ransomware destaque - rnp.br · ele atua basicamente como um sequestrador de arquivos ... mente o...

35.134JAN

41.346FEV 37.475

ABR

41.556MAI

45.616JUN

32.975JUL

37.170AGO

46.859MAR

DEST

AQUE

RansomwareRansomware, o chamado “sequestro digi-tal”, tem ganhado cada vez mais destaque no mundo dos crimes cibernéticos. Esse tipo de malware surgiu por volta de 2006 e já teve muitas variações, como o GPcode (2008), CryptLocker (2013) e CryptoWall (2013). Até o final de 2014, golpes desse tipo tiveram um crescimento de 113%, segundo a Symantec, e esse número segue aumentando em 2015.

Ele atua basicamente como um sequestrador de arquivos digitais, cifrando os mesmos e orientando a vítima a pagar um valor pelo “resgate” (ransom, em inglês).

Uma das mais recentes variações do ransomware é o CTB-Locker (Curve-Tor-Bitcoin-Locker), que recebe esse nome por combinar o uso de criptografia persistente de curva elíptica (Curve), o Tor (software que anonimiza a conexão de rede) e o Bitcoin como uma das formas de pagamento.

CAIS EM RESUMO é uma publicação periódica do Centro de Atendimento a Incidentes de Segurança (CAIS/RNP), que tem como objetivo apresentar, de forma resumida, os principais alertas, vulnerabilidades, tipos de ataque e de-mais acontecimentos da área de segu-rança da informação, que impactaram a rede acadêmica e de pesquisa no último quadrimestre.

ESTA

TÍST

ICAS No segundo quadrimestre de 2015, o CAIS gerou 157.317

notificações, criando uma leve tendência de queda no nú-mero de notificações de 2015.

No primeiro quadrimestre desse ano, a redução foi de 13%, comparada ao quadrimestre anterior. No segundo quadri-mestre, apesar de menos agressiva, também houve uma redução de 2,2% no total de notificações.

Das vulnerabilidades notificadas, 99% continuam sendo da categoria Tentativa de Intrusão. Essa notificação identifica hosts com vulnerabilidades relacionadas, principalmente, aos protocolos NetBios e NTP.

Já as notificações de incidentes são 76% da categoria Códi-go Malicioso e 9% na categoria Tentativa de Intrusão.

O CAIS tem executado projetos que visam à diminuição gradual no número de notificações de vulnerabilidades, por meio de ações conjuntas com as equipes de seguran-ça das instituições mais afetadas. Em um desses proje-tos, o “Ações nas TOP5”, as cinco instituições com maior índice de vulnerabilidades fazem uma força-tarefa coor-denada pelo CAIS para o tratamento das causas-raízes dessas vulnerabilidades.

Linha de tendência 2015

O golpe:• A vítima tem seu computador infectado por um e-mail

com malware anexo ou URL de phishing. • Ao se instalar, o malware cifra todos os arquivos da

vítima, utilizando um forte algoritmo de criptografia.• Quando a vítima tenta acessar seus arquivos, recebe

uma mensagem (pop-up ou bloco de notas) informando-a sobre o “sequestro” de seus dados e passando orien-tações para o “pagamento do resgate”, por meio de transferência bancária ou de bitcoins.

Importante: Não há garantias de que, após o pagamento do resgate, o atacante decifrará os arquivos da vítima.

Algumas ações para evitar esse tipo de ataque são:• Fazer backups regulares de seus arquivos importantes;• Manter um software antivírus/antimalware atualizado

em seu computador;• Nunca salvar anexos ou clicar em links de e-mails des-

conhecidos ou spams.Saiba mais sobre o ransomware em Referências.

Stagefright – Vulnerabilidade no AndroidEm julho de 2015, a empresa de segurança mobile Zimperium divulgou uma vulnerabili-dade na biblioteca chamada Stagefright. Essa biblioteca é responsável pela gestão dos diferentes formatos de arquivos que podem ser usados para reprodução de vídeo e de áudio em celular com sistema operacional Android.

Um atacante, em posse apenas do número de telefone da vítima, pode enviar ins-truções executáveis embutidas em dados multimídia inofensivos (shellcodes), uma mensagem MMS maliciosa e obter acesso ao celular da vítima assim que o conteúdo da mensagem for baixado.

A partir disso, o atacante pode, então, apagar as evidências do ataque, operar remota-mente o microfone do celular, roubar arquivos, ler e-mails e obter credenciais de acesso. A falha afeta as versões 2.2 até 5.1 do Android.

Apesar das correções no sistema dependerem de cada fabricante, cabem ao usuário os cuidados para não abrir conteúdo desconhecido.

• Uma ação simples e ao alcance do usuário é desabilitar a reprodução automática de conteúdo multimídia do aparelho. A Avast divulgou em seu site um passo a passo simples a esse respeito. Mobile Security: Stagefright - nova vulnerabilidade Android coloca o seu dispositivo em risco

• Para verificar se seu aparelho está vulnerável a essa falha, algumas ferramentas estão disponíveis na internet:Stagefright: Vulnerability Details, Stagefright Detector tool released Stagefright Detector - Zimperium Stagefright Detector - Lookout Mobile Security

Saiba mais sobre a vulnerabilidade Stagefright em Referências.

A falha afeta as versões

2.2 até 5.1 do Android

No mês de outubro, a RNP promove o Mês de Segurança, com o objetivo de fomentar a cultura de segurança da informação em instituições do Brasil e da América Latina. Realizada em parceria com a RedCLARA e a OEA, a ce-lebração busca criar oportunidades para as instituições discutirem as boas práticas de segurança no uso da internet em suas comunidades locais.

Segurança na nuvem, em redes sociais, em redes Wi-Fi, em jogos online e dispositivos móveis, cibercrime, senhas, phishing, privacidade, fraudes, cyberbullying, engenharia social, criptografia, bom uso do e-mail, compras seguras, backup e softwares maliciosos são alguns dos temas que podem ser abordados pelas instituições participantes, por cursos, palestras, campa-nhas internas e outras ações de divulgação.

A RNP convida a todas as instituições a participarem dessa importante celebração, demonstrando assim a relevância dada ao tema segurança da informação. As instituições interessadas em celebrar o Mês de Segurança podem fazer sua inscrição no site do evento.

ATUA

LIZE

-SE

Segue uma lista de documentos utilizados como referência nessa publicação. Recomendamos a leitura como modo de complementar os conceitos aqui tratados.

Ransomware rescue kit released to combat criminal enterprisehttp://www.zdnet.com/article/ransomware-rescue-kit-released-to-combat-criminal-enterprise/

Ransomware: To pay or not to payhttp://www.techrepublic.com/article/ransomware-to-pay-or-not-to-pay/

Highlights from the 2015 Internet Security Threat Reporthttp://www.symantec.com/threatreport

McAfee Labs Report Sees New Ransomware Surge 165 Percent in First Quarter of 2015http://www.mcafee.com/br/about/news/2015/q2/20150609-01.aspx?view=legacy

Beware the Rise of Ransomwarehttp://us.norton.com/yoursecurityresource/detail.jsp?aid=rise_in_ransomware

Experts Found a Unicorn in the Heart of Androidhttp://blog.zimperium.com/experts-found-a-unicorn-in-the-heart-of-android/

Mobile Security: Stagefright - nova vulnerabilidade Android coloca o seu dispositivo em riscohttps://www.avast.com/pt-br/faq.php?article=AVKB230

REFE

RÊN

CIAS

RNP Rede Nacional de Ensino e Pesquisa

Nelson Simões Diretor-geral

José Luiz Ribeiro Filho Diretor de Serviços e Soluções

Realização:

CAIS Centro de Atendimento a Incidentes de Segurança da RNP

Liliana Velásquez Solha Gerente de Segurança da Informação

Redação: Ana Carolina Fukushima, Edilson Lima e Rildo Souza

Revisão: Alan Santos, Ronald Huppers e Vanessa Suzuki

Projeto visual e Diagramação: Tecnodesign