Como um profissional de segurança, o que você teme mais:
1) explicar ao seu chefe ou CEO que os arquivos de sua empresa não são mais acessíveis porque eles foram criptografados.
2) ou bungee jumping ?
Aposto que você e a maioria de seus colegas de segurança escolheriam o primeiro .
Imagine que é um dia de sol brilhante e um de seus funcionários abre sua caixa de e-mail para encontrar um email sobre as políticas de RH revisadas da sua empresa . Parece um e-mail legítimo de uma fonte supostamente confiável. O funcionário transfere o documento do Word anexado e o abre. Após alguns minutos, o computador desliga abruptamente. Quando ele reiniciar , uma mensagem aparece dizendo que seu computador foi bloqueado e todos os arquivos foram criptografados .
Isso é ransomware no trabalho. E um dos últimos ataques de ransomware que funcionam em torno de redes empresariais é o Petya!
Petya – Uma Espiada
A Petya atingiu empresas baseadas no Windows em todo o Reino Unido, EUA, Ucrânia, Cingapura e outras partes da Europa na semana passada. Relatada pela primeira vez em 27 de junho com um ataque a um banco ucraniano, Petya parece ser um ataque ransomware bem trabalhado que não tem os mesmos erros que seu antecessor, WannaCry.
Espalhando em grande parte através do movimento lateral dentro das redes corporativas, Petya parece ser um ataque mais direcionado do que o WannaCry. Até agora, Petya afetou menos computadores e se espalhou mais lentamente do que WannaCry. No entanto, Petya é muito mais forte do que WannaCry, bloqueando todos os arquivos e pastas em vez de apenas as criptografias específicas.
O mecanismo da Petya para criptografar arquivos é exclusivo. Embora a imagem completa de seu mecanismo de trabalho ainda seja desconhecido, aqui estão algumas dicas:
- O Petya é o Ransomware de registro de inicialização mestre (MBR) que afeta o driver em que os arquivos de inicialização do sistema são armazenados.
- Assim que ele entra em um computador específico através de um e-mail de phishing, a Petya tenta adiar a senha do administrador. Com privilégios de administrador, a parte ” vírus ” do programa procura a tabela de arquivos mestre (MFT), um banco de dados que possui a localização e informações sobre todos os arquivos e pastas armazenados no sistema de arquivos de nova tecnologia ( NTFS ).
- Enquanto isso, a parte do vírus Petya move-se lateralmente na rede roubando as credenciais do administrador de domínio. Se não conseguir obter as credenciais de administrador, ele tenta se espalhar pela rede compartilhada.
- O vírus então cria um arquivo perfc.dll ou perfc.dat no diretório C: / Windows, e esse arquivo possui instruções sobre o que fazer a seguir. Especificamente , inicia uma tarefa agendada, limpa todos os traços do ataque , excluindo as entradas de log e, finalmente, encerra o sistema.
- À medida que o sistema reinicia, inicia-se a verificação do disco de verificação que, em seguida, inicia o processo de criptografia antes que o software antivírus e anti-malware seja iniciado.
- O resultado? Todos os arquivos e pastas armazenados no computador são criptografados.
As 4 melhores práticas para proteger a sua rede de ransomware
Até que o trabalho de Petya seja completamente revelado, é difícil planejar uma estratégia defensiva. Aqui estão certas medidas que as empresas podem adotar para prevenir e lidar com qualquer tipo de ataque ransomware.
1. Mantenha-se atualizado – Remova todas as vulnerabilidades do sistema .
2. Cuidado com os e-mails de phishing – Tenha uma ferramenta de filtragem forte no lugar .
3. Construa uma rede de segurança – Guarde as suas senhas com segurança e realize backup de seus arquivos e pastas regularmente.
4. Sintonize suas soluções de segurança – Encontre correlações entre os dados de segurança coletados em toda a sua rede para obter uma melhor visibilidade e detectar instantaneamente quaisquer anomalias relacionadas ao ransomware
Realize a correlação de seus logs com o ManageEngine EventLog Analyzer, ainda não conhece esse excelente software? Venha realizar os testes de trinta dias contando sempre com o apoio da equipe ACSoftware , a revendedora ManageEngine no Brasil.
Fone (11) 4063 1007 – Vendas (11) 4063 9639
