De acordo com a Polícia Federal americana, entre 1º de outubro de 2013 e 7 de julho de 2019, houve o equivalente a US$ 144.350.000,00 em bitcoins pagos como parte de resgate por ransomware
Com base na análise de carteiras de bitcoin coletadas e notas de resgate de ransomware, o FBI afirma que as vítimas pagaram mais de US$ 140 milhões aos operadores de ransomware nos últimos seis anos.
Na conferência de segurança da RSA nesta semana, o agente especial do FBI Joel DeCapua explicou como usava carteiras de bitcoin e notas de resgate coletadas pelo FBI, compartilhadas por parceiros privados ou encontradas no VirusTotal para calcular quanto dinheiro foi pago em resgates nos seis últimos anos.
De acordo com a DeCapua entre 1º de outubro de 2013 e 7 de julho de 2019, houve o equivalente a US$ 144.350.000,00 em bitcoins pagos a operadores de ransomware como parte de um resgate. Esse dinheiro não inclui os custos operacionais relacionados ao ataque, mas apenas os pagamentos de resgate.
Ao analisar as famílias de ransomware nas quais os resgates foram pagos, o FBI diz que o Ryuk se destacou com um total de pagamentos de US$ 61,26 milhões. O segundo lugar ficou com o Crysis/Dharma, cujos resgates somaram US$ 24,48 milhões. Na terceira posição aparece o Bitpaymer, com US$ 8,04 milhões.
O agente do FBI diz que é preciso notar que o valor real dos pagamentos efetuados ao longo dos últimos seis anos é provavelmente muito maior, já que há muitas notas de resgate e carteiras de bitcoins às quais o FBI não tem acesso. Além disso, muitas empresas mantêm os ataques de ransomware em segredo para evitar que afetem o valor de suas ações.
Dicas sobre defesa contra ransomware
Diante desse cenário, DeCapua forneceu várias dicas para que as empresas possam se defender contra o ransomware:
1. O Remote Desktop Protocol (RDP) do Windows é responsável por 70% a 80% das violações de rede. Segundo DeCapua, ele é o método mais comum pelos quais os operadores de ransomware estão obtendo acesso a uma rede antes de implantar o malware.
Portanto, se o RDP é usado na empresa, é recomendável empregar o NLA (Network Level Authentication), que exige que os usuários se autentiquem na rede antes de realmente se conectarem ao servidor de área de trabalho remota. O NLA aumentou a segurança, pois não dá ao invasor acesso a um servidor RDP até que sejam autenticados. Portanto, oferece melhor proteção contra explorações de pré-autenticação.
Também é sugerido que o usuário use senhas exclusivas e complexas para suas contas RDP.
2. Cuidado com ataques de phishing. Segundo o agente do FBI, se não forem ataques de RDP que permitem que cibercriminosos acessem uma rede, é phishing, seguido por vulnerabilidades de execução remota de código.
Todos os usuários devem ter cuidado com e-mails estranhos com anexos solicitando que você habilite o conteúdo ou habilite a edição, o que você nunca deve fazer sem falar com uma equipe de TI ou administrador do sistema.
O phishing está ficando mais difícil e mais complexo de detectar, especialmente agora que os hackers estão comprometendo contas de colegas de trabalho e usando-as para enganar outros funcionários.
Sempre desconfie de qualquer e-mail com anexos e, se não tiver 100% de certeza de que são legítimos, entre em contato com o remetente por telefone ou fale com um administrador do sistema antes de abri-los.
3. Instale atualizações de software e sistema operacional. Certifique-se de instalar as atualizações do sistema operacional e de software o mais rápido possível após o lançamento.
A cada segunda terça-feira do mês, a Microsoft lança atualizações de segurança para seus softwares e o Windows como parte do Microsoft Patch Tuesday.
É muito comum encontrar explorações de prova de conceito sendo publicadas logo após o lançamento das atualizações, o que é útil para administradores e pesquisadores, mas também para invasores usarem em ataques.
Portanto, é importante instalar essas atualizações o mais rápido possível. Isto é especialmente verdade para serviços públicos, como RDP, Exchange, etc.
4. Use senhas complexas. Todo mundo sabe que você precisa usar senhas complexas exclusivas para cada login que você possui. Infelizmente, muitas pessoas não seguem esse conselho e apenas usam a mesma senha em todos os sites.
Isso significa que, se um desses sites for invadido, suas credenciais expostas poderão ser usadas em ataques de preenchimento de credenciais em outros sites e possivelmente até em logins de rede.
Use um gerenciador de senhas para acompanhar suas senhas exclusivas e você estará muito mais protegido.
5. Monitore sua rede. DeCapua afirma que, invariavelmente, alguém da empresa será vítima de phishing, hackeado ou comprometido de alguma forma, por isso é importante monitorar sempre uma rede em busca de atividades suspeitas.
Invista em ferramentas de monitoramento de rede e sistemas de detecção de intrusão para detectar atividades e tráfego suspeitos na sua rede.
6. Tenha um plano de contingência e backups. Não importa o quanto o administrador tente proteger seus computadores e sua rede, alguém invariavelmente clica na coisa errada ou um servidor é exposto de alguma maneira. Portanto, sempre verifique se há uma rotina de backup noturno testada e funcionando com a versão do arquivo. Isso inclui backups offline que não são acessíveis via nuvem.