[Segurança] Ciber Extorsão

O caso recente da Code Spaces chamou a atenção para os ataques de "ciber extorsão", aonde criminosos exigem dinheiro em troca de parar algum tipo específico de ciber ataque. Este tipo de ameaça é muito comum nos países da Europa, Rússia e EUA há vários anos, mas para nossa sorte, acontece com pouca frequência aqui no Brasil. Isso porque nossos ciber criminosos já ganham bastante dinheiro com fraude em Internet Banking. Os casos ciber extorsão que acontecem no Brasil normalmente são de usuários locais infectados acidentalmente por ataques realizados por ciber criminosos lá de fora.

O site The Huffington Post publicou um artigo recentemente que cita os principais tipos de "ciber extorsão" existentes:

• Ransomware: é o ataque mais comum e normalmente é direcionado a usuários finais. Um malware especializado (chamado de "ransomware") é utilizado para infectar o computador de uma vítima e bloqueá-lo, normalmente criptografando todos os arquivos locais ou mostrando uma janela com uma mensagem falsa, de que o usuário recebeu uma "multa" por ter arquivos protegidos por direito autoral ou pornográficos. A vítima é obrigada a pagar uma taxa para desbloquear seu computador. Exemplos: CryptoLocker, CryptoWall (CryptoDefense), CryptorBit, Reveton, Urausy e WinLocker;

• Ransomware para Smartphones: Também existem ransomwares direcionados para dispositivos Android, tal como o Simplocker (já encontrado na Rússia e Ucrânia). Ele se faz passar por uma app do Android, mas uma vez instalado pela vítima, ele encripta os arquivos do dispositivo.

• Seqüestro de contas: Ao conseguir invadir contas de serviços online, o ciber criminoso pode ameaçar apagar os dados ou liberar publicamente os arquivos armazenados nessas contas. Alvos comuns são contas em serviços populares como o Facebook, Twitter, LinkedIn, Dropbox, Google Play e iCloud;
• Sextortion: quando o ciber criminoso rouba fotos ou vídeos íntimos de uma pessoa e, então, pede alguma forma de pagamento para não divulgá-los online. Pode acontecer de várias maneiras: invadindo o computador para ter acesso aos arquivos locais ou a webcam, um ex-parceiro pode compartilhar as imagens com um terceiro, a vítima pode ser seduzida ou ameaçada a compartilhar imagens íntimas (acontece frequentemente com crianças e adolescentes), ou o atacante pode invadir uma conta online que armazena essas imagens;
• Negação de Serviço: os ciber criminosos usam os ataques de Denial-of-Service (DoS) ou DDoS para tirar o site de uma empresa do ar. Em seguida, ele exige dinheiro em troca de parar o ataque;
• Extorsão Corporativa: ataque direcionado a empresas, que pode ser realizado de várias formas, tal como invadindo a empresa e ameaçando divulgar dados sensíveis dela (geralmente informações de clientes, tais como cartões de crédito, endereço, e-mail, etc). Outras formas de ataque incluem ameaçar a empresa com comentários negativos online, reclamações para órgãos públicos, ou até mesmo realizar pedidos fraudulentos.

Além das dicas no próprio artigo do The Huffington Post, um artigo no blog da RSA dá algumas dicas de como as empresas podem se proteger para minimizar o impacto desses tipos de ataques:

• Backup, backup e mais backup: faça backups dos dados importantes, dos servidores, e mantenha-os em um lugar seguro, preferencialmente com cópias off-line;
• Cuidado redobrado ao armazenar dados sensíveis: isto se aplica aos bancos de dados de clinetes, para as empresas, e arquivos pessoais dos usuários finais;
• Políticas de segurança: é importante ter uma política que defina as regras de acesso administrativo aos recursos de TI;
• Documentação dos processos e sistemas: Uma correta documentação do ambiente facilita uma correta gestão de mudanças, a identificação de alterações no ambiente e de pontos fracos na infra-estrutura, e auxiliam a rápida resposta a qualquer problema;
• Gestão de contas e segregação de funções: Qualquer conta administrativa só deve ter acesso às funções mínimas necessárias para o seu papel. É um recurso fundamental para minimizar o impacto de um acesso indevido a uma conta administrativa. Além disso, as contas de administração não devem ser compartilhadas - cada indivíduo deve ter uma conta própria, para facilitar o controle e auditoria;
• Autenticação forte, baseada em risco: O nível de autenticação aos sistemas da empresa deve ser compatível com o nível de risco para cada função, principalmente em caso de acessos administrativos. O uso de políticas de senhas fortes e dispositivos de autenticação forte (de dois fatores) não deveria ser novidade para ninguém;
• Monitoramento do ambiente: Todas as atividades nA console de gerenciamento devem ser registradas em log e cuidadosamente monitoradas, incluindo atividades como a criação de uma nova conta de administrador, a exclusão de uma grande quantidade de dados, etc. Sempre que possível, atividades críticas deveriam requerer a revisão e aprovação antes da execução - ou ser revistas rapidamente após sua execução para garantir a sua validade.

Atualização (09/08/14): O pessoal da FireEye e FoxIT criou um serviuço online chamado Decryptcryptolocker para desencriptar arquivos de vítimas do Cryptolocker. Você submete um arquivo encriptado e ele te retorna a chave de descriptografia e um link para usar uma ferramenta deles para desencriptar tudo.