Olá boa tarde espero que me consigam ver e ouvir em condições conseguem ver-me e ouvir-me em condições Ok sim senhor é que eu aqui no no YouTube estúdio Estou a ver com um bocadinho delay e parecia-me que estava aqui qualquer coisa que não estava bem ora depois das férias sejam sejam muito bem-vindos vamos falar aqui um bocadinho de Ran samuer e em primeiro Lar paraou tirar a música do vídeo que foi um vídeo que eu preparei para estar a passar durante o webinar h e o ran samuer é um malware panto basicamente é um malware
que mantém dados ou mesmo dispositivos reféns ameaçando desta maneira um bloqueio ou às vezes até pior a menos que a vítima pague um resgate Aos aos ecar aos invasores de acordo com com a IBM e com o seu índice ex Force trat intelligence que foi publicado ainda em 2023 os ataques de rans samare representaram em 2023 17% de todos os ataques cibernéticos portanto isto H em termos de de de percentagem é é bastante grande tendo em conta que existem muitos ataques eh cibernéticos os primeiros ataques de rança moer eh quando começaram exigiam essencialmente um resgate
em em troca de uma chave de criptografia para recuperar o acesso aos dados afetados ou então a recuperar o acesso até ao dispositivo infetado fazendo backups regulares ou mesmo contínuos eh eh eh podemos limitar os custos desses tipos de ataque e também evitar pagar a exigência do Resgate ou seja se tivermos backups regulares e o que o ran samer vai fazer é impedir o acesso aos dados Se tivermos backups regulares o mais que podemos perder será ali entre o backup e e o ataque ou a invasão nos últimos anos no entanto estes ataques evoluíram e
incluem também extorsão a chamada extorsão dupla a chamada distorção tripla que aumentam os riscos as vítimas que mantém backups de dados ou mesmo que paguem o o pedido de resgate não deixam de não estar em risco porquê Porque os ataques de destrução dupla adicionam à ameaça de roubar os dados e e colocá-los online ou seja mesmo que tinhamos backups se os nossos dados confidenciais são colocados online A Ameaça é dupla Depois ainda há a ameaça tripla ameaça tripla ameaçam também usar dados Roubados para atacar clientes parceiros familiares da vítima ou da organização o mesmo índice
da da da IBM em 2023 que eu referi há pouco o ex Force trat intelligence descobriu que a participação de um ruer em todos os incidentes de 2023 diminuiu de 2022 para 2023 cerca de 4% porque é que esta diminuição provavelmente aconteceu aconteceu porque os Defensores estão melhor preparados e são mais bem sucedidos na deteção e na prevenção de ataques de raner essa descoberta positiva acabou por ser um bocadinho depois mas não deixa de não ser uma boa uma boa notícia tendo em conta que nem as vítimas nem os negociadores de rança Muler gostam de
divulgar os valores de pagamentos de resgates tendo em conta que a única informação que conseguimos muitas vezes é dos invasores h de acordo com aquilo que se chama o guia definitivo do ramare que é uma uma base de dados também online com informação as exigências de resgate cresceram para valores entre s 7 e 8 dígitos os pagamentos de resgat São apenas uma parte do custo da infecção por rança mulher porque eh de acordo também com o relatório de custo de violações de dados em 2023 o custo médio da violação além da do do Resgate foi
de 5.13 milhões de dólares e e espera-se que este ano em 2024 possam haver prejuízos na casa dos 30 Bilhões de Dólares Esta é uma informação que é do guia definitivo do rans samare que é uma página que podem podem encontrar também online também é da IBM e podem consultar tipos de ransomware existem dois tipos genéricos digamos assim de rança moeda o tipo mais comum que é o criptografado ou cripto que mantém dados da vítima como reféns e vai criptografar esses dados e o eer existe exige um resgate eh em troca do do fornecimento da
tal chave de criptografia para descriptografar o o os dados a forma menos comum de rare é o Rand samare não criptografado ou samer de bloqueio de ecrã que bloqueia todo o dispositivo das vítimas normalmente bloqueando Inclusive é o acesso ao sistema operativo que em vez de arrancar normalmente exige vai exibir perdão um ecrã e com a exigência do Resgate estes dois tipos podem ser divididos em subcategorias ainda que são o leare o ransomware móvel e aquilo que se chama os wipers ou o ransomware destrutivo também existe o scareware mas não é tão perigoso aqui uma
pergunta se houver esse seguro essa possibilidade sim David então falando do liare ou do dogware o liare é um ransomware que vai roubar dados confidenciais e ameaçar publicar esses dados daí o nome li enquanto eh eh eh o o o ransomware normal apenas bloqueia este leare vai ameaçar eh eh divulgar os dados ran samare móvel se tem a ver com dispositivos móveis portanto normalmente por download direto ou através de aplicações eh maliciosas o ran samuer móvel normalmente Não é criptografado porquê Porque os os dispositivos móveis normalmente têm backups automáticos na Cloud e então o que
eles o que o o ramare móvel normalmente é não criptografado para obrigar a recuperar todo o dispositivo depois os wipers que ameaçam destruir todos os dados se o resgate não for pago exceto eh no no nos casos em que e o o raner destrói os dados mesmo que seja pago o que suspeita normal norm que neste tipo neste tipo de rança moer normalmente são ativistas ou ou estados nação que fazem esse tipo de invasão e não os os criminosos os cibercriminosos comuns depois o scareware o scareware É exatamente um raner que tenta assustar utilizadores para
pagarem um resgate pode fazer-se passar por uma mensagem eh da polícia judiciária do do do do FBI uma muito conhecida que há uns anos em Portugal era no arranque do computador aparecia uma mensagem da polícia judiciária a dizer que h a acusar a vítima de de fazer parte de uma rede de pornografia ou de uma rede de tráfico de de seres humanos obviamente que isso era falso eh e exigia uma uma recompensa o pagamento de uma recompensa para desbloquear o computador esse scareware no entanto era fácil de resolver desde que houvesse o backup bastava formatar
o computador e e repor o backup e ficava tudo ok portanto quatro tipos de e de subdivisões em termos das categorias principais que são o o o o cripto e o não cripto e depois nas subcategorias o leare ou dware oan samare móvel o wiper e o eh scareware como é que o rança moed infeta um dispositivo ou um sistema normalmente através de e-mails de Fishing ataques de engenharia social porque a parte mais fraca do do sistema não é o sistema é o ser humano que manuseia o sistema também através de vulnerabilidades de softwares e
às vezes do sistema operativo e roubo de credenciais mais uma vez a parte mais fraca do sistema é o utilizador ou Através de outros malwares que são desenvolvidos como e códigos para depois entregar o ran samuer o Cavalo de Troia por exemplo há um muito famoso que é o trickbot o trickbot foi H Originalmente criado para roubar credenciais bancárias mas depois em 2021 passou a ser usado por por black hackers para propagar V ran mher uma uma versão que se chamava c e a partir daí passou a ser usado também downloads em drive by ou
seja sites para transferir raner sem conhecimento dos utilizadores e sem conhecimento dos proprietários desse site ou seja o proprietário do site jula que o site está em conformidade no entanto h lá as ameaças os cibercriminosos ou hacker Black hackers não precisam necessariamente de desenvolver e rare porquê porque existem programadores especialistas em criar rare e que partilham esses códigos com o cibercriminoso ou vendem eh Esses códigos como um serviço aquilo que se chama o ransomware as service r a a s rar rare como serviço o cibercriminoso usa o código e divide o pagamento do Resgate com
o programador é uma relação que benefici aos dois e nesse nesse aspeto atacantes não precisam de perder tempo a programar o ran Quais são as fases Dea de um acesso Inicial ou seja vetores de mais comuns para ataques continuam a ser a exploração de vulnerabilidades a exploração das vulnerabilidades do sistema ou humanas através da engenharia social e de Fishing o o a etapa dois a chamada pós exploração que Dependendo da forma como tem o acesso Inicial pode envolver uma ferramenta de acesso remoto um um um outro malware antes de estabelecer o acesso definitivo e o
acesso interativo e depois a fase TRS entender e expandir O que é entender e expandir durante a fase TRS Os Invasores vão se concentrar em em compreender o sistema que invadiram E qual é o domínio que tem naquele sistema e trabalham para obter acesso a outros sistemas e domínios chamando a esse acesso a outros sistemas e domínios que estão ligados em rede ao sistema original invadido aquilo que se chama o movimento lateral sim a utilização de uma rede internet pública é um risco não só para raner mas para tudo Leandro etapa quatro coleta eh de
dados recolha de dados e também aquilo que se chama a exfiltração os operadores do ran Amer mudam de foco nesta fase passam a identificar dados valiosos e a roubá-los normalmente fazem download ou exportam uma cópia para si próprios e eh às vezes também fazem eh cópias integrais e não apenas daquilo que eh acham que é é valioso aqui entra Normalmente também a questão e da da instrução dupla fase C implementação e envio do aviso o raner cripto identifica e criptografa os arquivos alguns ramare também desativam recursos de restauro do sistema ou eh apagam ou criptografam
os backups também que existem no computador daí não se dever fazer backups no próprio computador mas eh para uma fonte externa eu aconselho uma Cloud ou eh mesmo eh à moda antiga um disco externo ou então numa rede também outro computador se bem que na mesma rede se houverem vulnerabilidades poderemos também através do tal movimento lateral também ter invasão desse computador normalmente cópias de segurança se forem em tripo Cloud computador na mesma rede e disco externo à moda antiga V vão nos garantir alguma segurança o ran samare não criptografado normalmente bloqueia a o dispositivo ou
o ecrã a e começa a mandar popups de forma a que h a vítima deixe de usar o dispositivo como os arquivos são criptografados ou então o dispositivo é desativado o ramer alerta À Vítima da infecção e normalmente através de um arquivo TXT ou coisa do género eh com um pop-up ou com um aviso e e a nota de resgate vai conter as instruções para a vítima pagar h o resgate normalmente eh é feito em criptomoeda ou então numa maneira qualquer que também não seja rastreável e e eh em troca do pagamento há a promessa
de fornecer uma chave de de descriptografia ou de restauro de operações eh de modo a que o o os ficheiros e o sistema voltem a ficar e operáveis por exemplo o João pode ser o RDP podem ser vulnerabilidades do próprio sistema operativo podem ser portas abertas na Firewall podem ser H ataques de cash de arp ataques de DNS de ddos qualquer ataque e pode ser eh passível de depois implementar um malware e o malware abrir a porta ao raner depende Alexandre se desligar o quadro elétrico se H for antes da da da da implementação do
ramo em si pode evitar mas também pode não evitar caso já lá esteja O mal uso uma VPN h o a VPN é é uma forma segura de comunicar mas não é 100% segura H Mas a forma de nos protegermos mais nestes ataques é não nos deixarmos ser vítima das engenharias sociais dos Fishing não abrirmos e links que não temos a certeza que são confiáveis ter atenção a a mails estranhos que que vamos recebendo e obviamente ter ids antivírus firewalls tudo devidamente configurado não facilita maneiras de de perceber se existem backdoors há softwares para fazer
essa avaliação ids antivírus e outros softwares às vezes específicos também e das marcas dos antivírus mas que servem apenas para isso matar o computador se tiver um backup eh São com os dados sãos pode servir para e repor eh o os dados no entanto se tiver dados eh sensíveis que não quero haver divulgados aí eh E se for um ataque de de dupla ou ou ou ou tripla eh ação eh pois eh estará sempre sujeito a que os dados sejam divulgados as variantes de raner mais notáveis desde 2020 eh existem mais de 130 famílias ou
variantes H distintas e ativas eh e ao longo dos anos muitas variantes circularam algumas famosas eh o cryptolocker e que era a primeira vez que apareceu faz agora anos em setembro foi em 2013 e que eh depois o seu sucesso gerou eh o o on Cry o ryuk e o petia o on Cry foi o primeiro cript Worm de de grande perfil de Alto perfil e o que é que is faz H um raner que se pode espalhar para outros dispositivos na rede atacou cerca de 200.000 computadores em 150 países e os computadores estavam vulneráveis
porque os administradores não e tinham corrigido uma vulnerabilidade que era o returnal Blue do Windows isto significa que uma simples atualização do Windows teria corrigido essa vulnerabilidade e o onac Cry não conseguiria infetar Eh esses computadores eh é um dos maiores ataques de Ran samare mesmo até à data de hoje e já tem custos estimados de 4 Bilhões de Dólares o petia e o not petia e criptografam a tabela do sistema de arquivos em vez dos arquivos individuais e o computador é incapaz de iniciar o sistema operativo esta versão h a ptia o not ptia
que foi eh muito modificado foi eh utilizado para realizar um ataque um ciberataque em escala larga eh principalmente contra a Ucrânia h e o not petia era eh ao fim e ao cabo um removedor eh que era eh incapaz de desbloquear os sistemas mesmo após o pagamento do Resgate portanto mesmo que pagassem o resgate não não recuperavam coisa nenhuma o yuk com y apareceu pela primeira vez também em 2018 e popularizou-se naquilo que se chama os o ataque de ransomware Big game ou seja contra alvos de elevado valor com exigências de resgate médio de mais
de 1 milhão de dólares este ruk pode localizar e desativar inclusive os backups e os restauros e também tem recursos de CPTM para poder propagar rede outros muito famosos também o Dark Side e o locky o Dark Side H foi H suspeita-se que foi criado na Rússia mas por um grupo que de de de de ciber atacantes Russos que estão fora da Rússia e atacou e o o US Colonial pipeline em 2021 é é considerado até à data o pior ataque cibernético à infraestrutura crítica dos Estados Unidos eh e eh como resultado o óleo aduto
que fornece cerca de 50% do combustível da costa leste dos Estados Unidos ficou temporariamente inativo além destes ataques diretos o grupo Dark Side com esse raner Dark Side também licencia eh este ran samuer para outros atacantes que queiram através dos Tais acordos de ransomware S Service o locky h que tem o nome do Deus e nórdico da brincadeira não é brincadeira nenhuma e é um ran samare criptografado e com um método muito específico de infeção ou seja usa macros H ocultas em anexos de email normalmente são ficheiros do Word disfarçados como faturas ou como documentos
legítimos e quando baixamos o documento Word e abrimos esse documento a macro que está escondida dentro do documento ou seja um script que está escondido dentro do documento vai fazer o download da da carga do do ransomware para o nosso computador Pode sim senhor pode depois por último o REVIL ou o kibi e o REVIL é conhecido como também sodin sodinokibi popularizou a abordagem ransomware S Service Ou seja é um ramare muito vendido e é usado em ataques de dupla e de tripla extorsão a grandes alvos e esteve por trás dos ataques 2021 contra a
JBS nos Estados Unidos e a casia eh que são empresas de grande porte a JBS pagou 11 milhões eh de de Dólares eh Porque toda a operação de processamento da carne de de vaca americana foi interrompida na empresa e mais de 1000 clientes do do software eh também da casia foram afetados por um tempo de inatividade bastante significativo o serviço Federal de segurança Russo informou que desmantelou a rede que criou o REVIL em 2022 portanto eh descobriram quem era o grupo e desmantelaram falando aqui nos pagamentos o REVIL Sim senhor o REVIL ou sodin ou
sodin Nicki é a mesma coisa pagamento de resgate até 2022 e a maior parte dos ataques maiores são Russos a maior parte dos ataques são h não sabemos de quem são mas os grandes ataques vêm de grupos de decares Russos a maior parte eh não quer dizer que os russos sejam mais pessoas aqueles grupos é que são pagamentos de resgate eh é um dos pontos também é importante ter em conta até 2022 a maior parte das vítimas do rança Muler atendia às exigências ou seja cedia às ências dos resgates cerca de 61% das empresas pagaram
Resgate até 2022 a partir daí e apenas 41% e atualmente apenas 2% porquê Porque e há uma melhor preparação incluindo backups há um maior investimento em tecnologia de prevenção e de deteção e há também uma maior monitorização inclusive Por parte dos centros nacionais de cibersegurança em todo o mundo e que trabalham e e colaboram entre si para mitigar este tipo de ameaça e este este tipo de perigo as orientações de de segurança pública e por exemplo a polícia judiciária não recomenda o pagamento do Resgate a agentes criminosos o pagamento do Resgate pode encorajar eh eh
esses esses criminosos h a mais ataques e ataques adicionais aou a Organizações e e e até mesmo à própria organização eh e também eh eh fomentar o o o ransome service portanto é mesmo é mesmo isso as agências de Segurança Pública não só a nossa polícia judiciária nem o o cis que também não recomenda pagamentos mas por exemplo o FBI e também não recomenda o o os próprios serviços secretos Russos também desaconselham os os serviços secretos ingleses e franceses a mesma coisa os alemães a mesma coisa portanto e e porque a ideia é não ceder
para não dar ASO crescimento em termos de proteção e de resposta na proteção ao rança mulher manter backups instalar patches e correções de sistemas operativos e de softwares com regularidade de preferência de forma automática Atualizar de forma automática também firewalls antivírus intrusion detected detection Systems ou seja os ids manter monitorização da rede sempre efetiva através de de de programas que o façam manter os gateways Ou seja a porta que dá acesso à internet segura não abrir mais portas nos routers e nas firewalls do que aquelas estritamente necessárias e as que abrirmos monitorizar e em em
de modo constante treinar os funcionários e e e e também as e administrações em cibersegurança porque muitas vezes as administrações são piores do que os funcionários porque querem haver resultados e facilitam na na cibersegurança e depois só choram Quando acontecem os ataques e também muito importante uma implementação efetiva de políticas de controle de acessos que deve incluir autenticações de multifator arquiteturas de zero confiança segmentação da rede e todas estas medidas em conjunto mais os backups os ids os antivírus e as firewalls podem ajudar a mitigar e a reduzir o perigo destes ataques não sei se
tem mais alguma questão forma claro que há forma h através das firewalls através da da própria configuração de routers e switches configuráveis como da cisco por exemplo é sim senhor possível bloquear por completo qualquer tipo de comunicação de uma localização e de um IP de um DNS de um domínio específicos aberta para uso de um servidor num jogo a a melhor maneira de controlarmos é usarmos um software de monitorização da rede eh como o air Shark por exemplo H ter um bom antivírus que também faça monitorização de rede normalmente só as versões pagas é que
têm isso mas são duas maneiras é eh o técnico normalmente tem mesmo de ter mais privilégios que os CEO H por exemplo eu eu até hem pouco tempo fui responsável eh da da da de uma empresa tem informato e eu era o único que tinha privilégio total de resto mais ninguém tinha quando está tudo bem O técnico não é necessário e Exatamente é mesmo isso normalmente é mesmo isso Martinho quando tá tudo bem não é necessário quando acontece o técnico é que tem a culpa quando muitas das vezes h o técnico Passa muito tempo a
avisar H que as coisas não estão bem e as administrações ignoram mas depois quando acontece eh culpam o técnico na mesma portanto daí Convém se vocês eh trabalharem na Área depois eh documentar os avisos guardarem os e-mails h e e e defenderem-se dessa forma posso vos dizer que já me demiti num empresa eh Porque passei um ano inteiro a avisar hh que ia acontecer eh que os ataques iam acontecer porque não me deixavam implementar as políticas de segurança da forma que eu entendia e ao fim de um eh ao fim de um ano ainda não
tinha acontecido o ataque eh mas eu apresentei a minha demissão porque sabia que ia acontecer e passado um mês de eu me demitir da da do cargo de responsável da informática eh houve um ataque e perdeu-se tudo eh Por incrível que pareça só conseguiram recuperar os backups que eu tinha deixado eh até à minha demissão portanto H alguma coisa tinha feito bem a forma mais segura é aquilo que eu disse ainda há bocado eh é manter os ids as firewalls e as configurações todas atualizadas os pets de segurança eh os ids os antivírus tudo atualizado
não facilitar na abertura de portas não Abrir documentos que não sejam de fontes fidedignas ter atenção aos e-mails eh e e e um pouco de senso comum também sim Edgar sim meus caros foi este o webinar sobre ran muer Espero que tenha sido interessante para vocês segunda terça-feira cá estarei com um novo tema Muito obrigado pela vossa presença depois das férias um forte abraço a todos e mais uma vez eu vou é sim senhor é Edgar mais uma vez eu vou frisar aqui Se tiverem dúvidas coloquem por favor a mim estou cá para isso para
vos ajudar porque por vezes uma dúvida não colocada pode desanimar vos no estudo não se deixem desanimar chateiam entre aspas e eu estou cá para vos ajudar sim pode acontecer Gonçalo mas isso já já já foi má segurança Obrigado um forte abraço uma boa noite muita saúde e até terça
