A transformação digital trouxe uma série de benefícios para as empresas, entre os quais se destacam a interconectividade de dispositivos, com a Internet das Coisas, que amplia o número de IPs conectados no sistema empresarial, e a computação em nuvem, que permitiu a otimização das infraestruturas de TI das empresas e possibilitou a mobilidade.
Apesar do aumento da capacidade produtiva das corporações, essas mudanças também aumentam a quantidade de portas de acesso aos servidores, o que leva a riscos de segurança, como o ataque ransomware.
E por que o ransomware está chamando tanta atenção? Como funciona esse tipo de ataque? Para que você possa entender melhor o que é ransomware, seu histórico, métodos de infecção, e melhores maneiras de se prevenir é que fizemos este post.
Esperamos que, após a leitura, você tenha a base necessária para manter um ambiente virtual mais seguro!
O que é ransomware?
O ransomware é um tipo de malware que impede os usuários de acessarem seus arquivos pessoais ou do sistema corporativo, seja com bloqueio de acesso ao banco de dados ou por meio de criptografia.
Nesse tipo de ataque, o criminoso exige pagamento de resgate para recuperar o acesso. As primeiras variantes do ransomware foram desenvolvidas no final dos anos 80 e o pagamento era enviado via correio. Hoje, os autores de ransomware ordenam que o pagamento seja enviado por criptomoeda ou cartão de crédito.
Ransomware em PCs
Qualquer pessoa pode ser alvo de ransomware. Os ataques de ransomware de maior impacto afetaram indivíduos e empresas, incluindo grandes corporações, hospitais, aeroportos e agências governamentais.
O PC ainda é o alvo mais popular de ataques de ransomware, pois os hackers exploram vulnerabilidades conhecidas, particularmente no sistema operacional Windows. Em maio de 2017, o ransomware WannaCry se espalhou rapidamente pelo mundo e atacou mais de 100 milhões de usuários.
O WannaCry explorou uma fraqueza conhecida do Windows chamada EternalBlue, um bug que permite que hackers executem código remotamente através de uma solicitação de compartilhamento de arquivos e impressoras do Windows. A Microsoft havia lançado um patch para o EternalBlue dois meses antes do WannaCry; infelizmente, muitos indivíduos e empresas não realizaram a atualização a tempo de impedir o ataque.
O EternalBlue remonta ao Windows XP, um sistema operacional para o qual a Microsoft não oferece mais suporte —e é por isso que os usuários do Windows XP foram os mais atingidos pelo WannaCry.
Ransomware em dispositivos móveis
Os ataques de ransomware em dispositivos móveis estão aumentando em frequência. Os ataques a dispositivos Android cresceram 50% entre 2016 e 2017. Muitas vezes, o ransomware chega ao dispositivo Android por meio de um aplicativo de um site de terceiros; no entanto, também vimos casos em que o ransomware foi escondido com êxito em aplicativos aparentemente legítimos na Google Play Store.
Ransomware em produtos da Apple
Os fãs da Apple também não estão livres dessa ameaça. No passado, os usuários de Mac eram geralmente menos suscetíveis a ataques de malware. Em 2017, duas empresas de segurança descobriram programas de ransomware e spyware direcionados especificamente aos usuários da Apple, que deveriam ser desenvolvidos por engenheiros de software especializados em OS X.
As pessoas que criaram o malware estavam até disponibilizando-o gratuitamente na dark web. Os invasores maliciosos também acessaram as contas iCloud dos usuários de Mac e usaram o serviço Find My iPhone para bloquear as pessoas de seus computadores.
Quais são os métodos utilizados para a invasão do sistema?
Existem várias maneiras de infectar um computador com um malware tão nocivo quanto o ransomware. Uma das técnicas mais comuns é o spam de phishing — nele, o usuário recebe anexos de fontes desconhecidas, que são configurados para parecerem arquivos confiáveis.
Depois de baixados e abertos, eles podem assumir o controle do computador da vítima, especialmente se tiverem ferramentas de engenharia social integradas, que induzem os usuários a permitir o acesso administrativo sem desconfiar da intenção por trás do pedido de autorização. Algumas outras formas mais agressivas de ransomware, como o NotPetya, exploram brechas de segurança para invadir computadores sem criar truques para enganar os usuários.
O ataque ransomware visa ao dinheiro, e os criminosos virtuais utilizam as mais variadas técnicas para chegar a esse objetivo. O mais comum e difícil de quebrar é o sequestro via criptografia. O mais importante a saber é que, no final do processo, os arquivos não podem ser descriptografados sem uma chave disponibilizada apenas pelo invasor. A vítima recebe uma notificação avisando que ela deve pagar um valor em Bitcoin para ter a chave para descriptografar os seus dados.
Em algumas formas de malware, o invasor pode criar uma página de bloqueio que simula uma notificação oficial, vinda de um órgão de polícia ou ministério público. Geralmente, na mensagem, há um aviso de bloqueio no computador da vítima devido a uma suposta presença de pornografia ou software pirata, exigindo o pagamento de uma “multa”.
Outra variação que está sendo muito utilizada é o doxware, ou leakware, que consiste na invasão do disco rígido da vítima e ameaça de vazamento do conteúdo interno.
Quais são os principais tipos de ransomware?
Existem três tipos principais de ransomware, que causam os mais diferentes danos, de roubos de dados pessoais a crises de níveis mundiais. Confira a seguir quais são eles.
Scareware
O Scareware é um software malicioso que emite um popup com senso de urgência, alegando que um vírus foi detectado em seu computador e que a única forma de se livrar dele é pagando e adquirindo um software que resolverá esse problema. O objetivo é pegar pessoas leigas e, assim, invadir o banco de dados.
Na maioria das vezes, os popups transparecem um senso de urgência, como se o computador da pessoa estivesse em perigo. É uma técnica mais simplória, que não atinge usuários experientes, afinal, um antivírus confiável não ficaria bombardeando o cliente com esse tipo de mensagem de forma sistemática. Além disso, pare para pensar: porque um software que você ainda não tem, monitoraria o seu computador em busca de malwares? Desconfie sempre!
Screen lockers
O screen locker, ou bloqueador de tela, é um tipo de ransomware que congela a tela do seu PC. Ao iniciar o computador, uma janela aparecerá em formato de alerta, com algum aviso. O criminoso pode tentar se passar por um órgão de justiça ou polícia, estampando o selo oficial com uma notificação, dizendo que atividades ilegais foram detectadas no computador e você deve pagar uma multa.
Evidentemente, que a Polícia Federal ou Ministério Público não o congelaria do computador nem exigiria pagamento por atividades ilegais caso suspeitasse de crimes. Eles utilizariam os caminhos legais.
Em empresas, os criminosos não são tão criativos, na verdade, eles utilizam a criticidade dos dados bloqueados ao seu favor para persuadir os gestores. O valor que a empresa deverá pagar para desbloquear o computador é estabelecido como chave para desbloqueio, sendo que o usuário deve fazer o pagamento via bitcoin.
Ransomware de criptografia
Esse é o modelo mais pesado de ransomware, pois os arquivos são criptografados diretamente, impedindo o acesso e exigindo pagamento para descriptografar e reenviar. A razão pela qual esse tipo de ransomware é tão perigoso é que, diferentemente de uma tela de bloqueio ou popup, quando os cibercriminosos obtêm seus arquivos, nenhum software de segurança ou restauração do sistema poderá recuperá-lo.
Se você não pagar, nunca mais terá acesso aos dados, e mesmo que pague, não tem a garantia que eles serão devolvidos.
Quais são as origens do ransomware?
Os primeiros registros de um ransomware, ficou conhecido como PC Cyborg ou AIDS, e apareceu no ano de 1989. Na época, o malware foi usado para extorquir dinheiro vivo de usuários de PC. Na técnica, os criminosos conseguiam bloquear o diretório “C” dos computadores, e exigiam um pagamento que deveria ser feito por correio, com endereço no Panamá. Após esse pagamento, uma chave de descriptografia era enviada de volta ao usuário.
Em 1996, o ransomware conhecido como “cryptoviral extortion”, foi desenvolvido por Moti Yung e Adam Young, da Universidade de Columbia. Esse malware, desenvolvido na academia, mostrava todo o potencial e evolução que as ferramentas criptográficas modernas teriam no futuro. Young e Yung apresentaram o primeiro ataque de criptovirologia na conferência de segurança e privacidade do IEEE — Instituto de Engenheiros Eletricistas e Eletrônicos —, em 1996.
O vírus continha a chave pública do invasor e criptografava os arquivos da vítima. O malware solicitou à vítima o envio de texto cifrado assimétrico ao invasor para decifrar e devolver a chave de descriptografia — mediante pagamento de uma taxa.
Os invasores se tornaram criativos ao longo dos anos, exigindo pagamentos quase impossíveis de rastrear, o que ajuda os cibercriminosos a permanecerem anônimos. Por exemplo, o notório ransomware para celular Fusob, exige que as vítimas paguem usando cartões-presente da Apple iTunes, em vez de moedas normais, como dólares.
O ransomware é um vírus?
A maioria de nós conhece o termo vírus e o usa para se referir a todas as formas de malware. A verdade é que um vírus é apenas um tipo específico de malware. Outros tipos comuns incluem worms, cavalos de Tróia, spyware e ransomware. O objetivo de cada tipo de malware é diferente. Os worms se replicam e travam o desempenho do seu computador.
Os vírus são projetados para infectar seu computador, danificar seus arquivos e depois se espalhar para novos hosts. Os cavalos de Tróia querem obter um backdoor secreto em seu computador para acessar e vazar suas informações pessoais. Existem inúmeras razões pelas quais os criminosos cibernéticos criam e distribuem esses tipos de malware.
Com o ransomware, o motivo geralmente é bem direto: o agressor quer ganhar dinheiro. o foco dele não é extraviar ou danificar os seus dados, mais fazer com que você deseje a chave criptográfica o mais rápido possível.
Quais são os principais alvos do ransomware?
Existem várias maneiras dos invasores escolherem as organizações para tentar fazer um ataque ransomware . Às vezes, é uma questão de oportunidade: por exemplo, os invasores podem ter como alvo as universidades, porque tendem a ter equipes de segurança menores e uma grande base de usuários, que compartilham muito arquivos, o que abre muitas brechas de segurança, facilitando a penetração.
Os criminosos também estão sempre em busca de empresas que estariam dispostas, por questões financeiras ou de alto risco, a fazerem o pagamento de um resgate rapidamente. Por exemplo, órgãos de governo ou empresas do setor médico têm maior urgência no acesso aos seus dados.
Quem trabalha com dados confidenciais de clientes, como os escritórios de advocacia, também estão mais propensos a pagarem para ter acesso rápido a essas informações, pois o vazamento de informações de um cliente, nessas situações, além de consequências jurídicas, mina toda a credibilidade da empresa.
Mas não se sinta seguro se não se encaixar nessas categorias: como observamos, alguns ransomwares se espalham automaticamente e indiscriminadamente pela Internet, por meio de phishings, popups e bloqueadores de tela e podem atingir qualquer um.
Como se proteger de um ataque ransomware?
Considerando a enxurrada de ataques de ransomware e o custo associado a eles, os gestores das empresas estão em busca de maneiras de impedir o avanço desse malware. Aqui está um rápido resumo de como proteger sua empresa contra malware.
Faça backup de seus dados
Se a sua empresa realiza backups regulares, o impacto de um ataque desse modelo poderá ser bem menor. É importante verificar seus backups para garantir que eles não foram infectados, pois alguns tipos de ransomware são projetados para procurar compartilhamentos de rede. Assim, você faria bem em armazenar backups de dados em um servidor em nuvem seguro com criptografia de alto nível e autenticação de múltiplos fatores.
Mantenha os softwares atualizados
O ransomware geralmente depende de kits de exploração para obter acesso ilícito a um sistema ou rede (por exemplo, GandCrab). Desde que o software em sua rede esteja atualizado, os ataques de ransomware baseados em exploração não podem prejudicá-lo.
Nessa nota, se sua empresa opera com software obsoleto ou desatualizado, você corre o risco de ransomware, porque os fabricantes de software não estão mais lançando atualizações de segurança para o programa em questão.
Entenda como a rede de malwares atua
Os cibercriminosos por trás do Emotet estão usando o Trojan bancário anterior como veículo de entrega de ransomware. O Emotet depende do spam para infectar um usuário final e se posicionar na sua rede. Uma vez na sua rede, o Emotet mostra um comportamento semelhante a um worm, espalhando-se de sistema em sistema usando uma lista de senhas comuns. Ao aprender a identificar spam e implementar a autenticação multifatorial, você estará um passo à frente dos cibercriminosos.
Quais foram os impactos desse tipo de ataque nos últimos anos?
Ransomware é um “grande negócio” do crime, pois há muito dinheiro e o mercado expandiu-se rapidamente desde o início da década. Em 2017, o ransomware resultou em perdas de US$ 5 bilhões, tanto em termos de resgates pagos quanto de gastos e perda de tempo na recuperação de ataques. Isso representa um aumento de 15 vezes em relação a 2015. No primeiro trimestre de 2018, apenas um tipo de software de ransomware, o SamSam, arrecadou US$ 1 milhão em resgates.
Alguns mercados são mais visados para ataques ransomware — pois estão mais propensos em pagar o resgate. Muitos ataques de ransomware de alto padrão aconteceram em hospitais ou outras empresas médicas, que são alvos considerados certeiros pelos criminosos: eles sabem que, o setor trabalha com vidas e é mais provável que essas empresas paguem um resgate relativamente baixo para resolver um problema.
Estima-se que 45% dos ataques de ransomware são direcionados a empresas médicas e, por consequência, 85% das infecções por malware nessas organizações, são ransomware. Outra área visada é o setor de serviços financeiros, que é onde literalmente está o dinheiro. Estima-se que 90% das instituições financeiras foram alvo de um ataque de ransomware em 2017.
O ransomware é considerado um malware de alto risco, justamente pelo fato de, na maioria das vezes, não ser detectável por softwares antivírus convencionais. Os criminosos virtuais estão constantemente aprimorando seus algoritmos, sempre com foco na fuga do radar dos antivírus tracionais. Por mais estruturada que seja a segurança digital de uma empresa, ela estará vulnerável a esse tipo de ataque.
As empresas devem pagar o resgate quando atacadas?
Se o seu sistema foi infectado por malware e você perdeu dados vitais, que não podem ser restaurados pelo backup, você deve pagar o resgate?
Na teoria, a maioria dos especialistas em segurança pedem que as empresas não paguem os invasores, acreditando que isso só incentiva os hackers a criar mais ransomwares. Dito isto, muitas organizações que são atingidas por malware, tendem a fazer análises para calcular os danos e entender o custo-benefício, comparando o preço do resgate com o valor dos dados criptografados.
Na maioria das vezes, os invasores cobram preços relativamente baixos, geralmente entre US$ 700 e US$ 1.300, uma quantia bastante acessível para empresas. Alguns malwares particularmente sofisticados, detectam o país em que o computador infectado está sendo executado e ajustam o resgate para corresponder à economia local, exigindo mais das empresas dos países ricos e menos das regiões pobres.
Muitas vezes, são oferecidos descontos por agir rapidamente, de modo a incentivar as vítimas a pagarem rapidamente antes de pensarem demais. Em geral, o preço é definido de modo que seja alto o suficiente para valer o tempo do criminoso, mas baixo o suficiente para ser mais barato do que o que a vítima teria que pagar para restaurar seu computador ou reconstruir os dados perdidos.
Com isso em mente, algumas empresas estão colocando o valor de um possível resgate em seus planos de segurança: por exemplo, comprando Bitcoin sem para deixar como reserva, especificamente para pagamentos de resgate de sequestros de dados.
Quais são foram os ataques mais impactantes no mundo?
Embora o ransomware exista tecnicamente desde os anos 90, o ataque ganhou os noticiários massivamente nos últimos cinco anos, em grande parte devido à disponibilidade de métodos de pagamento não rastreáveis como o Bitcoin. Alguns dos ataques mais devastadores são:
- CryptoLocker, um ataque de 2013 que lançou a era moderna do ransomware e infectou até 500.000 máquinas no auge;
- SimpleLocker, o primeiro ataque generalizado de ransomware voltado para dispositivos móveis;
- WannaCry, que se espalhou autonomamente de um computador para outro usando o EternalBlue, uma exploração desenvolvida pela NSA e depois roubada por hackers;
- NotPetya, que também usou o EternalBlue e pode ter sido parte de um ataque cibernético dirigido pela Rússia contra a Ucrânia;
- Locky, que começou a se espalhar em 2016, era ” semelhante em seu modo de ataque ao notório software bancário Dridex “.
O ransomware está em declínio?
Por que os especialistas em segurança estão tendo essa impressão? Por que acham que os ataques ransomwares estão em declínio? De certa forma, a queda tem relação com a moeda de escolha do cibercriminoso: o Bitcoin.
Receber o resgate de uma vítima sempre foi difícil, pois eles podem decidir não pagar por terem cópias de segurança dos dados ou não enxergarem custo-benefício na relação entre pagamento e valor das informações. Também há a possibilidade das vítimas não estarem familiarizadas o suficiente com o Bitcoin para executar o pagamento com a agilidade necessária.
O declínio do ransomware foi acompanhado por um aumento no chamado malware de criptografia, que infecta o computador da vítima e usa seu poder de computação para criar bitcoin, sem que o proprietário saiba. Esta é uma rota interessante para usar os recursos computacionais de outra pessoa, para obter criptomoeda, o que contorna a maioria das dificuldades em obter um resgate, e ficou mais atraente como um ataque cibernético, já que o preço do bitcoin aumentou no final de 2017.
Com o preço do bitcoin caindo, a análise de custo-benefício para os invasores pode estimulá-los a voltar a praticar os ataques.
Esperamos que, após a leitura deste post, você tenha uma boa base de conhecimento sobre o ataque ransomware. O primeiro passo para se prevenir a qualquer ataque é conhecê-lo, saber quais são os objetivos dos criminosos. Depois, para uma melhor proteção dos dados, foque em prevenção, incentive os seus colaboradores a desconfiar de tudo e a não baixar anexos ou arquivos de servidores desconhecidos.
Gostou do post? Quer começar a se prevenir contra ataques ransomware? Então, veja como fazer um bom monitoramento de rede e a proteger o acesso no sistema empresarial.
