Saber como bloquear ransomware no firewall SonicWall é de extrema importância para a segurança da rede corporativa. Afinal, os ransomwares são um tipo de ciberataque em que o invasor se apropria dos dados do computador da vítima e pede um valor de resgate para que ela volte a ter acesso às suas informações.
Esse tipo de malware é executado no computador por meio de um código malicioso que criptografa os arquivos e torna inacessíveis os dados armazenados. Os transtornos gerados podem ser muitos e as empresas precisam se proteger.
A TI da sua companhia utiliza firewall SonicWall ou planeja trocar de appliance? Continue lendo e saiba como bloquear essas ameaças.
Quais tipos de ransomware existem?
Existem diferentes tipos de ransomware. No entanto, todos eles vão impedir que você use o seu computador ou servidores normalmente. É possível dividi-los em dois grandes grupos:
Ransomware Locker
Impede que você acesse o equipamento infectado
Ransomware Crypto
Impede que você acesse aos dados armazenados no equipamento infectado, geralmente usando criptografia
Dentro desse dois tipos de rasomware, existem algumas famílias que possuem funções de Locker ou Crypto e outras características.
Como o firewall SonicWall pode bloquear ransomware?
Se você é um cliente SonicWall e utiliza os serviços de prevenção de intrusões (Intrusion Prevention System), Gateway Antivírus e Capture Advanced Threat Protection (ATP), o seu firewall já possui os recursos para proteger a rede das ameaças do ransomware que se espalharam pela rede mundial de computadores desde o dia 17 de abril de 2017. Se você ainda não é um cliente SonicWall, clique aqui para saber como adquirir o equipamento.
O departamento Capture Labs da SonicWall foi o responsável por analisar o ataque de ransomware em meados de abril e, imediatamente, disponibilizou para os clientes uma atualização de proteção automática contra os ataques. Todas as versões conhecidas do código malicioso podem ser bloqueadas pelo SonicWall por meio dos serviços de segurança disponíveis no Firewall.
Como cliente SonicWall, assegure-se de que seu firewall UTM tenha uma assinatura ativa do Gateway Security Suite para receber as proteções automática dos ataques de ransomware conhecidos. O Gateway Security Suite inclui o Gateway Antivírus (GAV), Prevenção de Intrusão (IPS), Filtragem de Botnet e Controle de Aplicativos. Esse conjunto de tecnologias tem assinaturas contra WannaCry (parte do GAV), proteções contra vulnerabilidades descritas no boletim de segurança da Microsoft MS17-010 (parte do IPS) e bloqueio da comunicação com os servidores de onde vêm as chaves de criptografia do WannaCry (parte da filtragem de botnet). A lista mais recente de assinaturas GAV / IPS contra EternalBlue e WannaCrypt, de 14 de maio de 2017 às 11:45, pode ser vista abaixo:
Verificando as licenças do SonicWall
Para que o firewall Sonicwall proteja sua rede de forma efetiva contra os ataques do ransomware, você deve possuir assinaturas de segurança corretamente instaladas e ativas do Gateway Antivírus, ou as licenças deste serviço como parte do Comprehensive Gateway Security Suite (CGSS) ou Advanced Gateway Security Suite (AGSS). Para verificar se seu equipamento está devidamente licenciado, faça login no Sonicwall e vá até – System – Licences.
Verifique se você possui no mínimo as seguintes licenças listadas abaixo e dentro do prazo de validade:
Configurando o SonicWall contra o ransomware
Primeiro Passo: Verificar se o Gateway Anti-virus (GAV) está ativo e atualizado.
Para verificar essa configuração, vá até Security Services – Gateway Anti-virus
1. Certifique-se de que o GAV está atualizado com as assinaturas mais recentes. Se não estiver, clique em Update;
2. Ative o GAV (Gateway Anti-virus);
3. Ative a inspeção de entrada e saída de HTTP, FTP, IMAP, SMTP, POP3, CIFS / Netbios e TCP Stream;
4. Ative Cloud GAV (Gateway Anti-virus).
(1) Nas configurações de cada protocolo – HTTP, FTP, IMAP etc. –, habilite as caixas (2) de:
• Restringir transferência de arquivos ZIP protegidos por senha
• Restringir transferência de arquivos do tipo MS-Office contendo macros (VBA 5 e superior)
• Restringir transferência de arquivos executáveis compactados (UPX, FSG, etc.)
Também é preciso verificar e ativar o GAV (Gateway Anti-virus), o IPS (Prevenção de intrusão), Anti-Spyware e o App Control Service em todas as zonas desejadas. Para isso, vá até (1) Network > (2) Zones e clique no símbolo do lápis para editar a zona (3). Neste caso, ative as quatro funções citadas na zona WAN:
Dentro da Zona, marque as caixas (1) Enable Gateway Anti-Virus Service, (2) Enable Anti-Spyware Service, (3) Enable IPS e (4) Enable App Control Service.
Segundo Passo: Ative o Botnet Filter.
A ativação do filtro Botnet tem como função bloquear o acesso a servidores conhecidos de malware (incluindo os servidores do ransomware). Para ativar o filtro, vá até (1) Security Services – (2) Botnet Filter e, em seguida, marque a opção (3) Block connections to/from Botnet Command and Control Server. Ative o log marcando também a opção (4) Enable Logging e, por último, clique em (5) Accept para salvar as configurações.
Terceiro Passo: Bloqueie as categorias Malware e Hacking / Proxy Avoidance Systems no seu CFS (Content Filter Service).
Se você já possui o CFS (Content Filter) ativado, é recomendado que você faça a configuração do bloqueio de sites na categoria “Malware” e “Hacking / Proxy Avoidance Systems“.
ATENÇÃO: Não faz parte deste tutorial o ensino detalhado da configuração do CFS (Content Filter Service). No terceiro passo somente recomendamos a configuração extra do bloqueio de sites nas duas categorias citadas para uma camada extra de proteção.
Para mais informações sobre como configurar o serviço de CFS, acesse o site da SonicWall..
Quarto Passo: Ative o App Control Advanced.
O CryptoWall Ransomware é conhecido por utilizar a aplicação “TOR” (um acrônimo para The Onion Router) para obter as chaves de criptografia usadas nos arquivos dos computadores das vitimas. Portanto, use o App Control Advanced para bloquear o TOR. Ao habilitar as assinaturas para o bloqueio da aplicação TOR, o CryptoWall Ransomware não será capaz de obter as chaves necessárias para criptografar os arquivos, diminuindo, assim, os danos adicionais ao computador infectado.
Para ativar o App Control, vá até a guia (1) Firewall > (2) App Control Advanced, ative a opção (3) Enable App Control, selecione a opção (4) PROXY-ACCESS no campo categoria e depois (5) TOR em Application.
Após esse processo, a aplicação aparecerá na listagem. Clique no de símbolo do lápis para editar (6).
Ao clicar em editar, uma nova janela será aberta. Nela, ative as opções Block e Log, marcando como Enable e clique em OK.
Observação: Nesta configuração o App Control irá bloquear a comunicação do TOR para todas as Zonas para qual o serviço foi ativado.
Ao retornar para a página anterior, a aplicação TOR estará listada, com dois símbolos verdes indicando a configuração de bloqueio recém efetuada.
Curiosidade: A função do TOR é fornecer acesso em anonimato para servidores, sites e serviços. Servidores configurados para receber conexões de entrada somente através do TOR são chamados de serviços ocultos. Essa característica é utilizada pelo malware ransomware no momento em que ele se conecta ao servidor para obter a chave de criptografia e criptografar os dados da vitima no computador hospedeiro.
Quinto Passo: Ative o DPI-SSL (recomendado – não obrigatório)
Ativar o Cliente DPI-SSL (Deep Packet Inspection), embora não seja uma medida obrigatória, proporciona uma camada de segurança adicional, já que atualmente quase todo o tráfego de web e e-mail é criptografado via SSL.
Se um email de spam for recebido por SSL, por exemplo, o SonicWall não será capaz de detectar um possível conteúdo de malware dentro dele.
Outro ponto a ser considerado é que a conexão inicial do ransomware para o TOR é criptografada via SSL e, neste caso, a ativação do DPI-SSL permitirá que o SonicWall desencripte esse tráfego e faça a varredura de malware.
Para ativar o DPI-SSL, clique em Client SSL (1), Enable SSL Client Inspection (2) e ative as caixas de seleção em Gateway Anti-Virus e Intrusion Prevention (3).
Observação: Uma licença adicional é requerida para ativar a funcionalidade de DPI-SSL no Firewall SonicWall. O DPI-SSL requer uma licença e é compatível com dispositivos SonicWall Soho, SonicWall TZ Series e superiores com o firmware SonicOS 5.6 e superior.
Recomendações extras
As infecções do CryptoWall ou CryptoLocker nem sempre ocorrem por meio do acesso à Internet. Elas podem ocorrer via arquivos, unidades compartilhadas ou mídias removíveis, como unidades de memória USB e discos rígidos externos infectados. Portanto, os administradores de rede ou analistas de segurança são aconselhados a aderir às melhores práticas recomendadas de segurança em nível básico de sistema para proteger os computadores e servidores internos da empresa.
Essas melhores práticas podem incluir, mas não se limitando a:
- Instalação de um software de antivírus localmente nos computadores e servidores da empresa, atualizados com as assinaturas mais recentes
- Atualização dos sistemas operacionais, navegadores e plugins web com os patches de segurança mais recentes;
- Políticas de backups regulares dos sistemas críticos da empresa;
- Educação dos usuários sobre os perigos de abrir arquivos desconhecidos recebidos de fontes desconhecidas.
Agora que você já configurou o firewall para bloquear ransomwares e protegeu a rede da sua empresa, que tal investir nas melhores práticas da ISO 27001 e ISO 27002? As normas de segurança da informação são ótimos guias para a TI de companhias de todos os portes.