“Falta de processos faz novas vítimasa”, diz especialista sobre ataques do ransomware Petya

Para Leonardo Militelli, CEO da iBLISS Digital Security, enquanto empresas não contarem com processos maduros de segurança, ondas de ataques vão continuar acontecendo

PetWrap-Ransomware temproario

No início da tarde da última terça-feira (27), mais uma vez, empresas de vários países do mundo foram infectadas por ransomwares. Desta vez, o malware é uma nova variante do ransomware Petya, chamada de Petwrap, que, assim como o WannaCry, tira proveito de uma vulnerabilidade no Windows.

Para o CEO da iBLISS Digital Security, Leonardo Militelli, a nova onda de ataques mostra que muitas empresas ainda não aprenderam a importância de contar com processos consistentes de segurança da informação, especialmente quando o assunto é a atualização de sistemas.

“A falta de processos está fazendo novas vítimas. Enquanto as empresas não tomarem consciência da real importância de contar com processos maduros de gestão de segurança, continuaremos a ver esses problemas”, explica o executivo da iBLISS.

O Petya tira proveito da mesma vulnerabilidade que o WannaCry usou, em maio de 2017, para infectar mais de 300 mil sistemas e servidores ao redor do mundo em apenas 72 horas, conhecida como EternalBlue. A falha de segurança foi descoberta pela NSA e vazada por um grupo hacker conhecido como The Shadow Brokers.

Apesar de a Microsoft ter emitido a correção para o problema em todas as versões do Windows em março de 2017, ondas de ataques como o WannaCry e o Petya mostram que muitas empresas ainda não realizaram a instalação dos patches de segurança.

“O WannaCry e o Petya mostram que empresas no mundo todo enfrentam um problema com a atualização de sistemas. Isso acontece porque muitas acabam se dedicando mais à resolução dos incidentes do que à prevenção desse tipo de ameaça ou à mitigação dos riscos”, explica Militelli.

Para ele, é preciso investir em programas de gestão de segurança para lidar com a complexidade cada vez maior do ambiente de TI, que acaba tornando a atualização das aplicações um desafio e gerando uma série de vulnerabilidades críticas.

“Vale lembrar que essa é a terceira vez que uma ameaça tira proveito dessa mesma vulnerabilidade. Apenas alguns dias depois do WannaCry, especialistas descobriram que o malware Adylkuzz tirou proveito dessa mesma falha de segurança do Windows para minerar moeda virtual”, afirma Militelli.

Principais impactos do ataque
Até o momento, o país mais afetado pela onda de ataques do ransomware Petya foi a Ucrânia, que teve sistemas de bancos, de metrô e do aeroporto de Kiev comprometidos. Entre as empresas afetadas no país estão as fornecedoras de energia elétrica Kyivenergo e Ukrenergo, o National Bank of Ukraine (NBU), Oschadbank, e as organizações do setor de telecomunicações Kyivstar, LifeCell e Ukrtelecom. A ameaça também impactou múltiplas estações de trabalho da unidade ucraniana da empresa de mineração Evraz.

O ransomware Petya afetou ainda fornecedores de energia elétrica e bancos em países como Rússia, Espanha, Reino Unido e Índia, incluindo a gigante petrolífera russa Rosneft e a empresa internacional de logística Maersk.

Ainda não há dados sobre a quantidade de sistemas que já foram infectados pelo ransomware Petya nas últimas horas, mas especula-se que o ransomware possa ter uma extensão maior que a do WannaCry.

Diferente dos outros ransomwares, que criptografam os arquivos do sistema da vítima um a um, o Petya reinicia o computador do usuário, substitui todo o master boot record (MBR) e criptografa a tabela de arquivos mestre (MFT), impedindo que o usuário acesse seus arquivos.

O Petya vai além dos ransomwares tradicionais, pois criptografa, de uma só vez, partes inteiras do HD, impedindo que o usuário acesse até mesmo o Windows. O ransomware então exibe uma mensagem para explicar à vítima que seus arquivos estão criptografados e pede o pagamento de US$ 300 em bitcoins.

Como proteger seus dados
Para garantir imediatamente a segurança de seus arquivos, as empresas devem manter suas máquinas atualizadas e aplicar os patches de segurança disponibilizados pela Microsoft para corrigir a vulnerabilidade EternalBlue. Também é importante desativar o protocolo de compartilhamento de arquivos SMBv1 nos sistemas e servidores com o Windows.

De acordo com o Militelli, é ainda mais importante que as empresas estejam atentas aos seus processos de segurança para prevenir esse tipo de ameaça.

“As organizações precisam tomar consciência da importância da gestão de segurança e da economia que podem gerar para o negócio ao investir na prevenção de ameaças e na mitigação de riscos”, explica o executivo da iBLISS.

Ele cita o caso da Anthem, uma das maiores empresas de seguros de saúde dos Estados Unidos, que teve 80 milhões de dados de clientes vazados em 2015 e, na última semana, teve fixado o valor de US$ 115 milhões a serem pagos em processos judiciais.

“O investimento em plataformas de gestão de segurança da informação que auxiliem a execução de processos como a atualização de sistemas pode gerar um grande retorno. O custo de prevenir acaba sendo bem menor que o de remediar incidentes de segurança. No caso da Anthem, por exemplo, nem contamos o que a empresa perdeu em termos de credibilidade para seu cliente”, afirma Militelli.

Evento gratuito discute como o SPED-REINF e o e-Social trazem mudanças para o RH

No dia 06 de julho, às 9h (horário de Brasília), acontece o eventogratuito “Conheça mais sobre o SPED-REINF e e-Social!”. O encontro, realizado pela Engineering em parceria com a Henares Advogados Associados, irá discutir as mudanças e melhorias que a tecnologia traz para as áreas de Consultoria Tributária, Previdenciária e Trabalhista.
O SPED-REINF e o e-Social, que serão obrigatórios em breve para todas as empresas, pretendem facilitar a fiscalização de ações das organizações e a transmissão digital de dados dos funcionários ao governo. Assim, com a ajuda de especialistas o profissional de RH precisa se adaptar a essas mudanças para que futuramente seja mais fácil o uso dessas ferramentas que unificam e aprimoram a qualidade das informações dos colaboradores.
Para entender como planejar a estratégia empresarial o evento vai discutir diversos temas importantes para a área, como implementação de soluções fiscais, serviço de BPO, soluções para Gestão de RH, desoneração de folha de pagamento e muito mais.
Inscreva-se pelo site: https://docs.google.com/forms/d/e/ 1FAIpQLSegkI8P7tIIXYw9V_i SvzSuJSIa0ZhkwUlCPm2tmqcN SNd3uw/viewform

Empresas ainda falham ao reduzir privilégios de acesso para usuários

Carlos Rodrigues (*)

Por mais que a maioria das empresas ainda adote uma abordagem de proteção com foco em aspectos da rede, de seu perímetro e seus sistemas, hoje os principais desafios da segurança da TI estão relacionados aos dados

O foco é o ativo que precisa ser protegido, e que contém informações críticas, que podem ser de consumidores, de cartões de crédito, propriedade intelectual, registros médicos e financeiros.
Por isso, é importante que as organizações entendam onde estão esses dados, quem tem acesso a eles, quem está usando, quem tem acesso aos dados e não deveria ter, a quem os dados pertencem, e se estão mesmo protegidos e monitorados, e se a empresa é capaz de identificar abusos.
Incidentes recentes, como o de Reality Winner, a veterana da Força Aérea Americana que vazou informações ultrassecretas de uma investigação em andamento sobre os ataques de hackers russos durante as últimas eleições americanas, mostram que o interior da rede deve ser monitorado. As pessoas precisam seguir um modelo de privilégios mínimos, e devem ter acesso apenas ao que precisam para trabalhar. E, mais importante: ninguém pode acessar nada de maneira anormal sem ser notado.
No entanto, o último relatório Data Risk Assessments, da Varonis, revelou que os negócios ainda falham ao implementar um modelo de privilégios mínimos, especialmente devido ao volume de dados gerados, que torna mais difícil para as empresas saber onde os dados residem e quem tem acesso a eles. De acordo com a pesquisa da Varonis, 47% das empresas analisadas em 2016 tinham ao menos 1.000 dados sensíveis abertos para todos os funcionários.

Controle de acesso é desafio para a maioria das empresas
Muitas das violações de dados atualmente têm origem em ameaças internas ou em funcionários que tiveram suas credenciais roubadas ou seus sistemas sequestrados. No caso de Reality Winner, por exemplo, ela tinha acesso legítimo às informações vazadas, mas não precisava acessá-las para executar seu trabalho.
Winner abusou de suas credenciais de acesso, tendo confessado que manteve informações e vazou dados para o The Intercept sem autorização. No entanto, mesmo que não tivesse feito isso, caso suas credenciais tivessem sido comprometidas por alguma outra ameaça, as informações ultrassecretas deste mesmo caso estariam vulneráveis.
Muitas empresas estão sujeitas a sofrer com o vazamento de informações por funcionários, especialmente por que estão mais focadas em se proteger de ameaças específicas para manter os hackers longe da rede, e não na proteção dos dados de ameaças internas e hackers oportunistas capazes de violar o perímetro.
Existem vários produtos voltados para mitigar ameaças específicas e, se forem usados de maneira tática, em vez de dar suporte a uma estratégia que melhore a segurança geral dos dados, além de custarem muito dinheiro, vão apenas gerar uma falsa sensação de segurança.

Usuários querem acessar dados como quiserem
Muito além de investir em ferramentas de segurança para tratar ameaças específicas, como o ransomware, por exemplo, conhecer seus dados e monitorá-los, as empresas precisam oferecer um nível mais elevado de serviço aos seus usuários, que hoje precisam acessar seus dados de qualquer lugar, por meio de qualquer dispositivo.
Isso deve ser feito de maneira controlada para que a TI e o negócio continuem sabendo onde seus dados estão, mantenham um modelo de privilégios mínimos e, ao mesmo tempo, permitam que os usuários finais possam acessá-los do jeito mais conveniente para eles.

(*) É vice-presidente da Varonis para a América Latina.