Definition

Ransomware

Ransomware é um subconjunto de malware no qual os dados no computador da vítima são bloqueados –geralmente por meio de criptografia– e o pagamento é exigido antes que os dados resgatados sejam descriptografados e o acesso seja devolvido à vítima. O motivo dos ataques de ransomware geralmente é monetário e, diferentemente de outros tipos de ataques, a vítima geralmente é notificada de que ocorreu uma exploração e recebe instruções sobre como se recuperar do ataque. O pagamento é muitas vezes exigido numa moeda virtual, como o bitcoin, pelo que a identidade do cibercriminoso é desconhecida.

O malware ransomware pode se espalhar por meio de anexos maliciosos encontrados em e-mails infectados ou aplicativos de malware, dispositivos de armazenamento externos infectados e sites comprometidos. Os ataques também usaram o protocolo de área de trabalho remota e outras abordagens que não dependem de nenhuma forma de interação do usuário.

Como funcionam os ataques de ransomware?

Os kits de ransomware da Deep Web permitiram que os cibercriminosos comprassem e usassem ferramentas de software para criar ransomware com capacidades específicas. Eles podem então gerar esse malware para sua própria distribuição, com resgates pagos em suas contas bitcoin. Tal como acontece com grande parte do resto do mundo da TI, agora é possível para aqueles com pouca ou nenhuma experiência técnica encomendar ransomware como serviço (RaaS) de baixo custo e lançar ataques com esforço mínimo.

Um dos métodos mais comuns de envio de ataques de ransomware é através de um e-mail de phishing. Um anexo em que a vítima acredita poder confiar é adicionado a um e-mail como um link. Assim que a vítima clica nesse link, o download do arquivo de malware começa.

Outras formas mais agressivas de ransomware aproveitarão falhas de segurança para infectar um sistema, para que não precisem confiar em enganar os usuários. O malware também pode se espalhar por meio de mensagens de bate-papo, unidades removíveis de barramento serial universal (USB) ou plug-ins de navegador.

Assim que o malware estiver no sistema, ele começará a criptografar os dados da vítima. Em seguida, adicionará uma extensão aos arquivos, tornando-os inacessíveis. Feito isso, os arquivos não podem ser descriptografados sem uma chave conhecida apenas pelo invasor. O ransomware exibirá então uma mensagem à vítima, explicando que os arquivos estão inacessíveis e só podem ser acessados ​​novamente mediante o pagamento de um resgate aos invasores – geralmente na forma de bitcoin.

Tipos de ransomware

Os invasores podem usar uma das várias abordagens diferentes para extorquir moeda digital de suas vítimas:

  • Este malware se apresenta como software de segurança ou suporte técnico. As vítimas de ransomware podem receber notificações pop-up indicando que malware foi descoberto em seus sistemas. Software de segurança que não seja de propriedade do usuário não teria acesso a essas informações. Não responder a isso não fará nada além de gerar mais pop-ups.
  • Armários de tela. Também conhecidos simplesmente como bloqueadores , são um tipo de ransomware projetado para bloquear completamente o acesso dos usuários aos seus computadores. Ao ligar o computador, a vítima pode ver o que parece ser um selo oficial do governo, levando a vítima a acreditar que é objeto de uma investigação oficial. Depois de ser informada de que foi encontrado software não licenciado ou conteúdo ilegal da web no computador, a vítima recebe instruções sobre como pagar uma multa eletrônica. Contudo, as organizações governamentais oficiais não fariam isso; em vez disso, passariam pelos canais e procedimentos legais adequados.
  • Ransomware criptografado. Também conhecidos como ataques de ransomware, eles dão ao invasor acesso e criptografam os dados da vítima e solicitam um pagamento para desbloquear os arquivos. Quando isso acontecer, não há garantia de que a vítima recuperará o acesso aos seus dados – mesmo que negocie isso. O invasor também pode criptografar arquivos em dispositivos infectados e ganhar dinheiro vendendo um produto que promete ajudar a vítima a desbloquear arquivos e prevenir futuros ataques de malware.
  • Com este malware, um invasor pode ameaçar publicar os dados da vítima online se a vítima não pagar o resgate.
  • Ransomware de registro mestre de inicialização. Com isso, todo o disco rígido é criptografado, não apenas os arquivos pessoais do usuário, impossibilitando o acesso ao sistema operacional.
  • Ransomware móvel. Este ransomware afeta dispositivos móveis. Um invasor pode usar ransomware móvel para roubar dados de um telefone ou bloqueá-lo e exigir um resgate para devolver os dados ou desbloquear o dispositivo.

Embora os primeiros casos desses ataques às vezes simplesmente bloqueiem o acesso ao navegador da web ou à área de trabalho do Windows –e o fizeram de maneiras que muitas vezes poderiam ser facilmente revertidas e reabertas– os hackers criaram versões de ransomware que usam chave de criptografia para negar acesso a arquivos no computador.

Armários de tela e ransomware de criptografia são os dois principais tipos de ransomware. Saber a diferença entre eles ajudará a organização a determinar o que fazer a seguir em caso de infecção.

Conforme descrito acima, os bloqueios de tela bloqueiam completamente os usuários de seus computadores até que o pagamento seja feito. Os bloqueios de tela negam ao usuário o acesso ao sistema e aos arquivos infligidos; no entanto, os dados não são criptografados. Em sistemas Windows, um bloqueio de tela também bloqueia o acesso aos componentes do sistema, como o Gerenciador de Tarefas do Windows e o Editor do Registro. A tela fica bloqueada até que o pagamento seja efetuado. A vítima geralmente recebe instruções sobre como pagar. Os armários de tela também tentam induzir o usuário a pagar, fazendo-se passar por uma organização governamental oficial.

Criptografar ransomware é uma das formas mais eficazes de ransomware atualmente. Conforme mencionado acima, um invasor obtém acesso e criptografa os dados da vítima, solicitando um pagamento para desbloquear os arquivos. Os invasores usam algoritmos de criptografia complexos para criptografar todos os dados salvos no dispositivo. Normalmente, é deixada uma nota no sistema infligido com informações sobre como recuperar os dados criptografados após o pagamento. Em comparação com os bloqueios de tela, a criptografia do ransomware coloca os dados da vítima em perigo mais imediato e não há garantia de que os dados retornarão à vítima após o acordo.

Em ambos os casos, a vítima pode receber uma mensagem pop-up ou nota de resgate por e-mail avisando que se a quantia exigida não for paga até uma data específica, a chave privada necessária para desbloquear o dispositivo ou descriptografar os arquivos serão destruídos.

Quem é atacado por ransomware?

Os alvos do ransomware podem variar desde um único indivíduo, uma pequena ou média empresa (PME) ou uma organização de nível empresarial até uma cidade inteira.

As instituições públicas são especialmente vulneráveis ​​ao ransomware porque não possuem segurança cibernética para se defenderem adequadamente. O mesmo se aplica às PME. Além da cibersegurança irregular, as instituições públicas dispõem de dados insubstituíveis que poderiam paralisá-las se não estivessem disponíveis. Isso os torna mais propensos a pagar.

Estatísticas de ransomware

Uma das maneiras pelas quais os golpes de ransomware podem atingir uma escala tão prejudicial é a falta de relatórios. Em 2018, safeatlast.co –um site que fornece aos consumidores classificações, análises e estatísticas sobre vários sistemas de segurança– descobriu que menos de um quarto das pequenas e médias empresas relatam seus ataques de ransomware. Provavelmente, isso ocorre porque há uma baixa probabilidade de eles receberem seu dinheiro de volta.

No entanto, a falta de relatórios não significa que os ataques de ransomware sejam incomuns, especialmente entre as pequenas empresas. A Symantec estimou que organizações menores com entre um e 250 funcionários têm a maior taxa de e-mails maliciosos direcionados de qualquer grupo demográfico, com um em cada 323 e-mails maliciosos.

Uma análise da safeatlast.co estimou que, em 2019, uma empresa foi vítima de um ataque de ransomware a cada 14 segundos. Espera-se que esse intervalo seja reduzido para 11 segundos até 2021. Isso pode ser atribuído em parte à crescente prevalência de dispositivos de internet das coisas (IoT), que sofrem uma média de 5.200 ataques por mês, de acordo com a Symantec.

Safeatlast.co estimou em 2018 que 77% das empresas sujeitas a um ataque de ransomware estavam atualizadas em sua tecnologia de segurança de endpoint. Isso mostra que o uso e a manutenção adequados do software médio de defesa de endpoint não são suficientes para deter o ransomware mais recente.

O ransomware é potencialmente a maior preocupação para as empresas porque tem a capacidade de acumular enormes somas de dinheiro e pode se espalhar e evoluir rapidamente para além das defesas padrão. Além disso, os resgates em si são difíceis de rastrear, já que cerca de 95% de todos os lucros são trocados através de uma plataforma de criptomoeda, de acordo com safeatlast.co.

Quais são os efeitos do ransomware nas empresas?

O impacto de um ataque de ransomware em uma empresa pode ser devastador. De acordo com safeatlast.co, o ransomware custou às empresas mais de US$ 8 bilhões no ano passado, e mais da metade de todos os ataques de malware foram ataques de ransomware. Alguns efeitos incluem o seguinte:

  • perda de dados de uma empresa;
  • tempo de inatividade como resultado de infraestrutura comprometida;
  • perda de produtividade como resultado de tempo de inatividade;
  • perda de rendimento potencial;
  • esforços de recuperação dispendiosos que potencialmente excedem o próprio resgate;
  • danos a longo prazo aos dados e à infraestrutura de dados;
  • danos à reputação anterior de uma empresa como segura; e
  • perda de clientes e, na pior das hipóteses, possibilidade de danos pessoais se a empresa lidar com serviços públicos como cuidados de saúde.

Como você evita ataques de ransomware?

Para se proteger contra ameaças de ransomware e outros tipos de extorsão cibernética, os especialistas em segurança recomendam que os usuários façam o seguinte:

  • Faça backup dos dispositivos do computador regularmente.
  • Faça um inventário de todos os ativos.
  • Atualize o software, incluindo software antivírus.
  • Faça com que os usuários finais evitem clicar em links de e-mails ou abrir anexos de e-mail de estranhos.
  • Evite pagar resgates.
  • Evite fornecer informações pessoais.
  • Não use unidades flash USB desconhecidas.
  • Use apenas fontes de download conhecidas.
  • Personalize as configurações antispam.
  • Monitore a rede em busca de atividades suspeitas.
  • Use uma rede segmentada.
  • Configure seu software de segurança para verificar arquivos compactados e arquivados.
  • Desative a web após detectar um processo suspeito em um computador.

Embora os ataques de ransomware possam ser quase impossíveis de impedir, indivíduos e organizações podem tomar medidas importantes de proteção de dados para garantir que os danos sejam mínimos e a recuperação seja o mais rápida possível. As estratégias incluem o seguinte:

  • Compartimentalizar sistemas e domínios de autenticação.
  • Mantenha instantâneos de armazenamento atualizados fora do pool de armazenamento primário.
  • Imponha limites rígidos sobre quem pode acessar os dados e quando o acesso é permitido.

Devo pagar o resgate?

A maioria das agências de aplicação da lei não recomenda o pagamento de invasores de ransomware, citando que isso apenas convidará os hackers a cometerem mais ataques de ransomware. No entanto, quando uma organização se depara com a possibilidade de semanas ou mais de recuperação, a ideia de lucros cessantes pode começar a penetrar e uma organização pode começar a considerar o preço do resgate em comparação com o valor dos dados perdidos. criptografado. De acordo com a Trend Micro, embora 66% das empresas afirmem que não pagariam resgate, cerca de 65% o fazem quando confrontadas com a decisão. Os invasores definiram um preço que valesse a pena, mas baixo o suficiente para que fosse mais barato para a organização visada pagar aos invasores em vez de restaurar os dados criptografados.

Embora seja compreensível que algumas organizações queiram pagar o resgate, ainda não é recomendado por vários motivos:

  • Ele está lidando com criminosos. Ainda não há garantia de que os invasores manterão sua palavra e descriptografarão os dados. Um boletim de segurança da Kaspersky de 2016 afirmou que 20% das empresas que optaram por pagar o resgate exigido não recuperaram os seus ficheiros.
  • Potencial de scarware. A mensagem de resgate poderia ser usada sem ter acessado os dados de uma organização.
  • Chave de descriptografia incorreta ou que mal funciona. Depois de pagar o resgate, o descriptografador que uma organização recebe pode funcionar apenas o tempo suficiente para que os criminosos digam que cumpriram o que prometeram.
  • Possibilidade de repetidos pedidos de resgate. Os cibercriminosos saberão agora que a organização visada tem um histórico de pagamento de resgates.

Como remover ransomware

Não há garantia de que as vítimas conseguirão impedir um ataque de ransomware e recuperar os seus dados; No entanto, existem métodos que podem funcionar em alguns casos. Por exemplo, as vítimas podem parar e reiniciar o sistema no modo de segurança, instalar um programa antimalware, verificar o computador e restaurar o computador para um estado anterior não infectado.

As vítimas também podiam restaurar o sistema a partir de arquivos de backup armazenados em uma unidade separada. Se estivessem na nuvem, as vítimas poderiam reformatar sua unidade e restaurá-la a partir de um backup anterior.

Os usuários do Windows podem usar especificamente a Restauração do Sistema, que é um recurso que reverte dispositivos Windows e seus arquivos de sistema para um determinado momento – neste caso, antes de o computador ser infectado. Para que isso funcione, a Restauração do Sistema deve ser habilitada previamente para que você possa marcar um local no tempo para o qual o computador retornará. O Windows habilita a Restauração do Sistema por padrão.

Para obter um processo geral passo a passo para identificar e remover ransomware, siga estas recomendações:

  1. Crie um backup do sistema e faça backup de todos os arquivos importantes ou integrais. Se uma organização não conseguir recuperar seus arquivos, ela poderá restaurá-los a partir de um backup.
  2. Certifique-se de que o software de otimização ou limpeza do sistema não remova a infecção ou outros arquivos ransomware necessários. Os arquivos devem primeiro ser isolados e identificados.
  3. Coloque malware em quarentena com software antimalware. Além disso, certifique-se de que os invasores não criaram um backdoor que lhes permita acessar o mesmo sistema posteriormente.
  4. Identifique o tipo de ransomware e exatamente qual método de criptografia foi usado. As ferramentas de recuperação e descriptografia de ransomware podem ajudar a determinar o tipo de ransomware.
  5. Uma vez identificadas, as ferramentas de recuperação de ransomware podem ser usadas para descriptografar arquivos. Devido aos diferentes e mutáveis ​​métodos de ransomware, não há garantia absoluta de que a ferramenta possa ajudar.

As ferramentas de recuperação de ransomware incluem produtos como McAfee Ransomware Recover e Trend Micro Ransomware File Decryptor.

Ransomware móvel

O ransomware móvel é um malware que mantém os dados da vítima como reféns e afeta dispositivos móveis, geralmente smartphones. O ransomware móvel funciona com a mesma premissa de outros tipos de ransomware, onde um invasor bloqueia o acesso de um usuário aos dados em seu dispositivo até que ele faça um pagamento ao invasor. Depois que o malware é baixado no dispositivo infectado, aparece uma mensagem exigindo o pagamento antes de desbloquear o dispositivo. Se o resgate for pago, um código será enviado para desbloquear o dispositivo ou descriptografar seus dados.

Normalmente, o ransomware móvel se esconde como um aplicativo legítimo em uma loja de aplicativos de terceiros. Os hackers geralmente escolhem aplicativos populares para imitar, esperando que um usuário desavisado os baixe e, com eles, o malware. Os usuários de smartphones também podem ser infectados por ransomware móvel visitando sites ou clicando em um link que aparece em um e-mail ou mensagem de texto.

As dicas para evitar ser vítima de ransomware móvel incluem o seguinte:

  • Não baixe aplicativos de lojas de aplicativos de terceiros. Confie apenas na Apple App Store e na Google Play Store.
  • Mantenha os dispositivos móveis e aplicativos móveis atualizados.
  • Não conceda privilégios de administrador a aplicativos, a menos que sejam absolutamente confiáveis.
  • Não clique em links que aparecem em e-mails de spam ou mensagens de texto de fontes desconhecidas.

Os usuários móveis também devem fazer backup de seus dados em um local diferente, caso seu dispositivo esteja infectado. Na pior das hipóteses, isso garantiria pelo menos que os dados do dispositivo não fossem perdidos permanentemente.

História de ransomware

A primeira aparição documentada de ransomware remonta ao vírus cavalo de Tróia da AIDS em 1989. O Trojan da AIDS foi criado por um biólogo treinado em Harvard chamado Joseph Popp, que distribuiu 20.000 disquetes infectados rotulados como "Informações sobre AIDS - Disquete Introdutório" para imunodeficiência adquirida. pesquisadores da síndrome na conferência internacional sobre AIDS da Organização Mundial da Saúde. Os participantes que decidiram inserir o disquete encontraram um vírus que bloquearia os arquivos do usuário na unidade do computador, inutilizando seu computador pessoal (PC). Para desbloquear seus arquivos, os usuários foram forçados a enviar US$ 189 para uma caixa postal pertencente à PC Cyborg Corp. No final, os usuários conseguiram evitar o vírus e descriptografar seus arquivos porque o vírus usava ferramentas de criptografia simétrica fáceis de consertar.

Com exceção do vírus Popp de 1989, o ransomware era relativamente raro até meados dos anos 2000, quando os invasores usaram criptografia mais sofisticada para extorquir dinheiro de suas vítimas. Por exemplo, o ransomware Archievus usou criptografia RSA assimétrica. Reveton, um vírus de 2012, acusou o sistema infectado de ser usado para atividades ilegais e usou a webcam do sistema para imitar a filmagem do usuário, usando táticas de intimidação para cobrar um resgate de US$ 200.

Hoje, o vetor de ataque de ransomware se expandiu para incluir aplicativos usados ​​em IoT e dispositivos móveis, e os vírus incluem criptografia mais complexa. Isso se deve em parte à disponibilidade de kits de ransomware prontos para uso – RaaS – disponíveis na dark web, que apresentam criptografia resultante da colaboração entre comunidades de desenvolvedores de ransomware na dark web. O ransomware é agora muito mais apto a atingir organizações maiores, em vez de indivíduos, o que significa que estão em jogo somas de dinheiro exponencialmente maiores. O ransomware evoluiu de um pequeno incômodo para uma grande ameaça desde os dias de Joseph Popp.

Tendências futuras de ransomware

A tendência mais significativa que se pode esperar do ransomware nos próximos anos é um aumento nos ataques a infraestruturas e serviços públicos porque são instituições críticas com acesso a grandes somas de dinheiro e utilizam frequentemente tecnologia de cibersegurança antiga ou obsoleta. À medida que a tecnologia de ransomware continua a avançar, a lacuna tecnológica entre os atacantes e os alvos públicos tem potencial para crescer ainda mais. Nestes setores públicos específicos, especificamente nos cuidados de saúde, os ataques poderão ser mais dispendiosos do que nunca nos próximos anos.

As previsões também indicam um foco crescente nas pequenas empresas que executam software de segurança desatualizado. À medida que o número de dispositivos comerciais de IoT cresce, as pequenas empresas não podem mais pensar que são pequenas demais para serem atacadas. O vetor de ataque está crescendo exponencialmente e os métodos de segurança não. Pela mesma razão, espera-se que os dispositivos domésticos sejam alvos cada vez mais prováveis.

O aumento do uso de dispositivos móveis também intensifica o uso de ataques de engenharia social que abrem a porta para ataques de ransomware. Métodos de ataque de engenharia social, como phishing, baiting, quid pro quo, pretexting e overlay, tiram vantagem da manipulação da psicologia humana.

Um estudo da IBM afirmou que os usuários têm três vezes mais probabilidade de responder a um ataque de phishing em um dispositivo móvel do que em um desktop, em parte porque é aqui que os usuários provavelmente verão a mensagem primeiro.

A Verizon também publicou uma pesquisa indicando que o sucesso da engenharia social em dispositivos móveis é provável porque telas menores limitam a quantidade de informações detalhadas exibidas. Os dispositivos móveis compensam isso com notificações menores e opções de um toque para responder a mensagens e links abertos, o que torna a resposta mais eficiente, mas também acelera o processo de ser vítima de um ataque de phishing.

Outra tendência é o aumento do roubo ou compartilhamento de códigos. Por exemplo, descobriu-se que as principais campanhas de ransomware Ryuk e Hermes tinham código semelhante. As autoridades inicialmente presumiram que ambas as variantes de ransomware se originavam do mesmo grupo de agentes de ransomware, mas depois descobriram que grande parte do código de Ryuk foi simplesmente copiado do Hermes. Na verdade, Ryuk originou-se de um grupo separado e não relacionado de atores de ameaças de outro país.

De acordo com CrowdStrike, o ransomware está se tornando uma ameaça maior e mais séria, com 56% das organizações sendo atacadas em 2020. Está se tornando mais importante do que nunca proteger contra ransomware e prevenir ataques.

Este conteúdo foi atualizado pela última vez em Fevereiro 2024

Saiba mais sobre Privacidade e proteção de dados

ComputerWeekly.com.br
ComputerWeekly.es
Close