está no fato de que os criminosos escolheram o alvo com bastante precisão: a maioria são empresas, não consumidores. O pior, infraestruturas críticas estão entre as vítimas. Por exemplo, alguns voos atrasaram no aeroporto de Boryspil em Kiev por conta do ataque. Ainda pior – o sistema de monitoramento da infame usina de Chernobyl parou temporariamente pelo mesmo motivo.

Por que sistemas de infraestrutura crítica continuam sendo atingidos por malware? Por estarem diretamente conectados com a rede corporativa ou possuírem acesso à internet.

O que fazer

Assim como o WannaCry, temos nas mãos dois problemas distintos: a penetração inicial do malware na infraestrutura da empresa e sua proliferação interna. Esses dois problemas devem ser abordados separadamente.

A invasão

Nossos especialistas apontam diversas rotas pelas quais o malware poderia ter entrado na rede. Em alguns casos, por meio de sites maliciosos (infecção drive-by); usuários recebem o malware disfarçado de uma atualização no sistema. Em outros, a ameaça se espalhava como novas versões de softwares de terceiros – por exemplo, o M.E. Doc de contabilidade ucraniano. Em outras palavras, não há uma única forma de prever que entrada proteger.

Temos algumas recomendações para assegurar a infraestrutura de malwares:

  • Oriente seus funcionários a nunca abrir anexos suspeitos ou clicar em links recebidos por e-mail (parece óbvio, mas continua acontecendo);
  • Garanta que todos os sistemas conectados à internet estão equipados com soluções de segurança atualizadas que incorporem análise comportamental de componentes.
  • Verifique se todos os componentes criticamente importantes da solução de segurança estão habilitados (para produtos da Kaspersky Lab, garanta que a rede de assistência de inteligência de ameaças na nuvem esteja ativada, a Kaspersky Security Network. Faça o mesmo com o System Watcher).
  • Atualize soluções de segurança regularmente.
  • Empregue ferramentas para controlar e monitorar soluções de segurança de um único dispositivo com permissões de administrador – não permita que funcionários brinquem com as configurações.

Uma medida adicional de proteção (especialmente se você não estiver usando produtos da Kaspersky Lab), é instalar nossa ferramenta gratuita Anti-Ransomware, compatível com a maioria das soluções de segurança.

Proliferação dentro da rede

Uma vez dentro de um único dispositivo, o ExPetr é muito melhor em se proliferar que o WannaCry. Isso ocorre por ter um número maior de ferramentas com esse propósito. Primeiro, usa pelo menos dois exploits: um EternalBlue modificado (também usado pelo WannaCry) e o EternalRomance (outro exploit do TCP port 445). Segundo, quando um sistema é infectado no qual o usuário possui privilégios de administrador, começa a se disseminar usando a tecnologia do Windows Management Instrumentation ou com a ferramenta de controle de sistema remoto o PsExec.

Para prevenir que malwares se proliferem dentro da sua rede (especialmente dentro de infraestrutura crítica), você deve:

  • Isolar sistemas que requerem uma conexão de internet ativa em um segmento separado da rede.
  • Divida em subredes físicas ou virtuais com conexões restritas o resto da rede, conecte apenas sistemas que necessitam delas para processamento tecnológico.
  • Veja os conselhos que nossos especialistas deram depois do evento com o WannaCry (especialmente úteis para indústrias).
  • Garanta que atualizações críticas de segurança do Windows sejam feitas a tempo. Particularmente importante nesse contexto, a MS17-070 corrige as vulnerabilidades que permitem o EternalBlue e o EternalRomance;
  • Isole os servidores de backup do resto da rede e desencoraje o uso de dispositivos remotos.
  • Proíba execução de um arquivo chamado dat usando o controle de aplicações da Kaspersky Endpoint Security for Business ou com o Windows AppLocker.
  • Para infraestrutura contendo múltiplos sistemas embutidos, implante soluções especializadas como o Kaspersky Embedded Security Systems.
  • Configure o modo de Default Deny e adicione medidas protetivas adicionais possíveis nos sistemas– por exemplo, em computadores utilitários que raramente são modificados. Isso pode ser feito com o componente de Controle de Aplicações do Kaspersky Endpoint Security for Business.

Como sempre, recomendamos fortemente que implemente abordagem multicamadas, incorpore atualizações automáticas de softwares (o que inclui o sistema operacional nesse caso), componentes antiransomware e que monitore todos os processos, dentro do SO.

Pagar ou não pagar

Finalmente, por mais que sempre recomendemos não pagar o resgate, entendemos que algumas empresas sentem não ter escolha. Contudo, se seus dados já foram infectados pelo ExPetr ransomware, você não deve pagar o resgate em hipótese alguma.

Nossos especialistas descobriram que esse malware não tem mecanismos para salvar o ID de instalação. Sem isso, o autor da ameaça não pode extrair as informações necessárias para realizar o desbloqueio. Em suma, eles simplesmente são incapazes de devolver suas informações.