Ransomware

Como funciona o ransomware?

O ciclo de vida do ransomware tem seis estágios gerais: distribuição e infecção de malware; comando e controle; descoberta e movimento lateral; roubo malicioso e criptografia de arquivos; extorsão; e resolução.

Estágio 1: Distribuição e infecção de malware

Antes que os invasores possam exigir um resgate, eles devem se infiltrar nos sistemas das vítimas e infectá-las com malware. Os vetores de ataque de ransomware mais comuns são phishing, protocolo de desktop remoto (RDP) e abuso de credenciais, além de vulnerabilidades de software exploráveis:

• Roubo de identidade. Este é o tipo mais popular de engenharia social e continua sendo o principal vetor de ataque para todos os tipos de malware. Os invasores combinam e-mails aparentemente legítimos com links e anexos maliciosos para induzir os usuários a instalar malware sem saber. Ataques de smishing, vishing, phishing e watering hole são formas de golpes de phishing e engenharia social que os invasores usam para induzir as pessoas a iniciar a instalação de malware.
• RDP e abuso de credenciais. Isso envolve o uso de força bruta ou ataques de preenchimento de credenciais ou a compra de credenciais na dark web, com o objetivo de fazer login nos sistemas como usuários legítimos e depois infectar a rede com malware. O RDP, um dos favoritos dos invasores, é um protocolo que permite aos administradores acessar servidores e desktops de praticamente qualquer lugar e permite que os usuários acessem remotamente seus desktops. No entanto, implementações de RDP mal protegidas são um ponto de entrada comum para ransomware.
• Vulnerabilidades de software. Eles também são alvo frequente de infecções por ransomware. Os invasores se infiltram nos sistemas das vítimas atacando softwares não corrigidos ou desatualizados. Um dos maiores incidentes de ransomware da história, o WannaCry, está ligado à exploração EternalBlue, uma vulnerabilidade em versões não corrigidas do protocolo Windows Server Message Block (SMB).

Etapa 2: Comando e controle

Um servidor de comando e controle (C&C) configurado e operado por invasores de ransomware envia chaves de criptografia ao sistema alvo, instala malware adicional e facilita outros estágios do ciclo de vida do ransomware.

Etapa 3: Descoberta e movimento lateral

Este estágio de duas etapas envolve primeiro os invasores coletando informações sobre a rede da vítima para ajudá-los a entender melhor como lançar um ataque bem-sucedido e, em seguida, espalhar a infecção para outros dispositivos e elevar seus privilégios de acesso para procurar dados valiosos.

Estágio 4: Roubo Malicioso e Criptografia de Arquivos

Nesta fase, os invasores extraem dados para o servidor C&C para uso em futuros ataques de extorsão. Os invasores então criptografam dados e sistemas usando chaves enviadas do seu servidor C&C.

Etapa 5: Extorsão

Os invasores exigem o pagamento de um resgate. A organização agora sabe que é vítima de um ataque de ransomware.

Etapa 6: Resolução

A organização vítima deve tomar medidas para enfrentar e recuperar do ataque. Isso pode envolver a restauração de backups, a implementação de um plano de recuperação de ransomware, o pagamento do resgate, a negociação com invasores ou a reconstrução de sistemas do zero.

Quais são os diferentes tipos de ransomware?

O ransomware é definido e classificado com base na forma como é distribuído e no seu impacto. A entrega inclui ransomware como serviço (RaaS), entrega automatizada (não como serviço) e entrega operada por humanos. O impacto pode ser indisponibilidade de dados, destruição de dados, exclusão de dados e exfiltração e extorsão de dados.

Os termos a seguir descrevem os diferentes tipos de ransomware com mais detalhes:

• O ransomware Locker bloqueia completamente os dados ou sistemas das vítimas.
• O Crypto ransomware criptografa todos ou alguns dos arquivos das vítimas.
• O scareware assusta as vítimas fazendo-as acreditar que seus dispositivos estão infectados com ransomware, quando talvez não estejam. Os invasores então enganam as vítimas para que comprem software que supostamente removerá o ransomware quando ele, na verdade, rouba dados ou baixa malware adicional.
• O software de extorsão, também conhecido como software de jailbreak, doxware e software de exfiltração , envolve invasores que roubam dados das vítimas e ameaçam torná-los públicos ou vendê-los na dark web.
• O malware Wiper atua como ransomware, mas na verdade é uma forma destrutiva de malware que apaga dados dos sistemas das vítimas, mesmo que elas paguem resgate.
• O ransomware de dupla extorsão criptografa os dados das vítimas e os extrai para extorquir-las e fazê-las pagar um resgate, potencialmente duas vezes.
• O ransomware de extorsão tripla criptografa os dados das vítimas, extrai dados para extorquir as vítimas e adiciona uma terceira ameaça. Freqüentemente, esse terceiro vetor é um ataque DDoS ou a extorsão de clientes, parceiros, fornecedores e partes interessadas das vítimas para que paguem resgates ou exortem a organização inicialmente infectada a pagar. Isso pode fazer com que os invasores recebam três ou mais pagamentos de resgate por um único ataque.
• RaaS, um modelo de entrega e não um tipo de ransomware, costuma ser incluído em listas de tipos de ransomware. RaaS é um modelo baseado em assinatura no qual os desenvolvedores de ransomware vendem malware mediante pagamento conforme o uso para operadores de ransomware, que dão aos desenvolvedores uma porcentagem dos lucros do ataque.

Quais são os efeitos do ransomware nas empresas?

Dependendo da sofisticação do ataque, da motivação do atacante e das defesas da vítima, as consequências do ransomware podem variar desde pequenos inconvenientes até uma recuperação dispendiosa e dolorosa e a devastação completa.

Quando as pessoas ouvem: “Fomos atacados por ransomware”, suas mentes geralmente pensam no valor exigido pelo resgate. A pesquisa da Sophos descobriu que o pagamento médio por ransomware em 2023 foi de US$ 1,54 milhão, acima dos US$ 812.380 do ano anterior.

No entanto, o custo total de um ataque de ransomware excede em muito o preço do resgate. O “Relatório de Custo de uma Violação de Dados 2023” da IBM descobriu que o valor médio em dólares associado a um ataque de ransomware foi de US$ 5,13 milhões, um aumento de 13% em relação ao ano anterior – e que nem sequer inclui o custo de pagamento do resgate.

A diferença pode ser atribuída a vários fatores, incluindo os seguintes:

• Exposição ou perda de dados.
• Tempo de inatividade do sistema.
• Produtividade perdida.
• Perda de renda.
• Multas de conformidade legal e regulatória.

O ransomware também pode ter os seguintes efeitos:

• Reputação comercial prejudicada.
• Abaixe o moral dos funcionários.
• Perda de confiança e fidelidade do cliente.
• A organização se torna um alvo potencial para ataques futuros.

O seguro cibernético pode ajudar a reduzir os encargos financeiros de um ataque de ransomware. Os serviços de seguro cibernético normalmente oferecem serviços pré-violação –como treinamento, verificação de vulnerabilidades e exercícios práticos– bem como serviços pós-violação, incluindo esforços de recuperação de dados e assistência em investigações de violação. Alguns serviços de seguro cibernético também trabalharão com serviços comerciais para tentar reduzir os valores de pagamento de resgate.

No entanto, encontrar cobertura de seguro cibernético nem sempre é fácil. A onda de ataques de ransomware nos últimos cinco anos causou enormes perdas às seguradoras cibernéticas, resultando em aumentos de prémios ou mesmo na negação de cobertura aos clientes.

A pesquisa mostrou que relatar uma violação às autoridades pode reduzir o custo de um incidente de ransomware. A pesquisa da IBM descobriu que o custo médio de uma violação de ransomware foi de US$ 5,11 milhões quando a aplicação da lei não estava envolvida, em comparação com US$ 4,64 milhões quando a aplicação da lei estava envolvida.

Os decisores devem discutir se devem denunciar uma violação às autoridades. Especialistas em segurança e aplicação da lei recomendam que qualquer organização afetada por ransomware notifique as autoridades –como a CISA, o Internet Crime Complaint Center ou o escritório local do FBI da organização. Algumas organizações são obrigadas por lei a denunciar ataques de ransomware. As organizações públicas, por exemplo, devem reportar ataques cibernéticos no prazo de quatro dias úteis, ao abrigo dos novos regulamentos anunciados pela Securities and Exchange Commission. Em alguns casos, as seguradoras cibernéticas podem não emitir pagamentos às vítimas se não tiverem notificado uma agência federal.

Além de decidir se devem denunciar uma violação, os decisores devem discutir se devem divulgar o ataque ao público. Não existe uma lei nacional de notificação de ataques de ransomware para empresas privadas, mas se os ataques envolverem informações de identificação pessoal, as organizações devem notificar os indivíduos afetados.

Alvos comuns de ransomware

Embora certos setores, como infraestrutura crítica, educação e saúde, tendam a ser manchetes quando se tornam vítimas de ransomware, é importante observar que nenhuma organização, independentemente do tamanho ou do setor, está imune a ataques de ransomware.

Dito isto, o relatório da Sophos lista os seguintes como os 13 principais alvos de ransomware por setor:

• Educação
• Construção e propriedade
• Governo central e federal
• Mídia, entretenimento e lazer
• Governo local e estadual
• Varejo
• Infraestrutura energética e de serviços públicos
• Distribuição e transporte
• Serviços financeiros
• Serviços empresariais, profissionais e jurídicos
• Cuidados de saúde
• Manufatura e produção
• TI, tecnologia e telecomunicações

História de ransomware e ataques de ransomware famosos

O ransomware tem atormentado organizações e indivíduos há mais de três décadas, e a primeira campanha de ransomware conhecida chegou às suas vítimas por correio tradicional em 1989. O biólogo Joseph L. Popp, formado em Harvard, agora considerado o "pai do ransomware", enviou disquetes infectados para 20.000 pessoas que participaram recentemente de uma conferência sobre AIDS da Organização Mundial da Saúde.

O malware Popp ficou conhecido como Trojan da AIDS. Quando inserido no computador da vítima, o disco –que parecia conter um questionário de pesquisa médica, mas na verdade continha código malicioso– criptografou o sistema e instruiu a vítima a enviar US$ 189 para uma caixa postal no Panamá. Os especialistas em TI logo encontraram uma chave de descriptografia, mas o incidente marcou o início de uma nova era do crime cibernético.

Apesar dos esforços iniciais de Popp, o ransomware não ganharia destaque até a década de 2000, quando o uso da Internet disparou. As primeiras variantes, como GPCode e Archievus, eventualmente deram lugar a cepas mais sofisticadas. Vários novos tipos de ransomware e modelos de entrega de ransomware surgiram no início de 2010, incluindo ransomware de armário, como WinLock em 2011; RaaS, como Reveton em 2012; e cripto ransomware, como o CryptoLocker em 2013.

O nascimento da criptomoeda em 2009 marcou outro momento crucial na história do ransomware, pois proporcionou aos agentes de ameaças uma maneira fácil e anônima de receber pagamentos. Em 2012, Reveton se tornou uma das primeiras campanhas de ransomware em que os invasores exigiram pagamentos de resgate em bitcoins das vítimas.

WannaCry aumenta a aposta

Em 2017, centenas de milhares de computadores Microsoft Windows foram vítimas de uma nova variante de ransomware, o notório criptoworm WannaCry, num dos maiores ataques de ransomware de todos os tempos. Os atores da ameaça tinham como alvo organizações em 150 países, incluindo grandes bancos, agências de aplicação da lei, organizações de saúde e empresas de telecomunicações. O WannaCry provavelmente marcou o início de um novo capítulo no ransomware, no qual os ataques se tornaram maiores, mais lucrativos, mais destrutivos e mais difundidos.

Sendo um worm, o WannaCry é capaz de se auto-replicar, movendo-se lateralmente para infectar automaticamente outros dispositivos em uma rede sem assistência humana. O malware usa o exploit EternalBlue, originalmente desenvolvido pela Agência de Segurança Nacional e vazado por hackers Shadow Brokers, que explora uma vulnerabilidade na implementação do protocolo SMB pela Microsoft. Embora a Microsoft tenha lançado uma atualização de software que corrigiu a vulnerabilidade antes dos ataques, os sistemas não corrigidos continuam vítimas de infecções por WannaCry até hoje.

Pouco depois do início dos ataques WannaCry, o NotPetya —uma variante do ransomware Petya— que surgiu um ano antes, começou a ganhar as manchetes. Assim como o WannaCry, o NotPetya aproveita a exploração do EternalBue. No entanto, como software de limpeza, destrói os ficheiros das vítimas depois de os encriptar – mesmo que atendam aos pedidos de resgate.

NotPetya causou perdas estimadas em US$ 10 bilhões em todo o mundo. Um dos alvos mais proeminentes, o gigante dinamarquês de transporte e logística AP Moller-Maersk, perdeu cerca de 300 milhões de dólares no incidente. A CIA atribuiu o ataque de ransomware a uma agência de espionagem militar russa e, de acordo com o fornecedor de segurança cibernética ESET, cerca de 80% dos alvos do NotPetya estavam na Ucrânia.

Em 2018, outra variante de ransomware notória, Ryuk, tornou-se uma das primeiras a criptografar unidades e recursos de rede e desabilitar a Restauração do Sistema do Windows. Ryuk tornou praticamente impossível para as vítimas recuperarem seus dados se não tivessem ferramentas de reversão ou backups offline, a menos que pagassem resgates.

Tendências recentes de ransomware

A chamada caça de alto nível , na qual os operadores de ransomware visam grandes organizações com recursos financeiros, explodiu nos últimos anos. Vítimas de ransomware de alto perfil e ataques de ransomware de alto impacto incluem Colonial Pipeline, JBS USA, o governo da Costa Rica, o Serviço Nacional de Saúde da Irlanda, Travelex, CNA Financial e muitos mais.

O final da década de 2010 também viu um aumento em novas formas de ransomware, incluindo ransomware de extorsão dupla e tripla. O RaaS também continua a crescer em popularidade e sofisticação, possibilitando que agentes de ameaças com recursos e capacidades técnicas limitadas se tornem operadores de ransomware. Em 2021, por exemplo, o ransomware atribuído à operação RaaS da gangue REvil atingiu o provedor de serviços gerenciados Kaseya, em um dos maiores episódios de ransomware da história. Mais de 1 milhão de dispositivos foram infectados.

Como prevenir ataques de ransomware

Prevenir o ransomware é um grande desafio para organizações de todos os tipos e tamanhos, e não existe uma solução mágica. Especialistas dizem que as empresas precisam de uma estratégia multifacetada de prevenção de ransomware que inclua o seguinte:

• Defesa em segurança profunda. Uma abordagem de defesa profunda inclui controles de segurança em camadas que funcionam juntos para bloquear atividades maliciosas. Se o malware conseguir contornar um controle, a esperança é que outro mecanismo de segurança de sobreposição o interrompa. Os especialistas recomendam, no mínimo, a implementação de ferramentas e estratégias fundamentais de segurança cibernética, como antimalware, autenticação multifatorial, firewalls, filtragem de segurança de e-mail, filtragem da web, análise de tráfego de rede, listas de permissão/negação, detecção e resposta de endpoint, o princípio de menor privilégio e controle remoto seguro, incluindo VPN e acesso à rede de confiança zero. Eles também aconselham as organizações a limitar ou bloquear o uso do RDP.

• Controles de segurança avançados. Embora os controles básicos de segurança cibernética possam reconhecer e detectar muitas variantes conhecidas de ransomware, as tecnologias de proteção avançadas têm maior probabilidade de descobrir novos ataques. Considere ferramentas e estratégias como detecção e resposta estendida (XDR), detecção e resposta gerenciadas, Secure Access Service Edge, SIEM, análise de comportamento de usuários e entidades, segurança de confiança zero e fraude cibernética.
• Gerenciamento de patches. Quando o ataque de ransomware WannaCry ocorreu pela primeira vez em maio de 2017, ele explorou uma vulnerabilidade conhecida para a qual a Microsoft havia lançado um patch dois meses antes – uma vulnerabilidade que centenas de milhares de vítimas ainda não haviam implantado. Surpreendentemente, organizações com sistemas sem correção continuam a ser vítimas do WannaCry e de muitos outros ataques legados. Embora as organizações às vezes tenham bons motivos para atrasar as atualizações de software e sistema (por exemplo, porque os patches podem causar problemas de desempenho que afetam as operações de negócios), elas devem ponderá-los em relação aos custos de incidentes de segurança potencialmente catastróficos. Siga as práticas recomendadas de gerenciamento de patches para reduzir drasticamente o risco de ransomware.

• Backups de dados. Os backups de dados críticos podem efetivamente causar um curto-circuito em um ataque de ransomware, permitindo que uma organização restaure suas operações sem atender às demandas dos cibercriminosos. O mais importante, porém, é que o backup deve estar inacessível no ambiente de TI principal, para que os agentes da ameaça não possam encontrá-lo e criptografá-lo durante a invasão. Também é importante observar que, embora os backups sejam uma parte importante da defesa contra ransomware, eles não são uma panacéia, especialmente no caso de ataques de extorsão duplos ou triplos. As organizações que usam backups baseados em nuvem para proteção contra ransomware devem saber as perguntas certas a serem feitas aos fornecedores para garantir que seus dados estejam em boas mãos.

• Treinamento de conscientização de segurança. Os operadores de ransomware frequentemente obtêm acesso a redes corporativas através de meios detectáveis e evitáveis. A educação do usuário final é sem dúvida o elemento mais importante —e mais difícil— da prevenção de malware. O treinamento de conscientização sobre segurança deve ser dinâmico e envolvente e incluir detalhes específicos sobre ransomware para ensinar aos usuários como evitar ataques e o que fazer se acharem que um deles pode estar em andamento.

Como detectar ataques

Mesmo as organizações que seguem as melhores práticas de prevenção de ransomware serão inevitavelmente vítimas de ataques. Na verdade, muitos especialistas dizem que as empresas deveriam considerar a questão não de se, mas de quando.

No entanto, se as equipes de segurança conseguirem detectar um ataque de ransomware em seus estágios iniciais, poderão isolar e eliminar atores mal-intencionados antes que tenham tempo de encontrar, criptografar e exfiltrar dados confidenciais.

Uma importante primeira linha de defesa são as ferramentas antimalware que podem reconhecer variantes conhecidas de ransomware com base em suas assinaturas digitais. Algumas ofertas, como plataformas XDR e SIEM, também verificam anomalias comportamentais para detectar cepas de ransomware novas e irreconhecíveis. Possíveis indicadores de comprometimento incluem execuções anormais de arquivos, tráfego de rede e chamadas de API – qualquer um dos quais pode indicar um ataque de ransomware ativo.

Algumas organizações usam detecção baseada em fraude para assustar os adversários, atraindo-os com ativos de TI falsos que funcionam como armadilhas para alertar as equipes de segurança sobre sua presença. Embora os honeypots cibernéticos exijam recursos consideráveis para serem implantados e mantidos, eles apresentam taxas de falsos positivos excepcionalmente baixas, o que os torna armas valiosas na luta contra o ransomware.

Como remover ransomware

Qualquer sugestão confiável de que uma intrusão de ransomware está ocorrendo deve acionar automaticamente a primeira etapa de um plano de resposta a incidentes de ransomware: validação de ataque. Se a equipe de segurança confirmar que o incidente é realmente um ataque de ransomware, você poderá prosseguir com as seguintes etapas:

• Monte a equipe de resposta a incidentes. Este grupo deve incluir representantes das equipes de TI, gestão executiva, jurídica e relações públicas. Fundamentalmente, todos deveriam saber o seguinte muito antes de ocorrer uma crise real:
  • Como eles receberão a notificação de um incidente.
  • Suas funções e responsabilidades específicas.
  • Como se comunicar uns com os outros.
• Analise o incidente. Trabalhe o mais rápido possível para determinar até que ponto o malware se espalhou.
• Contenha o incidente. Desconecte e coloque imediatamente em quarentena quaisquer sistemas e dispositivos infectados, em um esforço para minimizar o impacto do malware. Idealmente, existe uma tecnologia de gerenciamento de rede que pode colocar em quarentena automaticamente endpoints que apresentam comportamento atípico, bloquear conexões de servidores C&C e bloquear segmentos de rede para evitar movimentos laterais. A automação pode acelerar drasticamente o processo de contenção quando o tempo é essencial. Depois de conter a infecção, verifique os recursos de backup para confirmar se estão intactos e seguros.
• Investigar. Reúna o máximo de informações possível sobre o ataque de ransomware e sua gravidade. Avalie resultados potenciais e faça recomendações aos tomadores de decisão executivos.
• Erradique o malware e recupere-se do incidente. Remova e substitua instâncias infectadas do sistema principal e limpe e restaure endpoints afetados com dados de backup limpos. Em seguida, verifique os dados restaurados para confirmar se o malware desapareceu. Por fim, altere todas as senhas do sistema, da rede e da conta.
• Contate os interessados. Comunique os detalhes do incidente às partes interessadas apropriadas, conforme determinado pelo plano de resposta a incidentes. Estes podem incluir partes interessadas internas, como funcionários e líderes executivos, e partes interessadas externas, como clientes, parceiros externos e autoridades policiais.
• Realizar atividades pós-incidente. Divulgue ataques a organizações governamentais e clientes conforme necessário, de acordo com os regulamentos de conformidade e as políticas da empresa. Confirme se todos os sistemas, dados e aplicações estão acessíveis e operacionais, sem vulnerabilidades pendentes que possam permitir que os invasores retornem ao ambiente.
• Realize análises e aprenda com o ataque. Assim que a poeira baixar e a organização voltar às operações normais, analise cuidadosamente os detalhes do ataque e identifique quaisquer lacunas de segurança que a organização precise resolver para evitar episódios futuros. Revise os esforços de resposta a incidentes, identifique as lições aprendidas e atualize o plano de resposta a incidentes adequadamente. Certifique-se de que a análise post-mortem não envolva apontar dedos ou atribuir culpas. Em vez disso, destaque a oportunidade de aprender com quaisquer erros e fortalecer futuros esforços de prevenção e resposta a ransomware.

Este conteúdo foi atualizado em março de 2024.