O mês de fevereiro marcou o aniversário de dois anos do ataque memorável de ransomware ao Condado de Livingston, um dos 88 condados do estado americano de Michigan. Município mais próspero do estado, Livingston tinha três anos de informações tributárias, que ficaram à mercê dos cibercriminosos.
O CIO do condado, Rich C. Malewicz, disse que a administração local de Livingston — equivalente às prefeituras no Brasil —
têm sido alvo constante de ataques de ransomware, mas o que amenizou a
situação foi o fato de ter os backups prontos. Ele conta que o ataque de
ransomware foi resultado de um malvertising (tipo de anúncio publiciário online que geralmente é usado para espalhar malware) sobre uma campanha de abastecimento de água que infectou usuários que visitaram um site de notícias locais.
“O
ataque foi muito engenhoso, em que tudo o que a pessoa tinha que fazer
para ser infectada era visitar o site. Não tinha nem que clicar na
página. Assim que o usuário acessava o site de notícias locais, ele era
imediatamente redirecionado para um site que hospedava o código do
exploit [pedaço de código de software que explora uma vulnerabilidade] e uma página infame apareceria exigindo um resgate com instruções”, conta Malewicz.
Os
hackers incorporaram código malicioso no iframe que redirecionava os
usuários para a página inicial do exploit. O ransomware se espalhou para
vários PCs e servidores, antes de que fosse contido. “Tivemos a sorte
de ter backup dos dados e recuperamos tudo pouco depois. Se não
tivéssemos o backup, poderia ter sido um desastre”, disse o CIO.
Além
da perda de informações cadastrais dos 188 mil cidadãos do condado, o
governo local teria que arcar com o custo de mão de obra para replicar
os documentos, isso sem falar nos danos à sua reputação. A rede de Livingston também é compartilhada com órgãos de segurança pública, bem como instituições de ensino.
“Está
bastante claro que os governos locais são alvos primários de ataques de
ransomware, principalmente porque os municípios não acompanham até
agora o setor privado em matéria de proteção a crimes cibernéticos e
muitos não têm soluções de backup e tendem a pagar o resgate”, diz Malewicz.
Notícias
recentes mostram que as agências de segurança e os governos locais têm
pagado resgates de ransomware, por isso têm sido um alvo preferencial —
hackers migram para a indústria que tende a pagar o resgate e aquelas
que têm uma postura inadequada segurança cibernética. Esse foi o caso da
polícia de Tewksbury, em Massachusetts, que pagou resgate depois de
tentar por quatro ou cinco dias, sem sucesso, quebrar a encriptação do
ransomware.
Aposta na Análise Preditiva
Após
o ataque, o Condado de Livingston adotou uma ferramenta de análise
preditiva para barrar ataques de ransomware da Unitrends, que inclui
também o backup de dados. “Ataques de ransomware se tornaram comuns hoje
em dia. Todo mundo conhece alguém ou alguma organização que já foi
infectada. No futuro surgirão variantes de ransomware mais ameaçadoras,
que causarão estragos em nossas casas e locais de trabalho”, prevê
Malewicz.
Acredita-se que a
análise preditiva traz a tecnologia para a categoria de salvadora, já
que ela tem capacidade de detectar alterações nos dados, o que aponta
para o surto de ransomware, e permite que o administrador de TI recorra
ao último ponto de backup legítimo.
Análise
preditiva é uma necessidade porque o malware do futuro é desconhecido e
certamente irá evoluir. Quando a tecnologia tradicional de defesa
cibernética é ineficaz, a ferramenta analítica preditiva se torna a
última linha de defesa para uma organização. A maioria das defesas em
uma empresa é construída em torno de modelos baseados em assinaturas de
malware “conhecidos”, enquanto a análise preditiva é construída em torno
do “desconhecido”, estabelecendo um padrão dentro da organização e
protegendo-a contra malware e outras atividades anormais.
O
CEO da Unitrends, Paul Brady, diz que com a incorporação da análise
preditiva e soluções de continuidade de negócios, a empresa permite que
os clientes detectem ransomware como a última linha de defesa. “Através
de análise preditiva e recursos de aprendizado de máquina contra padrões
de dados de backup, organizações de qualquer setor podem não só
detectar ransomware antes que cause estragos, mas também reverter para o
último ponto de backup legítimo para diminuir o tempo ocioso”, afirma.
Brady
explica que, como os backups se sucedem, o software processa dados
regularmente. “Mesmo sem saber o conteúdo detalhado de seus arquivos,
métricas são coletadas, analisadas e armazenadas para futura tomada de
decisões. Essas métricas incluem inserir padrões, alterar taxas, taxas
de crescimento e muito mais. O sistema de backup é capaz de usar a
aprendizagem de máquina ao longo do tempo para reconhecer que certas
anomalias de dados são indicativas de um ataque de ransomware. Quando
ocorrem as condições ideais, o administrador é alertado imediatamente.”
Ransomware no topo da lista
Robert Huber, chefe de segurança e estratégia da Eastwind Networks, diz
que ransomware está no topo da lista de prioridades de muitos CISOs e
CIOs. “Levando em conta o custo de uma infecção e perda de dados, ou o
custo para recuperar os dados, faz sentido.”
“Um
ótimo método para auxiliar na detecção e, sobretudo, prevenção, é o uso
de análise preditiva, ou aprendizado de máquina. Infelizmente, a
computação para realizar a aprendizagem de máquina em escala tem sido
historicamente lenta e cara. Isso é agravado pela dificuldade de
implantar e gerenciar esse tipo de solução”, diz ele.
Mas
Huber observa que o custo e a capacidade de implantar a tecnologia de
aprendizado de máquina — e, por sua vez, a análise preditiva — tem
diminuído. Por isso, avalia que muitas fornecedoras de ferramentas de
segurança passaram a adicioná-la às suas soluções e aplicá-la no combate
a ransomware.
Muitas
vezes a classificação de “next-gen” concedida a novos produtos de
segurança se resumem aplicar o conceito de aprendizado de máquina a
soluções já existentes, diz Huber. “A disponibilidade de plataformas
como Google Cloud Machine Learning Engine e Amazon Machine Learning reduziram
o custo e a complexidade. Além do fato de a comunidade ter melhorado o
estado das melhores práticas para aqueles que escolhem construí-las por
conta própria.”
“Menos
complexo, caro e mais rápido [o aprendizado de máquina] permite que às
empresas aplicá-lo na segurança cibernética quase em tempo real para
prever/evitar, em vez de reagir. Claro, isso pressupõe que as empresas
sejam capazes de construir modelos [de aprendizagem de máquina] que
possam identificar essa atividade enquanto é ainda incipiente. É onde
você precisa de cientistas dados para extrair as características
relevantes para a construção dos modelos”, ressalta Huber.
A Pure Storage está redefinindo sua estratégia de mercado com uma abordagem que abandona o…
A inteligência artificial (IA) consolidou-se como a principal catalisadora de novos unicórnios no cenário global…
À primeira vista, não parece grande coisa. Mas foi na pequena cidade de Pornainen, na…
O processo de transição previsto na reforma tributária terá ao menos um impacto negativo sobre…
O que antes parecia uma aliança estratégica sólida começa a mostrar rachaduras. Segundo reportagem do…
O Departamento de Defesa dos Estados Unidos firmou um contrato de US$ 200 milhões com…