ENTENDA OS DIFERENTES TIPOS DE RANSOMWARE

Ransomware é um dos tópicos mais debatidos no mundo da TI. Isso se deve ao impacto em grande escala causado pelo ransomware WannaCry, que paralisou milhares de empresas em todo o mundo. O ransomware está em constante evolução e é difícil controlar as diferentes variedades desta ameaça.

Embora cada variante de ransomware tenha sua própria maneira de se espalhar, todas as variantes de ransomware contam com táticas de engenharia social semelhantes para enganar os usuários e manter seus dados como reféns. Vejamos os diferentes tipos de variantes de ransomware:

CryptoLocker

O botnet CryptoLocker é uma das formas mais antigas de ataques cibernético que existe nas últimas duas décadas. O ransomware CryptoLocker surgiu em 2013, quando os hackers usaram a abordagem de botnet CryptoLocker original no ransomware.

CryptoLocker é a forma mais destrutiva de ransomware, pois usa algoritmos de criptografia fortes. Freqüentemente, é impossível descriptografar (restaurar) o computador e os arquivos infectados com ransomware Crypto sem pagar o resgate.

WannaCry

WannaCry é a variante de ransomware mais conhecida em todo o mundo. O WannaCry infectou cerca de 125.000 organizações em mais de 150 países. Alguns dos nomes alternativos dados ao ransomware WannaCry são WCry ou WanaCrypt0r.

Bad Rabbit

Bad Rabbit é outra variante de Ransomware que infectou organizações em toda a Rússia e Europa Oriental. Geralmente, ele se espalha por meio de uma atualização falsa do Adobe Flash em sites comprometidos.

Cerber

Cerber é outra variante de ransomware que visa usuários do Office 365 baseados em nuvem. Milhões de usuários do Office 365 foram vítimas de uma elaborada campanha de phishing realizada pelo ransomware Cerber.

Crysis

Crysis é um tipo especial de ransomware que criptografa arquivos em unidades fixas, removíveis e de rede. Ele se espalha através de anexos de e-mail maliciosos com extensão de arquivo duplo. Ele usa algoritmos de criptografia fortes, dificultando a descriptografia em um período de tempo razoável.

CryptoWall

CryptoWall é uma forma avançada de ransomware CryptoLocker. Ele passou a existir desde o início de 2014, após a queda da variante CryptoLocker original. Hoje, existem várias variantes do CryptoWall. Inclui CryptoDefense, CryptoBit, CryptoWall 2.0 e CryptoWall 3.0.

GoldenEye

GoldenEye é semelhante ao ransomware Petya. Ele se espalha por meio de uma campanha massiva de engenharia social que tem como alvo os departamentos de recursos humanos. Quando um usuário baixa um arquivo infectado pelo GoldenEye, ele executa silenciosamente uma macro que criptografa os arquivos no computador da vítima.

Jigsaw

O Jigsaw é um dos tipos mais destrutivos de ransomware, que criptografa e exclui progressivamente os arquivos criptografados até que o resgate seja pago. Ele começa a excluir os arquivos um após o outro a cada hora até a marca de 72 horas - quando todos os arquivos restantes são excluídos.

Locky

Locky é outra variante de ransomware projetada para bloquear o computador da vítima e impedir que ela o use até que o resgate seja pago. Geralmente, ele se espalha por meio de mensagens de e-mail aparentemente benignas disfarçadas de fatura.

Quando um usuário abre o anexo de e-mail, a fatura é excluída automaticamente e a vítima é direcionada para habilitar macros para ler o documento. Quando a vítima habilita macros, Locky começa a criptografar vários tipos de arquivo usando criptografia AES.

Além da lista de ataques mencionada acima, Petya, NotPetya, TeslaCrypt, TorrentLocker, ZCryptor, etc., são algumas das outras variantes de ransomware que são bem conhecidas por suas atividades maliciosas.

No vídeo abaixo há mais detalhes no funcionamento dos Ransomwares e é parte integrante do curso Segurança em Redes de Computadores o qual aplica na prática os principais conceitos da área de segurança da informação. 

>>> CURSO SEGURANÇA EM REDES DE COMPUTADORES<<<

MPDFT AJUÍZA 1ª AÇÃO CIVIL PÚBLICA COM BASE NA LGPD

 

O Ministério Público do Distrito Federal e Territórios ofereceu a primeira ação civil pública com pedido de tutela, baseada na Lei Geral de Proteção de Dados Pessoais, nesta segunda-feira, 21 de agosto. A lei, que entrou em vigor na sexta-feira, enquadra como lesiva a conduta de uma empresa sediada em Belo Horizonte (MG).

De acordo com a ação movida pela Unidade Especial de Proteção de Dados e Inteligência Artificial (Espec) do MPDFT, a empresa comercializa informações pessoais como nomes, e-mails, endereços postais ou contatos para SMS, bairro, Cidade, Estado e CEP’s das vítimas por meio de site na internet. Acredita-se que só em São Paulo, 500 mil pessoas nascidas no município tenham sido expostas indevidamente. Foram identificadas vítimas em todas as unidades da Federação.

O site da empresa oferece, por exemplo, dados segmentados por profissões, como cabeleireiros, corretores, dentistas, médicos, enfermeiros, psicólogos, entre outros. Os “pacotes” eram vendidos de R$ 42 a R$ 212,90.

Por causa do prejuízo supraindividual que a atividade pode causar, o MPDFT requereu à Justiça o pedido de tutela liminar de urgência. Isso porque, pela LGPD, o tratamento dado às informações cadastrais foi totalmente irregular e pode gerar prejuízos aos titulares. A ação destaca ainda que o direito à intimidade, à privacidade e à imagem, garantidos pela Constituição Federal, foi violado.

O MPDFT pede que a empresa se abstenha de divulgar, de forma paga ou não, os dados pessoais das vítimas. Além disso, solicita o congelamento imediato do domínio do site em que é feita a comercialização, até que haja julgamento pela Justiça.

Para aprender mais sobre a LGPD, recomendamos a leitura dos livros abaixo:

ABIN LANÇA EDITAL PARA MESTRADO EM SEGURANÇA CIBERNÉTICA

 

A Agência Brasileira de Inteligência (ABIN), por meio da Escola de Inteligência (Esint), em parceria com a Universidade de Brasília (UnB), lança edital com 33 vagas para o Mestrado Profissional em Segurança Cibernética. O edital encontra-se disponível no endereço https://ppee.unb.br/?page_id=1473.

É o primeiro mestrado profissional dedicado exclusivamente à Segurança e Inteligência cibernética no Brasil. Serão contemplados na oferta de vagas servidores da ABIN, valorizando os profissionais da Agência; servidores pertencentes a órgãos integrantes do Sistema Brasileiro de Inteligência (SISBIN), fortalecendo a integração do SISBIN; e, por fim, cidadãos da comunidade acadêmica, favorecendo o debate científico e o fomento da inovação.

A divulgação dos resultados de todas as etapas estará disponível no endereço eletrônico http://www.ppee.unb.br.

 Linhas de pesquisa

As linhas de pesquisa contidas no edital alinham-se com uma das diretrizes da Política Nacional de Inteligência (PNI) – aprovada pelo Decreto nº 8.793, de 29 de junho de 2016 –, de “expandir a capacidade operacional da Inteligência no espaço cibernético”.

Também há relação com a Estratégia Nacional de Inteligência (Enint) – aprovada pelo Decreto de 15 de dezembro de 2017 –, que estabelece como um dos eixos estruturantes para a efetividade da Atividade de Inteligência a “Tecnologia e Capacitação”.

ENTENDENDO A DIFERENÇA ENTRE UM IDS/IPS

 

Tanto o IDS quanto o IPS fazem parte da infraestrutura de rede. A principal diferença entre eles é que o IDS é um sistema de monitoramento, enquanto o IPS é um sistema de controle.

Um Intrusion Detection Systems (IDS) analisa o tráfego de rede em busca de assinaturas que correspondam a ataques cibernéticos conhecidos. O IDS não altera os pacotes de rede de forma alguma. Já o Intrusion Prevention Systems (IPS) também analisa os pacotes, mas pode impedir que este seja entregue, da mesma forma que um firewall impede o tráfego por endereço IP, com base no tipo de ataque que detecta mitigando a ação de uma ameça.

O IDS requer que um ser humano ou outro sistema analise os resultados e determine quais ações tomar a seguir, o que pode ser um trabalho muito massante, dependendo da quantidade de tráfego de rede gerado a cada dia. O IDS é uma ferramenta de análise forense post-mortem melhor para o CSIRT usar como parte de suas investigações de incidentes de segurança.

 

O objetivo do IPS, por outro lado, é capturar pacotes perigosos e descartá-los antes que atinjam seu destino. É mais passivo do que um IDS, simplesmente exigindo que o banco de dados seja atualizado regularmente com novos dados de ameaças. Mantenha-os atualizados e esteja preparado para fazer ajustes manuais quando um novo ataque acontecer e / ou a assinatura do ataque não estiver no banco de dados.

Para aprofundamento do tema, segue um vídeo bem interessante feito pela SegInfo Brasil o qual trás mais detalhes e comparações entre essas ferramentas.  O vídeo é um complemento ao curso Segurança  em Redes de Computadores ideal para quem quer ingressar na área de segurança ou que já trabalha com Redes de Computadores e quer colocar uma segurança a mais em seu ambiente.

>>> CURSO SEGURANÇA EM REDES DE COMPUTADORES <<<

NIST E AS BOAS PRÁTICAS DE SEGURANÇA NO BGP

A Internet opera em um sistema frágil de confiança, onde todos contam com todos para fornecer informações corretas sobre outras máquinas. O NIST ( National Institute of Standards and Technology’s) desenvolveu recomendações sobre como proteger o BGP (Border Gateway Protocol, RFC 4271) - o protocolo padrão para roteamento na Internet - para manter essa confiança.

Este documento descreve como a Route Origin Validation (ROV) pode proteger o BGP de sequestro de rota, onde pessoas má intencionadas, anunciam uma rota maliciosa para enviar tráfego para servidores e roteadores ilegítimos. ROV é uma técnica que pode verificar a autenticidade de cada parada entre o emissor da informação e o receptor.

BGP é o protocolo de roteamento padrão usado por roteadores conectados na internet. As organizações publicam informações sobre a rota mais rápida - mais eficiente - a ser seguida para alcançar sua rede, e os roteadores usam o BGP para encontrar essas informações. Se algo der errado ao longo dessa rota, o roteador pode publicar informações alternativas para que o fluxo de tráfego não seja interrompido.

O BGP foi escrito sob a suposição de que ninguém "mentiria" sobre as rotas, portanto, não há processo para verificar os anúncios publicados. Se alguém publicar informações de rota incorretas, os roteadores moverão o tráfego ao longo dessa rota. Os usuários não sabem que estão sendo enviados para o servidor errado ou que suas informações passaram por redes (ou países) que podem espionar suas atividades. Quando a troca de informações de rota é imprecisa (seja feita de forma maliciosa ou acidental), o tráfego tomará caminhos ineficientes pela Internet, chegará a sites maliciosos que mascaram destinos legítimos ou nunca chegará ao destino pretendido.

O  NIST Cybersecurity Practice Guide demonstra uma PoC (proof-of-concept) de como BGP Route Origin Validation (ROV) pode ser implementado com Resource Public Key Infrastructure (RPKI) para endereçar e resolver rotas de rede errôneas que estão sendo trocadas. O RPKI foi proposto em 2013 como RFC 6810 para usar pares de chaves criptográficas público-privadas para validar se as redes têm ou não permissão para fazer seus anúncios de rota BGP.

Desenvolvido em cooperação com AT&T, CenturyLink, Cisco, Comcast, Juniper, Palo Alto Networks e George Washington University, o Draft SP 1800-14 descreve como o ROV pode reduzir o número de sequestros de rota, garantir que o tráfego chegue ao seu destino e ajudar os operadores de rede a decidir o que fazer se outra rede não estiver usando ROV e acionar alertas quando alguém estiver anunciando rotas inválidas. Embora a necessidade de proteger o BGP seja bem compreendida. 

No Brasil, o NIC.br, lançou alguns tutoriais sobre a utilização e implantação das chaves RPKI. [Tutoriais RPKI]

-------------

Recomendamos o Treinamento em Segurança de Redes de Computadores da SegInfo Brasil que ajudara a pôr em prática a base teórica da área de segurança no seu ambiente de trabalho. 

[EVENTO] - O PILAR HUMANO DA LGPD

Pensa com a gente:

Você investiu ou está investindo em todo mapeamento de dados pessoais da sua empresa. Investiu em novas tecnologias para mitigar o vazamento das informações. Nomeou ou contratou o DPO.

Sabemos dos investimentos e tempo dedicados até aqui. Agora imagine os colaboradores da sua empresa compartilhando, por exemplo, a planilha de funcionários contendo informações pessoais...

Todas as PESSOAS da sua empresa já estão preparadas para apoiar a estratégia de LGPD?

Participe do painel de debates para saber quais papeis e responsabilidades das pessoas e por onde começar, na prática, o processo de educação!

O evento ocorre no dia 16 de setembro de 2020 as 17hs.

>>> LINK DE INSCRIÇÃO <<<

-----------

Querendo aprender mais sobre segurança de redes de computadores? Recomendamos o treinamento Segurança em Redes de Computadores da SegInfo Brasil. Com um metodologia simples, o aluno aprende os conhecimentos teórico aplicado a prática. Assista a um vídeo demostrativo clicando na imagem ou no link:

>>> CURSO SEGURANÇA EM REDES DE COMPUTADORES <<<