Malware SMB: quais são as ameaças e por que elas estão piorando?

Quão ruim é o cenário de ameaças para pequenas e médias empresas (SMBs)? Em uma palavra: ruim. Muito ruim. E está ficando pior. A razão pela qual as pequenas e médias empresas agora são o foco dos hackers é porque elas são, como costumávamos descrever nos meus dias na Marinha, "um ambiente rico em alvos". Existem muitas PMEs que compõem a grande maioria de todas as empresas. E eles são, como classe, mal defendidos, se são defendidos.

E embora empresas menores possam não ter bilhões de dólares para roubar, isso realmente não importa. A maioria dos criminosos cibernéticos não conseguia pôr as mãos em vastas somas de dinheiro, porque as empresas de serviços financeiros que possuem todo o dinheiro são muito bem defendidas. Tentar cortá-los é uma perda de tempo. Mas desperdiçar um SMB é frequentemente um pedaço de bolo. Em muitos casos, suas proteções são rudimentares, sua equipe de segurança (se houver) é mal treinada e, embora o orçamento de segurança varie, geralmente é pouco ou inexistente. Da perspectiva dos bandidos, você obterá muito mais dinheiro e ativos úteis por seus esforços das pequenas e médias empresas.

Tudo isso significa que, como a pessoa de TI em uma empresa menor, você enfrentará uma ampla variedade de ataques de uma variedade maior de armas e terá menos recursos e menos tempo para fazer algo a respeito. Lembre-se de que isso cria caráter.

Conhecendo categorias de malware

Classificar os tipos de malware que você provavelmente verá é quase inútil, pois eles mudam a cada dia. O mais útil é apontar as categorias gerais de malware e discutir o que procurar. Também é importante perceber que o nome específico do malware é menos importante que seu objetivo final. Os bandidos estão atrás de dinheiro, bens ou propriedade intelectual (PI)? De certa forma, esses são mais importantes que os detalhes de como eles atacam.

Stu Sjouwerman, fundador e CEO da KnowBe4, diz que, em última análise, os principais ataques às pequenas e médias empresas têm como objetivo fornecer ransomware ou fraude com o CEO. Mas também existem muitos ataques a ativos que assumem a forma de ataques de mineração de criptomoedas. A mineração de criptomoeda assume seus servidores, nas suas instalações ou na nuvem, e consome sua capacidade de computação para mineração de criptomoeda.

Os ataques de fraude do CEO tentam coletar informações suficientes para falsificar os e-mails do CEO e fazer com que o departamento de contabilidade envie dinheiro a eles. E, é claro, o ransomware foi projetado para impedir o acesso aos seus dados até você pagar. Depois que você pagar, eles poderão restaurar seus dados (ou não).

Como o malware é enviado

Em quase todos os casos, esses ataques chegam por email na forma de um ataque de phishing. Ocasionalmente, você os encontrará chegando de um site infectado, mas os e-mails de phishing constituem de longe o vetor mais significativo desses ataques.

O malware entregue frequentemente é algo como o Dharma, que ainda existe, embora seja uma das variedades originais. O que mudou é que o Dharma (e variantes do Petya) agora estão sendo entregues em pedaços que chegam em diferentes vetores. Você pode encontrar partes aparecendo como um arquivo.NET, outras partes sendo entregues como um arquivo JavaScript disfarçado e outras ainda como aplicativos HTML. Seu software de segurança provavelmente nunca notará.

Protegendo contra malware

"O antivírus tradicional está morto." Sjouwerman explica. "Se você realmente deseja se proteger contra esse tipo de ataque, deseja uma proteção de terminal de última geração". Sjouwerman disse que três exemplos de proteção de terminais de última geração incluem Carbon Black, Endgame e Fireeye.

Ele também disse que é fundamental que você se concentre nas correções. "Identifique os 10 aplicativos mais usados ​​em sua organização. Aplique-os de forma religiosa. Instale um processo de classificação de armas para que você tenha sempre a versão mais recente."

Por fim, ele disse que você usa o treinamento de conscientização de segurança da nova escola. Sjouwerman descreveu o treinamento nas novas escolas como usando ataques simulados, seguidos por treinamento corretivo, regular e freqüentemente, incluindo ataques de engenharia social. Ele ressaltou que a detecção automatizada de malware nunca será suficiente por si só. Você precisa construir um kit de ferramentas de segurança que todo usuário de rede deve empregar por meio de política escrita ou padrão.

Por exemplo, até pequenas e médias empresas podem implantar um sistema robusto de gerenciamento de identidades com bastante facilidade como um serviço em nuvem, o que permitirá que os gerentes de TI controlem o acesso em um nível granular e imponham senhas mais fortes no nível do servidor. Outro exemplo é a navegação na web por meio de um dispositivo de propriedade da empresa, que deve ter a obrigatoriedade de acontecer apenas por meio de uma rede virtual privada (VPN), seja por meio dos servidores de um provedor de serviços ou dos do seu datacenter.

• Como remover o malware do seu PC Como remover o malware do seu PC
• A melhor proteção contra ransomware para 2019 A melhor proteção contra ransomware para 2019
• Protegendo seus negócios contra ataques de malware de criptomoeda Protegendo seus negócios contra ataques de malware de criptomoeda

Se parece que não há realmente muita coisa nova, provavelmente é verdade. Mas há muitos malwares sendo usados ​​de novas maneiras. Por exemplo, o uso de software já existente para criar um ataque é um meio crescente de obter acesso às redes. Um exemplo é o Trojan de acesso remoto FlawedAmmyy (RAT), que é um RAT criado no software de administração remota Ammyy Admin. Esse RAT permite que o invasor assuma o controle de tudo no computador de destino, permitindo que eles obtenham o que precisam para novos ataques.

Invista nas ferramentas anti-malware certas

Mas, para que qualquer uma delas funcione, elas precisam de um vetor (ou seja, um caminho). Recentemente, o vetor principal de praticamente todos os ataques foi o email. Um email de phishing geralmente faz isso, mas às vezes o email pode conter malware em um anexo. De qualquer forma, alguém precisa clicar em algo que libere a infecção. Obviamente, uma boa idéia é implantar medidas anti-phishing e anti-trojan no servidor de email ou próximo a ele, o que é um bom motivo para considerar um provedor de email hospedado se sua equipe de TI não possuir as habilidades necessárias para que isso aconteça.

Embora existam novas variedades de malware constantemente, é impossível para o departamento de TI ou de segurança de uma SMB acompanhá-las. A única solução real é investir nas ferramentas e no treinamento certos. A melhor maneira de combater o malware não é permiti-lo em sua rede em primeiro lugar. Você pode fazer isso com uma boa proteção de terminal e um bom treinamento.