Como proteger sua empresa do ExPetr

Estamos testemunhando o aparecimento de uma nova variação de cryptomalware. Nossos especialistas o batizaram de ExPetr (outros o chamam de Petya, PetrWrap e outros). A principal diferença desse novo ransomware está no fato de que os criminosos escolheram o alvo com bastante precisão: a maioria são empresas, não consumidores. O pior, infraestruturas críticas estão entre as vítimas. Por exemplo, alguns voos atrasaram no aeroporto de Boryspil em Kiev por conta do ataque. Ainda pior – o sistema de monitoramento da infame usina de Chernobyl parou temporariamente pelo mesmo motivo.

Por que sistemas de infraestrutura crítica continuam sendo atingidos por malware? Por estarem diretamente conectados com a rede corporativa ou possuírem acesso à internet.

O que fazer

Assim como o WannaCry, temos nas mãos dois problemas distintos: a penetração inicial do malware na infraestrutura da empresa e sua proliferação interna. Esses dois problemas devem ser abordados separadamente.

A invasão

Nossos especialistas apontam diversas rotas pelas quais o malware poderia ter entrado na rede. Em alguns casos, por meio de sites maliciosos (infecção drive-by); usuários recebem o malware disfarçado de uma atualização no sistema. Em outros, a ameaça se espalhava como novas versões de softwares de terceiros – por exemplo, o M.E. Doc de contabilidade ucraniano. Em outras palavras, não há uma única forma de prever que entrada proteger.

Temos algumas recomendações para assegurar a infraestrutura de malwares:

Oriente seus funcionários a nunca abrir anexos suspeitos ou clicar em links recebidos por e-mail (parece óbvio, mas continua acontecendo);

Garanta que todos os sistemas conectados à internet estão equipados com soluções de segurança atualizadas que incorporem análise comportamental de componentes.

Verifique se todos os componentes criticamente importantes da solução de segurança estão habilitados (para produtos da Kaspersky Lab, garanta que a rede de assistência de inteligência de ameaças na nuvem esteja ativada, a Kaspersky Security Network. Faça o mesmo com o System Watcher).

Atualize soluções de segurança regularmente.

Empregue ferramentas para controlar e monitorar soluções de segurança de um único dispositivo com permissões de administrador – não permita que funcionários brinquem com as configurações.

Uma medida adicional de proteção (especialmente se você não estiver usando produtos da Kaspersky Lab), é instalar nossa ferramenta gratuita Anti-Ransomware, compatível com a maioria das soluções de segurança.

Proliferação dentro da rede

Uma vez dentro de um único dispositivo, o ExPetr é muito melhor em se proliferar que o WannaCry. Isso ocorre por ter um número maior de ferramentas com esse propósito. Primeiro, usa pelo menos dois exploits: um EternalBlue modificado (também usado pelo WannaCry) e o EternalRomance (outro exploit do TCP port 445). Segundo, quando um sistema é infectado no qual o usuário possui privilégios de administrador, começa a se disseminar usando a tecnologia do Windows Management Instrumentation ou com a ferramenta de controle de sistema remoto o PsExec.

Para prevenir que malwares se proliferem dentro da sua rede (especialmente dentro de infraestrutura crítica), você deve:

Isolar sistemas que requerem uma conexão de internet ativa em um segmento separado da rede.

Divida em subredes físicas ou virtuais com conexões restritas o resto da rede, conecte apenas sistemas que necessitam delas para processamento tecnológico.

Veja os conselhos que nossos especialistas deram depois do evento com o WannaCry (especialmente úteis para indústrias).

Garanta que atualizações críticas de segurança do Windows sejam feitas a tempo. Particularmente importante nesse contexto, a MS17-070 corrige as vulnerabilidades que permitem o EternalBlue e o EternalRomance;

Isole os servidores de backup do resto da rede e desencoraje o uso de dispositivos remotos.

Proíba execução de um arquivo chamado dat usando o controle de aplicações da Kaspersky Endpoint Security for Business ou com o Windows AppLocker.

Para infraestrutura contendo múltiplos sistemas embutidos, implante soluções especializadas como o Kaspersky Embedded Security Systems.

Configure o modo de Default Deny e adicione medidas protetivas adicionais possíveis nos sistemas– por exemplo, em computadores utilitários que raramente são modificados. Isso pode ser feito com o componente de Controle de Aplicações do Kaspersky Endpoint Security for Business.

Como sempre, recomendamos fortemente que implemente abordagem multicamadas, incorpore atualizações automáticas de softwares (o que inclui o sistema operacional nesse caso), componentes antiransomware e que monitore todos os processos, dentro do SO.

Pagar ou não pagar

Finalmente, por mais que sempre recomendemos não pagar o resgate, entendemos que algumas empresas sentem não ter escolha. Contudo, se seus dados já foram infectados pelo ExPetr ransomware, você não deve pagar o resgate em hipótese alguma.

Nossos especialistas descobriram que esse malware não tem mecanismos para salvar o ID de instalação. Sem isso, o autor da ameaça não pode extrair as informações necessárias para realizar o desbloqueio. Em suma, eles simplesmente são incapazes de devolver suas informações.

Anúncios

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s