O que é ransomware e como se proteger contra seus perigos

Ransomware é uma grande ameaça que afeta tanto usuários domésticos quanto empresariais.

Com uma perda temporária ou permanente de dados e informações, o ransomware impacta seu capital e a reputação do seu negócio. É essencial proteger seus ativos de um ataque de ransomware antes que seja tarde demais para perceber as consequências que ele pode ter.

Primeiro, você deve examinar sua estrutura de segurança em busca de falhas que possam convidar um programa de ransomware malicioso, monitorar todos os logs para reconhecer qualquer ameaça emergente de ransomware e empregar as melhores práticas de cibersegurança para montar uma defesa forte.

Softwares como software SIEM, soluções antivírus, ferramentas de avaliação de vulnerabilidade, software anti-spam de e-mail ajudam a combater o ransomware.

O que é um ataque de ransomware? 

Originado de suas raízes na criptovirologia (o estudo da criptografia usada no design de software malicioso), o ransomware criptografa os arquivos das vítimas em um disco rígido e exige pagamento para descriptografá-los. Alguns programas de malware são simples, como scareware, que uma pessoa conhecedora pode facilmente superar e acessar seus dados. No entanto, muitos programas de ransomware utilizam técnicas como extorsão criptoviral, onde a descriptografia dos arquivos se torna complicada sem a chave de descriptografia.

Os hackers geralmente usam trojans, malware disfarçado como arquivos genuínos, para realizar uma infecção por ransomware. Você deve ter cuidado ao baixar um arquivo que veio como um anexo legítimo em seu e-mail ou clicar em um link que o leva a um site falso, pois pode facilmente ser um ataque de engenharia social como phishing. Trojans também podem ser implantados por meio de uma vulnerabilidade no serviço de rede. 

No atual cenário de cibersegurança, os hackers estão desenvolvendo cepas de malware com inteligência artificial que escondem as condições necessárias para desbloquear os arquivos enquanto implantam software malicioso não rastreável em sua máquina.

Considerando o tempo de inatividade, perda de dados e informações, impedimento na funcionalidade, custo do dispositivo, custo da rede, demanda de resgate e mais, um ataque de ransomware pode causar uma perda financeira significativa para uma organização. É essencial tomar medidas preventivas adequadas para proteger sua rede e sistema de tais ataques de malware.

Como o ransomware funciona?

O ransomware que criptografa arquivos segue uma técnica de extorsão criptoviral. O conceito foi originalmente inventado por Young e Yung na Universidade de Columbia. Em seguida, foi apresentado na conferência IEEE Security and Privacy de 1996.

Neste processo, a chave privada do atacante nunca é exposta à vítima. Como a chave simétrica é gerada aleatoriamente, não pode ser usada por outras vítimas de ransomware.

Quando o ransomware entra nos sistemas, ele executa um payload – um programa que realiza ações maliciosas. O payload bloqueia o sistema ou alega bloqueá-lo (como um programa scareware). Ele exibe uma mensagem de aviso, alegando que você realizou atividades ilegais em seu sistema em alguns casos.

Há casos em que o ransomware bloqueia você fora do sistema operacional modificando a interface gráfica do usuário (GUI) no Microsoft Windows ou o registro mestre de inicialização para impedir a reinicialização.

Tipos de ransomware

Existem diferentes tipos de ransomware projetados para satisfazer múltiplos motivos do atacante. Dê uma olhada nos tipos para identificar um ataque de ransomware se você encontrar um.

Ransomware que criptografa arquivos

Ransomware que criptografa arquivos são programas que implantam um payload em seus sistemas, que criptografa seus arquivos usando técnicas como extorsão criptoviral, entre outras. Quando implantado, o programa de malware executa um payload que bloqueia você fora do seu sistema de maneira típica. Esses payloads podem às vezes exibir mensagens de aviso falsas de agências de aplicação da lei, notificando você sobre atividades ilegais realizadas em seu sistema.

Pode haver um payload de duas etapas em alguns casos, onde a vítima é enganada para executar um script que baixa o vírus principal no sistema. Nas primeiras versões do programa de ransomware de payload duplo, um documento do Microsoft 365 costumava conter um script com um Macro VBScript anexado, ou estava presente no arquivo do Windows Scripting Facility (WSF).

Além disso, certas cepas de ransomware que criptografam arquivos usam proxies vinculados ao serviço oculto Tor, tornando difícil rastrear a localização exata do cibercriminoso.

Ransomware não criptografante

Programas de ransomware não criptografantes não fazem parte de ferramentas de criptografia, mas restringem o acesso aos seus arquivos e informações. Há casos em que os usuários são bloqueados fora de seus sistemas, e imagens pornográficas são exibidas, então o usuário é solicitado a enviar SMS de tarifa premium para receber um código para desbloquear. 

O ransomware Winlock seguiu um procedimento semelhante em agosto de 2010, conseguindo extorquir mais de $16 milhões de diferentes usuários finais.

Às vezes, o principal objetivo do malware não criptografante é frustrar o usuário a ponto de ele tentar fechar a página. Nesses casos, os usuários podem ver uma mensagem de aviso que os responsabiliza e responsabiliza por atos ilegais realizados em sua máquina. 

Leakware

Também é chamado de extortionware, doxware e exfiltrationware. Simplificando, leakware é o inverso do ransomware. Em lugares onde o último restringe o acesso de um usuário às suas informações, o leakware ameaça o usuário a expor suas informações em público. Os atacantes pressionam a vítima a pagar o resgate para evitar a exposição de seus dados sensíveis. 

Programas de leakware visam principalmente aqueles usuários que têm informações de terceiros armazenadas em seus sistemas. Isso inclui dados de clientes, dados financeiros e mais. Usuários que têm informações como segredos comerciais ou informações confidenciais de um produto também podem ser alvos potenciais de tais ataques. As informações que são cruciais para um usuário, como seus dados de saúde sensíveis ou informações embaraçosas, também alimentam um ataque de leakware em muitos casos.

Ransomware móvel

Quando a popularidade do ransomware em sistemas de computador cresceu, sua introdução em telefones móveis era inevitável, pois era recompensadora. Os atacantes visaram principalmente smartphones Android para aproveitar sua facilidade de baixar e instalar aplicativos de fontes de terceiros.

No ransomware móvel, um indivíduo desavisado baixa um aplicativo que é um programa de ransomware disfarçado como um arquivo APK. O payload executa um programa que exibe uma mensagem de bloqueio ou aviso sobre outros aplicativos em seu telefone. Às vezes, o payload pode enganá-lo para fornecer privilégios de administrador onde o ransomware pode se aprofundar em seu dispositivo. 

O ransomware também pode afetar câmeras digitais explorando vulnerabilidades no protocolo de transferência de imagens (PTP). Tal ataque foi apresentado em agosto de 2019 na Defcon como um ataque de prova de conceito.

Ransomware como Serviço (RaaS)

RaaS atende às necessidades de um hacker para lançar um ataque de ransomware. É como uma oferta SaaS, onde algumas organizações de cibercrime cobram uma taxa de licença mensal, enquanto outras cobram uma comissão do resgate extorquido de uma vítima.

Uma assinatura típica de RaaS é cobrada em torno de $50 e vem com um código de ransomware e uma chave de descriptografia. Isso permite que iniciantes com pouca habilidade em hacking entrem no mundo do cibercrime e testem seus métodos e táticas maliciosas.

Organizações de RaaS operam de maneira sofisticada na dark web. Como qualquer negócio típico de SaaS, o RaaS tem três modelos de assinatura: ouro, prata e bronze.

Ransomware de dupla e tripla extorsão

Ransomware de dupla e tripla extorsão são formas avançadas e cada vez mais maliciosas de ataques de ransomware que surgiram nos últimos anos.

A dupla extorsão segue o padrão normal de ataque de ransomware extorquindo as vítimas para pagar um resgate duas vezes.

O ransomware de tripla extorsão leva as táticas de extorsão um passo adiante, envolvendo uma terceira camada de ameaça. Além de criptografar os dados da vítima e ameaçar vazá-los, os atacantes também ameaçam interromper as operações comerciais da vítima ou lançar um ataque de negação de serviço distribuído (DDoS) contra seus sistemas se o resgate não for pago.

Qual é o impacto do ransomware? 

Quase um quarto (24%) dos incidentes envolvendo malware são ransomware. O impacto de um ataque de ransomware pode ser desastroso. Mesmo que você pague o resgate, não há garantia de que você terá acesso aos seus dados, o que pode levar a consequências ainda mais graves. 

Não importa se você é de uma organização grande ou pequena; um ataque de ransomware terá um impacto no seu capital, bem como na reputação, que é um ativo valioso nos negócios. Também pode causar um tempo de inatividade substancial com um período de recuperação prolongado, impactando devastadoramente seu negócio.

Como proteger sua rede contra ransomware

Ransomware é uma ameaça persistente para usuários domésticos e corporativos. Como leva à perda temporária ou permanente de informações para uma entidade e causa perdas financeiras e de reputação, é essencial ter estratégias de mitigação em vigor. Você deve adotar as melhores práticas do setor focadas na prevenção e resposta a um ataque de ransomware.

Isenção de responsabilidade: Estas diretrizes são baseadas em recomendações do Governo dos EUA. A G2 não oferece aconselhamento jurídico. Se você tiver dúvidas legais, consulte um advogado licenciado.

Treine sua equipe

Os funcionários são talvez o caminho mais fácil para os atores cibernéticos penetrarem suas defesas de segurança. É fundamental treinar seus funcionários contra as técnicas de hackers maliciosos para injetar malware em suas redes.

Eduque sua equipe para não cair em tentativas de engenharia social que os enganem a clicar em um link não solicitado ou divulgar suas senhas. É aconselhável testar sua equipe com e-mails de phishing simulados, pretextos e mais.

Adote medidas preventivas

A melhor maneira de proteger suas redes contra ransomware é estabelecer medidas preventivas adequadas e tomar precauções. Para evitar a injeção de ransomware, o governo dos EUA recomenda as seguintes medidas de precaução.

• Implemente um programa de treinamento para disseminar a conscientização entre seus funcionários e garantir que eles estejam bem informados sobre ransomware e como ele é entregue.
• Autentique e-mails recebidos para evitar falsificação de e-mail. Certifique-se de ter filtros de spam de e-mail para evitar tentativas de phishing.
• Escaneie e-mails recebidos e enviados para evitar que arquivos executáveis cheguem aos usuários.
• Bloqueie endereços IP maliciosos configurando seu firewall. 
• Considere usar um sistema de gerenciamento de patches para corrigir firmware, software e sistemas operacionais em seu computador.
• Realize uma varredura regular em busca de vírus e malware com software antivírus e software anti-malware.
• Regule os privilégios de acesso do usuário de forma eficaz. Certifique-se de que nenhum usuário receba acesso de administrador até que se torne inevitável. Aqueles que precisam de privilégios de administrador devem usá-los com cuidado e apenas quando necessário.
• Gerencie os privilégios de acesso a arquivos, diretórios e compartilhamentos com a estrutura de menor privilégio em mente.
• Considere usar um visualizador de escritório para abrir arquivos do MS-office entregues por e-mail em vez de usar o pacote completo. Certifique-se de desativar macro para arquivos transferidos por e-mail.
• Impeça a execução de um programa de locais comuns de ransomware, como pastas temporárias que suportam navegadores de internet populares.
• Se o Protocolo de Área de Trabalho Remota (RDP) não estiver sendo usado, considere desativá-lo.
• Permita a execução de programas apenas de fontes conhecidas e confiáveis.
• Use ambientes virtualizados para usar ambientes de sistema operacional ou certos programas.
• Habilite a separação lógica e física de redes para diferentes unidades em sua organização enquanto categoriza dados com base no valor organizacional.

Garanta a continuidade dos negócios

Como ataques de ransomware podem causar uma perda temporária ou permanente de dados, é aconselhável ter um backup de dados pronto. Isso ajudará a garantir a continuidade dos negócios se o incidente infeliz acontecer. 

O governo dos EUA recomenda a realização de testes de penetração e avaliação de vulnerabilidade pelo menos uma vez por ano.

Certifique-se de que seus backups estejam seguros e não estejam conectados permanentemente ao computador ou redes que estão fazendo backup. Há casos em que backups baseados em nuvem podem ser bloqueados em um incidente de ransomware, nos quais os sistemas e redes fazem backup das informações em tempo real. Estes são fundamentais para resposta a incidentes e recuperação, pois ajudam você a se levantar e evitar tempo de inatividade quando ocorrem incidentes.

Exemplos reais de ataques de ransomware

Os ataques de ransomware causaram estragos para indivíduos e empresas por anos. Aqui estão alguns ataques de ransomware para aprender.

Reveton

Um ransomware conhecido como Reveton, baseado no trojan Citadel, se espalhou em 2012 em países europeus. Seu payload exibia uma mensagem alarmante de agências de aplicação da lei, alegando que houve atividades ilegais, como download de software não licenciado ou pornografia infantil em sua máquina. A mensagem solicitava que os usuários pagassem uma multa usando um voucher de serviço de dinheiro pré-pago anônimo, como um Paysafecard.

Para amplificar a falsa ilusão, os usuários eram mostrados seus endereços IP e gravações de suas webcams para provar que estavam sendo rastreados e que a mensagem era realmente de uma agência de aplicação da lei. 

O trojan ransomware usava logotipos do Serviço de Polícia Metropolitana, Unidade Nacional de Crimes Cibernéticos da Polícia e sociedade de coleta de royalties PRS for Music, especificamente quando acusava o usuário de baixar música ilegal. Em 2012, começou a se espalhar inicialmente em países europeus e, mais tarde, em agosto de 2012, variantes do Reveton foram descobertas nos Estados Unidos.

Cryptolocker 

O ataque de ransomware Cyptolocker apareceu pela primeira vez em setembro de 2013 e infectou máquinas que usavam sistemas operacionais Microsoft Windows. O ransomware foi transmitido como um anexo de e-mail que aproveitou o fato de o Windows OS não mostrar a extensão do arquivo e disfarçá-lo como um arquivo PDF. Como era um ransomware que criptografava arquivos, ele exibia uma mensagem para fazer um pagamento em Bitcoin ou vouchers pré-pagos para desbloquear os arquivos antes de um prazo estabelecido.

Acredita-se que o Cryptolocker extorquiu cerca de $3 milhões das vítimas antes de ser isolado em maio de 2014 pela Operação Torvar, que derrubou a botnet Gameover Zeus usada para sua distribuição.

Em setembro de 2014, usuários na Austrália foram alvos de um ransomware conhecido como Cryptolocker. F, identificado pela Semantic e não relacionado ao Cryptolocker original devido à diferença nas operações. O trojan malware foi espalhado por e-mails disfarçados como avisos de falha de entrega de encomendas da Austrália post para evadir scanners de e-mail. O payload foi implantado quando um usuário visitou uma página da web e inseriu um código CAPTCHA. 

CryptoWall

CryptoWall apareceu em 2014, onde visava usuários com sistemas operacionais Windows. Uma cepa do CryptoWall se espalhou por meio de malvertising na rede de anúncios Zedo, visando vários sites proeminentes. Implantou o payload após redirecionar os usuários para sites maliciosos e usou o kit de exploração de plugin de navegador. A Barracuda Networks observou que o payload foi assinado com a assinatura digital para dar uma falsa aparência de autenticidade. 

O CryptoWall 3.0 foi distribuído por e-mails fraudulentos que implantaram o payload executando um código malicioso no JavaScript, disfarçado como um arquivo .jpg no anexo do e-mail. Também criou novas instâncias de explorer.exe e svchost.exe para se comunicar com os servidores e evadir a detecção.

O ransomware excluiu cópias de sombra de volume e instalou spyware para roubar senhas e carteiras de Bitcoin durante a criptografia. Cerca de 1000 vítimas contataram o FBI para relatar a infecção por CryptoWall com uma perda estimada de pelo menos $18 milhões. A cepa mais recente de ransomware, CryptoWall 4.0, modificou seu código para evitar a detecção por antivírus, e criptografou arquivos e também os nomes dos arquivos. 

Fusob

Fusob apareceu em 2015 como um ransomware móvel típico, que assusta os usuários para extorquir deles. Ele exibe mensagens de aviso para pagar uma multa por cometer atividades ilegais em seu dispositivo, ou caso contrário enfrentar consequências legais. O ransomware se disfarça como um player de vídeo pornográfico e engana os usuários para baixá-lo. 

Quando baixado, o Fusob verifica o idioma do dispositivo móvel; se usar qualquer idioma diferente do russo ou de certos idiomas do leste europeu, ele bloqueia o sistema e exige um resgate para desbloqueá-lo. O ransomware afetou vítimas na Alemanha, Reino Unido e EUA.

WannaCry

O ransomware WannaCry usa um vetor de exploração chamado Eternal Blue, que foi supostamente vazado pela Agência de Segurança Nacional dos EUA (NSA). Ele apareceu em maio de 2017 e se espalhou por mais de 150 países, onde exigia um resgate em Bitcoin. 

O atacante deu às vítimas um prazo de sete dias, após o qual, se um resgate de $300 não fosse pago, eles deletariam os dados e arquivos criptografados. Ele afetou o Serviço Nacional de Saúde Britânico (NHS) a ponto de 16 hospitais terem que cancelar consultas de pacientes e operações agendadas.

Petya

O ransomware Petya fez sua aparição em março de 2016. Ele visava o registro mestre de inicialização criptografando o sistema de arquivos NTFS. Quando o sistema reiniciava, o Petya o bloqueava de inicializar no Windows. Em junho de 2017, uma cepa do Petya foi usada para realizar um ataque cibernético global principalmente direcionado à Ucrânia, mas também afetou vários outros países. 

Especialistas em segurança especularam que o ataque não tinha a intenção de extorquir resgate do usuário, mas de causar interrupção. Devido a certas mudanças de design, não havia como desbloqueá-lo após o pagamento do resgate.

SamSam

Em 2016, uma nova variante de ransomware chamada SamSam surgiu, que foi direcionada a servidores Jboss. Ele explorou vulnerabilidades em servidores fracos usando um ataque de força bruta de protocolo de área de trabalho remota (RDP) para adivinhar senhas fracas até que uma fosse quebrada. 

Ele visou agências de saúde e governo, através das quais os autores extorquiram cerca de $6 milhões e causaram uma perda estimada de mais de $30 milhões em danos.

Proteja seus ativos contra ransomware

O ransomware causou danos tremendos a instituições e organizações em termos de finanças e reputação. Você nunca pode prever quando e como ele pode aparecer à sua porta digital. A única coisa que você pode fazer é estar ciente e preparado – sempre.

Pronto para dar o próximo passo? Explore ferramentas de análise de malware para isolar e investigar diferentes malwares em seu sistema.   

Este artigo foi publicado originalmente em 2020. O conteúdo foi atualizado com novas informações.