Ransomware

 
Notícias de diferentes entidades e organizações vítimas de Ransomware são cada vez mais frequentes. Nos dias de hoje, é um ataque altamente efetivo que visa a cifragem da informação de uma vítima, solicitando um resgate para disponibilizar o acesso à mesma, originando lucros de biliões de euros para os criminosos. 

As Instituições de Ensino podem ser um alvo atrativo para quem procura um ambiente onde o número de utilizadores é um fator decisivo para a criticidade e o impacto do ataque.  

Num ambiente universitário é comum encontrar pessoas com diferentes níveis de conhecimentos de informática a utilizar os equipamentos disponibilizados pela instituição. Estes equipamentos são geralmente utilizados por um elevado número de pessoas, umas ligadas à própria instituição, outras apenas de visita, tais como professores convidados ou mesmo alunos nacionais ou internacionais participantes de programas de ensino. A maioria destes utilizadores usa também os seus próprios equipamentos na rede da instituição para os mais diversos propósitos: aceder a conteúdo interno, navegar na internet para fins universitários, acesso a plataformas de cariz pessoal tais como email, homebanking, redes sociais, jogos, entre outros. 

Têm-se verificado inúmeros casos de Universidades internacionais alvos de ransomware por parte de grupos organizados que veem nestas instituições uma oportunidade de utilizar este vetor de ataque para bloquear o acesso a informação essencial, como as plataformas de recursos didáticos, materiais de ensino, teses de final de curso, papers escritos por investigadores ou qualquer outra informação cuja importância é relevante para a instituição. Perante o risco de perder o acesso a dados importantes para o seu funcionamento, as Universidades são alvos de pedido de resgate exorbitantes para que lhes seja devolvido o respetivo acesso à informação. 

É extremamente importante ter um plano de resposta a incidentes que contemple o cenário de ransomware. Internamente deverão existir um conjunto de controlos, tais como políticas de segurança estabelecidas que permitam garantir a confidencialidade, integridade e disponibilidade de informação, ajudando desta forma a prevenir ou minimizar o impacto em caso de  ataque informático.  

Sugestões que podem auxiliar em caso de um ataque de ransomware: 

• Devem ser definidos grupos de informação de backup consoante a criticidade e a disponibilidade necessária à informação, pois nem todos os dados requerem uma cópia diária. 
• Deve existir uma política de backups definida com os respetivos procedimentos documentados. 

• Devem estar definidas as janelas temporais de backups, podendo, se aplicável, definir janelas para backups totais e incrementais. 
• Devem ser efetuados backups regulares com base nos grupos de informação de backup definidos. 
• Devem estar previstos testes periódicos de restauro. 
• Devem ser definidos os períodos de retenção de backups. 
• Os meios de suporte dos backups devem estar armazenados em local seguro, de preferência longe das instalações da organização/instituição. 

A fim de prevenir ou mitigar um potencial ataque informático, podem ser tomadas algumas das seguintes medidas: 

• Separar equipamentos críticos de equipamentos de utilização comum, através de redes distintas e não acessíveis do exterior (internet). 
• Garantir que só pessoas autorizadas têm acesso a redes restritas ou de equipamentos críticos. 
• Garantir que existe monitorização da rede. 

• Usar, sempre que possível, um segundo fator de autenticação. 
• Manter sempre os sistemas atualizados, especialmente no que refere a atualizações de segurança. 
• Desligar todos os serviços que não sejam estritamente necessários em máquinas críticas. 
• Evitar qualquer tipo de exceções. 

Pedro Silva e Fábio Mestre são especialistas no serviço RCTS CERT, que poderá visitar para mais informações.