Ransomware é um tipo de software malicioso, ou malware, que criptografa arquivos em um dispositivo, tornando-os inacessíveis. O invasor então exige o pagamento de um resgate em troca da descriptografia dos arquivos. O ransomware existe desde 1989, mas tornou-se mais prevalente e sofisticado nos últimos anos.
As primeiras formas de ransomware eram relativamente simples, bloqueando o acesso ao sistema do computador. As variantes modernas de ransomware criptografam arquivos específicos no disco rígido do sistema usando algoritmos de criptografia assimétrica que geram um par de chaves: uma chave pública para criptografar os arquivos e uma chave privada para descriptografá-los. A única maneira de descriptografar e acessar os arquivos novamente é com a chave privada mantida pelo invasor.
O ransomware geralmente é entregue por meio de e-mails de phishing contendo anexos ou links maliciosos. Uma vez executado no sistema da vítima, ele criptografa os arquivos e exibe uma nota de resgate com instruções sobre como pagar para recuperar o acesso. O resgate geralmente é exigido em uma criptomoeda como o Bitcoin para evitar ser rastreado.
Existem dois tipos principais de ransomware:
- O ransomware Locker bloqueia os usuários de seus computadores ou arquivos. Ele bloqueia todo o sistema e impede qualquer acesso.
- O cripto-ransomware criptografa arquivos no sistema, tornando-os inacessíveis. Ele tem como alvo extensões de arquivo específicas, como documentos, imagens, vídeos e muito mais.
O ransomware se tornou um modelo de negócio criminoso lucrativo. Novas variantes são continuamente desenvolvidas e lançadas para maximizar a quantidade de dinheiro extorquido das vítimas. A prevenção por meio de práticas recomendadas de segurança cibernética, como backup de dados e educação dos funcionários, são as melhores defesas contra ransomware.
Como funciona o ransomware
Ransomware é uma forma de malware que criptografa arquivos ou bloqueia o acesso a um dispositivo e, em seguida, exige o pagamento de um resgate para restaurar o acesso. As infecções por ransomware geralmente acontecem de três maneiras:
Downloads de Trojan
Disfarçados de software legítimo, os Trojans são baixados por usuários desavisados e instalam ransomware no sistema. Muitas vezes, eles são distribuídos por meio de códigos maliciosos incorporados em anexos de e-mail, software crackeado ou mídia pirata.
E-mails de phishing
Os e-mails de phishing contêm links ou anexos maliciosos que instalam ransomware quando clicados ou abertos. Os e-mails são projetados para parecerem ser de uma empresa legítima para induzir o destinatário a baixar a carga útil.
Explorando vulnerabilidades
Alguns ransomware aproveitam vulnerabilidades em sistemas de rede ou software para se espalharem para dispositivos conectados. Depois que um dispositivo é infectado, o ransomware criptografa os arquivos desse sistema e todos os compartilhamentos de rede aos quais ele tem acesso.
As cargas de ransomware normalmente exibem mensagens na tela exigindo o pagamento de um resgate, geralmente em criptomoeda como Bitcoin, para recuperar o acesso aos arquivos ou ao sistema. O valor do resgate varia, mas geralmente varia de centenas a milhares de dólares. Pagar o resgate, porém, não garante que o acesso será restaurado.
O ransomware se tornou um negócio lucrativo para os cibercriminosos. Através do uso de kits de malware e programas afiliados, mesmo aqueles sem conhecimentos técnicos avançados podem facilmente implantar campanhas de ransomware.
Enquanto o ransomware se mostrar rentável, é provável que continue a representar uma ameaça tanto para indivíduos como para organizações. Manter backups confiáveis, manter o software atualizado e educar os usuários sobre ameaças cibernéticas são algumas das melhores defesas contra ransomware.
Os diferentes tipos de ransomware
Existem três tipos principais de ransomware que os profissionais de segurança cibernética devem conhecer: scareware, bloqueios de tela e ransomware criptografado.
Scareware
O scareware, também conhecido como ransomware fraudulento, engana as vítimas fazendo-as acreditar que seus sistemas foram bloqueados ou comprometidos para extorquir dinheiro. Mensagens alegando que conteúdo ilegal foi detectado ou que arquivos do sistema foram criptografados são exibidas para assustar o usuário e fazê-lo pagar uma “multa”. Na realidade, nenhuma ação desse tipo ocorreu. O scareware geralmente é fácil de remover usando um software antivírus.
Bloqueadores de tela
Bloqueadores de tela, ou ransomware de tela de bloqueio, bloqueiam os usuários de seus dispositivos, exibindo mensagens em tela inteira na tela de login. Eles impedem o acesso ao sistema bloqueando a tela, mas na verdade não criptografam nenhum arquivo. Alguns exemplos bem conhecidos são Reveton e FbiLocker. Embora frustrantes, os bloqueios de tela normalmente não causam nenhum dano permanente e muitas vezes podem ser removidos usando uma ferramenta de remoção de malware.
Criptografia de ransomware
Criptografar ransomware é o tipo mais sério. Ele criptografa arquivos em sistemas infectados usando algoritmos de criptografia que são difíceis de quebrar sem a chave de descriptografia. O ransomware exige pagamento, muitas vezes em criptomoeda, em troca da chave de descriptografia. Se o resgate não for pago, os arquivos permanecerão criptografados e inacessíveis.
Alguns exemplos infames de criptografia de ransomware são WannaCry, Petya e Ryuk. A criptografia de ransomware requer estratégias de prevenção e backup, pois a recuperação de dados é muito difícil sem pagar o resgate.
Ransomware móvel
O ransomware móvel é um tipo de malware que pode infectar seu telefone e bloquear seu acesso ao dispositivo móvel. Uma vez infectado, o malware criptografará todos os seus dados e pedirá um resgate para restaurá-los. Se você não pagar o resgate, o malware pode até excluir seus dados.
Para se defenderem contra o ransomware, as organizações devem concentrar-se na educação dos funcionários, em fortes controlos de segurança, em software antivírus, em manter os sistemas atualizados e em manter cópias de segurança seguras dos dados. O pagamento de resgates apenas incentiva novas atividades criminosas e não garante que os arquivos serão recuperados, por isso deve ser evitado. Com vigilância e medidas defensivas proativas, o impacto do ransomware pode ser minimizado.
Grandes ataques recentes de ransomware
Os ataques de ransomware tornaram-se cada vez mais comuns e prejudiciais nos últimos anos. Vários incidentes importantes destacam o quão vulneráveis as organizações se tornaram a estas ameaças.
WannaCry
Em maio de 2017, o ataque de ransomware WannaCry infectou mais de 200,000 mil computadores em 150 países. Ele visou vulnerabilidades nos sistemas operacionais Microsoft Windows, criptografando arquivos e exigindo pagamentos de resgate em Bitcoin. O Serviço Nacional de Saúde do Reino Unido foi duramente atingido, forçando alguns hospitais a recusar pacientes não urgentes. Os danos totais ultrapassaram US$ 4 bilhões.
NotPetya
Pouco depois do WannaCry, NotPetya surgiu. Disfarçado de ransomware, o NotPetya era na verdade um vírus limpador projetado para destruir dados. Derrubou infra-estruturas ucranianas, como empresas de energia, aeroportos e bancos. O NotPetya se espalhou globalmente, infectando empresas como FedEx, Maersk e Merck. O NotPetya causou mais de US$ 10 bilhões em danos, tornando-se o ataque cibernético mais caro da história na época.
Ryuk
Em 2019, o ransomware Ryuk teve como alvo mais de 100 jornais dos EUA. O ataque criptografou arquivos, interrompeu as operações de impressão e exigiu um resgate de US$ 3 milhões. Vários jornais tiveram que publicar edições menores ou mudar para apenas online durante dias. Desde então, Ryuk atingiu outros setores como saúde, logística e finanças. Especialistas vinculam Ryuk a um sofisticado grupo patrocinado pelo Estado norte-coreano.
O ransomware tornou-se rapidamente uma ameaça à segurança nacional e uma ameaça económica. Os cuidados de saúde, o governo, os meios de comunicação, os transportes marítimos e os serviços financeiros parecem ser os alvos preferidos, embora qualquer organização esteja em risco. As exigências de resgate costumam ser de seis ou sete dígitos e, mesmo que sejam pagas, não há garantia de recuperação de dados. A única forma de as empresas e os governos se defenderem contra o ransomware é através da vigilância, da preparação e da cooperação.
Educar os funcionários, manter backups offline, manter o software atualizado e implementar um plano de resposta a incidentes pode ajudar a reduzir a vulnerabilidade. Mas enquanto houver lucros a serem obtidos com o ransomware, provavelmente continuará sendo uma batalha contínua.
Como prevenir infecções por ransomware
Para evitar o ransomware infecções, as organizações devem implementar uma abordagem multicamadas focada na educação dos funcionários, controles de segurança robustos e backups confiáveis.
Educação de Funcionários
Os funcionários são frequentemente alvo de ataques de ransomware através de e-mails de phishing contendo links ou anexos maliciosos. Educar a equipe sobre essas ameaças e fornecer treinamento sobre como detectar possíveis ataques é fundamental. Os funcionários devem ter cuidado com solicitações não solicitadas de informações ou links confidenciais e ser ensinados a não abrir anexos de remetentes desconhecidos ou não confiáveis. Lembretes regulares e campanhas simuladas de phishing podem ajudar a reforçar as lições e identificar áreas que precisam de melhorias.
Segmentação de rede e proteção de endpoint
A segmentação da rede separa partes da rede em redes menores para controlar melhor o acesso e conter infecções. Se o ransomware entrar em um segmento, a segmentação impedirá que ele se espalhe por toda a rede. A proteção robusta de endpoints, incluindo software antivírus, sistemas de prevenção de invasões e patches regulares ajudam a bloquear ransomware e outros malwares. A autenticação de dois fatores para acesso remoto e contas de administrador fornece uma camada extra de segurança.
backups
Backups de dados frequentes e redundantes são essenciais para a recuperação de um ataque de ransomware sem pagar o resgate. Os backups devem ser armazenados off-line e fora do local, caso a rede seja comprometida. Teste a restauração de backups regularmente para garantir que o processo funcione e que os dados estejam intactos. Se o ransomware criptografar arquivos, ter backups acessíveis evita a perda permanente de dados e elimina a necessidade de pagar o resgate.
Controles Adicionais
Outros controles úteis incluem a restrição de permissões e privilégios de usuários, o monitoramento de sinais de comprometimento, como atividades incomuns de rede, e o planejamento de uma estratégia de resposta a incidentes em caso de infecção. Manter-se atualizado com as ameaças e métodos de ataque de ransomware mais recentes e compartilhar esse conhecimento em toda a organização ajuda as equipes de TI a implementar defesas adequadas.
Com controles rígidos e foco na educação e preparação, as organizações podem evitar serem vítimas de ataques de ransomware. Mas mesmo com as melhores práticas em vigor, o ransomware é uma ameaça sempre presente. Testes regulares de controles e respostas ajudam a minimizar os danos caso um ataque seja bem-sucedido. Quando implementadas em conjunto, essas camadas de defesa fornecem a melhor proteção contra ransomware.
Resposta a incidentes de ransomware
Os ataques de ransomware exigem uma resposta rápida e estratégica para minimizar os danos e garantir a recuperação.
Resposta imediata
Ao descobrir uma infecção por ransomware, o primeiro passo é isolar os sistemas infectados para evitar que o malware se espalhe ainda mais. Em seguida, determine o escopo e a gravidade do ataque para identificar quais sistemas e dados foram afetados. Proteja os dados de backup e desconecte os dispositivos de armazenamento para protegê-los da criptografia.
Com os sistemas isolados, os profissionais podem trabalhar para conter e remover o ransomware. Software antivírus e ferramentas de remoção de malware devem ser usados para verificar sistemas e excluir arquivos maliciosos. Uma restauração completa do sistema a partir do backup pode ser necessária para máquinas gravemente infectadas. Durante esse processo, monitore os sistemas para reinfecção.
As variantes de ransomware estão em constante evolução para evitar a detecção, portanto, ferramentas e técnicas personalizadas podem ser necessárias para eliminar completamente uma cepa avançada. Em alguns casos, a criptografia de um ransomware pode ser irreversível sem o pagamento do resgate. No entanto, o pagamento de resgates financia atividades criminosas e não garante a recuperação de dados, pelo que só deve ser considerado como um último recurso absoluto.
Recuperação a longo prazo
Após um ataque de ransomware, é necessária uma revisão abrangente das políticas e procedimentos de segurança para fortalecer as defesas e prevenir a reinfecção. Também pode ser necessária formação adicional do pessoal sobre riscos cibernéticos e resposta.
Para restaurar dados criptografados, as organizações podem usar arquivos de backup para substituir sistemas infectados e recuperar informações. Backups de dados off-line regulares são essenciais para minimizar a perda de dados causada por ransomware. Múltiplas versões de backups ao longo do tempo permitem a restauração até um ponto anterior à infecção inicial.
Alguns dados podem permanecer irrecuperáveis se os arquivos de backup também forem criptografados. Nessas situações, as organizações devem determinar se as informações perdidas podem ser recriadas ou obtidas de outras fontes. Eles podem precisar aceitar a perda permanente de dados e planejar a reconstrução completa de determinados sistemas.
Os ataques de ransomware podem ser devastadores, mas com raciocínio rápido e as estratégias certas, as organizações podem superá-los. Manter-se vigilante e preparar-se para vários cenários garantirá a resposta mais eficaz quando ocorrer um desastre. A avaliação e melhoria contínuas das defesas cibernéticas podem ajudar a reduzir os riscos a longo prazo.
Estatísticas e tendências de ransomware
Os ataques de ransomware têm aumentado nos últimos anos. De acordo com a Cybersecurity Ventures, prevê-se que os custos globais de danos causados por ransomware atinjam US$ 20 bilhões em 2021, acima dos US$ 11.5 bilhões em 2019. O Relatório de Ameaças à Segurança na Internet da Symantec encontrou um aumento de 105% nas variantes de ransomware de 2018 a 2019.
Os tipos mais comuns de ransomware hoje são ransomware de tela de bloqueio, ransomware de criptografia e ransomware de extorsão dupla. O ransomware de tela de bloqueio bloqueia os usuários de seus dispositivos. O ransomware de criptografia criptografa arquivos e exige pagamento pela chave de descriptografia. O ransomware de dupla extorsão criptografa arquivos, exige pagamento e também ameaça liberar dados confidenciais roubados se o pagamento não for efetuado.
Os ataques de ransomware frequentemente têm como alvo organizações de saúde, agências governamentais e instituições educacionais. Essas organizações geralmente possuem dados confidenciais e podem estar mais dispostas a pagar resgates para evitar interrupções e violações de dados. No entanto, o pagamento de resgates encoraja os cibercriminosos a continuar e expandir as operações de ransomware.
A maior parte do ransomware é entregue por meio de e-mails de phishing, sites maliciosos e vulnerabilidades de software. E-mails de phishing com anexos ou links maliciosos continuam sendo o vetor de infecção mais popular. À medida que mais organizações fortalecem a segurança do e-mail, os invasores exploram cada vez mais vulnerabilidades de software não corrigidas para obter acesso.
O futuro do ransomware pode incluir ataques mais direcionados de roubo de dados, maiores demandas de resgate e o uso de criptomoedas para evitar rastreamento. O ransomware como serviço, onde os cibercriminosos alugam ferramentas e infraestrutura de ransomware para invasores menos qualificados, também está em ascensão e torna mais fácil para mais pessoas conduzirem campanhas de ransomware.
Para combater a ameaça do ransomware, as organizações devem se concentrar na educação dos funcionários, na forte segurança de e-mail, na correção regular de software e nos backups frequentes de dados armazenados off-line. Com práticas de segurança abrangentes em vigor, o impacto do ransomware e de outros ataques cibernéticos pode ser bastante reduzido.
Esforços governamentais e internacionais contra ransomware
Governos e organizações internacionais em todo o mundo tomaram conhecimento do aumento dos ataques de ransomware e dos danos que causam. Vários esforços estão em andamento para ajudar a combater o ransomware.
A Agência da União Europeia para a Cibersegurança, também conhecida como ENISA, publicou recomendações e estratégias para prevenir e responder a ataques de ransomware. Suas orientações incluem educação dos funcionários, protocolos de backup de dados e coordenação com as autoridades policiais.
A Interpol, a Organização Internacional de Polícia Criminal, também alertou sobre a ameaça do ransomware e emitiu um “Aviso Roxo” aos seus 194 países membros sobre o modus operandi dos cibercriminosos que implantam ransomware. A Interpol pretende alertar organizações e indivíduos sobre riscos de ransomware e fornecer recomendações para fortalecer as defesas cibernéticas.
Nos Estados Unidos, o Departamento de Justiça tomou medidas legais contra invasores que implantam certas variedades de ransomware, como REvil e NetWalker. O DOJ trabalha com parceiros internacionais para identificar e acusar os autores de ataques de ransomware, quando possível. A Agência de Segurança Cibernética e de Infraestrutura, ou CISA, fornece recursos, educação e consultoria para ajudar a proteger as redes contra ransomware.
O G7, um grupo de algumas das maiores economias avançadas do mundo, afirmou compromissos para melhorar a segurança cibernética e combater ameaças cibernéticas como o ransomware. Na sua cimeira de 2021, o G7 prometeu apoiar princípios de comportamento responsável no ciberespaço e cooperação em questões cibernéticas.
Embora as ações governamentais e a cooperação internacional sejam passos na direção certa, as organizações dos setores público e privado também devem desempenhar um papel ativo na defesa contra o ransomware. Fazer backup de dados, treinar funcionários e manter os sistemas atualizados são medidas críticas que, quando combinadas com os esforços dos governos e das alianças globais, podem ajudar a conter o impacto dos ataques de ransomware.
Conclusão
À medida que as táticas cibercriminosas se tornam mais sofisticadas, é fundamental que as organizações e os indivíduos compreendam as ameaças emergentes, como o ransomware.
Embora os ataques de ransomware possam parecer uma violação pessoal, permanecer calmo e metódico é a melhor abordagem para resolver a situação com perdas mínimas. Com conhecimento, preparação e as ferramentas e parceiros certos, o ransomware não significa necessariamente o fim do jogo.
Manter-se atualizado sobre as últimas variantes, vetores de ataque e práticas de segurança recomendadas garantirá que você tenha o poder, e não os perpetradores.