‘Retorno’ de vírus destruidores cria novos riscos para empresas

Se você tem alguma dúvida sobre segurança da informação (antivírus, invasões, cibercrime, roubo de dados etc.) vá até o fim da reportagem e utilize o espaço de comentários. A coluna responde perguntas deixadas por leitores todas as quintas-feiras.

O ataque contra a Sony nos Estados Unidos resultou no vazamento de diversas informações da empresa, mas foi o uso de um código “destruidor” que levou o FBI a divulgar um alerta. A destruição não se limitou a rastros ou evidências do ataque: sistemas foram completamente desativados, com dados apagados e componentes operacionais destruídos.

É a terceira vez que um código de destruição é usado em ataques recentes: os outros casos foram no Oriente Médio e na Coreia do Sul. Os três programas são também muito parecidos, o que significa que os ataques são realizados pelo mesmo grupo ou que eles têm um fornecedor em comum para a ferramenta.

Os episódios marcam o “retorno” do risco de destruição de dados por códigos maliciosos. Esse risco havia desaparecido quase que completamente. Softwares que roubam dados não querem ser notados e, por isso, não podem destruir o sistema, porque isso daria uma “dica” aos especialistas de que algo está errado.

Os vírus tradicionais que destroem sistemas desapareceram por “causas naturais”: se o vírus destrói o sistema que o hospeda, ele não pode se disseminar para outros computadores.

Fora acidentes, sobraram as destruições controladas, quando um programa é ativado por um hacker especificamente para destruir o computador infectado. Embora muitos programas maliciosos tenham sido distribuídos com essa capacidade, a destruição ocorreu apenas em casos muito pontuais.

No caso do vírus Shamoon, que atacou organizações no Oriente Médio, do DarkSeoul, que atingiu a Coreia do Sul, e do Destover, que atacou a Sony, o código destrutivo foi um componente preparado apenas dois dias antes do “extermínio” dos dados. Isso significa que tudo foi controlado de maneira minuciosa e dirigido especialmente para a rede atacada.

Em outras palavras, os hackers agiram como demolidores.

O uso desse tipo de manobra em um ataque dirigido é marcante, pois esses ataques costumam ser discretos – e a destruição nunca é discreta. Foi essa atitude inesperada dos invasores que motivou o alerta do FBI.

Diferente dos vírus tradicionais, um ataque dirigido contra uma grande empresa é controlado pelos seus invasores, ou seja, o vírus é instalado pelos hackers depois que eles já estão dentro da rede. Ou seja, não há preocupação com a disseminação do código. E, diferente da maioria, esses hackers não estão preocupados se vão ser notados ou não. Essa é a combinação de fatores que permite a alguém usar um código destrutivo.

Extorsão e destruição
Os ataques de destruição se diferenciam dos ataques de extorsão, que também danificam dados e sistemas. Ataques de extorsão ocorrem há mais tempo por meio da classe de códigos chamada de “ransomware”. Esses códigos não destroem os arquivos, mas codificam os dados de maneira que não seja possível ler o conteúdo sem uma chave secreta. A vítima é obrigada a pagar para ter a chave e conseguir seus arquivos de volta.

Em um caso na metade deste ano, a empresa Code Spaces também teve seus dados destruídos quando se recusou a pagar regaste. Quando os backups também foram apagados, a única solução da empresa foi fechar as portas.

Nesses casos de destruição, não houve pedido de dinheiro: destruir aparentemente fazia parte do plano inicial da invasão.

Como ocorre a destruição de dados
Para destruir dados de um computador, o meio mais garantido é a regravação. Ou seja, um arquivo não pode ser apenas “apagado”, mas substituído por outro com dados inúteis. O problema dessa abordagem é que ela demora muito.

Por isso, pragas digitais buscam maneiras mais rápidas, porém menos efetivas, para destruir dados. Em termos simples, apenas alguns dados dos arquivos são regravados e o arquivo é então apagado. Em seguida, os dados iniciais do disco e da partição são regravados, impedindo o sistema de iniciar e criando mais uma barreira para a recuperação dos dados.

Mesmo assim, a recuperação dos dados ainda pode ser possível em alguns casos, embora ela não seja completa e possa necessitar de checagem manual dos dados recuperados.

Proteção
Seja extorsão ou destruição, dados devem ser protegidos da mesma forma: com backup. Uma das cópias de segurança dos arquivos não pode estar sempre disponível para acesso no computador, já que a ação de um programa malicioso fará com que as duas cópias sejam inutilizadas.

Copie seus dados para um DVD ou Blu-Ray. Se for usar um disco externo ou pen drive, lembre-se de não manter o dispositivo conectado fora do procedimento ou da restauração do backup.

fonte:http://g1.globo.com/tecnologia/blog/seguranca-digital/post/retorno-de-virus-destruidores-cria-novos-riscos-para-empresas.html

Ricardo Lino

Profissional de Tecnologia da Informação há 17 anos, tendo os últimos 7 anos na área de Segurança da Informação, Risco&Fraude e Compliance, projetando e definindo as melhores soluções, alinhando as melhores práticas de mercado as metas de negócio, provendo transformações internamente e externamente mantendo uma Governança de segurança da informação, gestão de risco para elevar a maturidade das empresas, são o que eu faço melhor.

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *