Ransomware é uma forma de malware que criptografa os arquivos da vítima. O atacante então exige um resgate da vítima para restaurar o acesso aos dados mediante o pagamento.
Os usuários recebem instruções sobre como pagar uma taxa para obter a chave de descriptografia. Os custos podem variar de algumas centenas a milhares de dólares, pagáveis aos cibercriminosos em Bitcoin.
Índice
ToggleComo funciona o ransomware
Existem vários vetores que o ransomware pode usar para acessar um computador. Um dos sistemas de entrega mais comuns é o spam de phishing - anexos que chegam à vítima em um e-mail, mascarados como um arquivo no qual eles devem confiar. Depois de baixados e abertos, eles podem assumir o controle do computador da vítima, especialmente se tiverem ferramentas de engenharia social integradas que induzem os usuários a permitir o acesso administrativo. Algumas outras formas mais agressivas de ransomware, como NotPetya , exploram brechas de segurança para infectar computadores sem a necessidade de enganar os usuários.
Existem várias coisas que o malware pode fazer depois de invadir o computador da vítima, mas, de longe, a ação mais comum é criptografar alguns ou todos os arquivos do usuário. Se você quiser os detalhes técnicos, o Instituto Infosec deu uma excelente olhada em como vários tipos de ransomware criptografam arquivos. Mas o mais importante a saber é que, ao final do processo, os arquivos não podem ser descriptografados sem uma chave matemática conhecida apenas pelo invasor. O usuário recebe uma mensagem explicando que seus arquivos agora estão inacessíveis e só serão descriptografados se a vítima enviar um pagamento em Bitcoin não rastreável ao invasor.
Em algumas formas de malware, o invasor pode alegar ser uma agência de aplicação da lei que fecha o computador da vítima devido à presença de pornografia ou software pirata nele e exige o pagamento de uma “multa”, talvez para tornar as vítimas menos propensas a relatar o ataque às autoridades. Mas a maioria dos ataques não se preocupa com esse fingimento. Também existe uma variação, chamada de vazamento ou doxware , em que o invasor ameaça divulgar dados confidenciais no disco rígido da vítima, a menos que um resgate seja pago. Mas como encontrar e extrair essas informações é uma proposta muito complicada para os invasores, o ransomware de criptografia é de longe o tipo mais comum.
Quem é o alvo do ransomware?
Existem várias maneiras diferentes pelas quais os invasores escolhem as organizações que visam com o ransomware . Às vezes, é uma questão de oportunidade: por exemplo, os invasores podem ter como alvo universidades porque eles tendem a ter equipes de segurança menores e uma base de usuários distinta que compartilha muitos arquivos, tornando mais fácil penetrar em suas defesas.
Por outro lado, algumas organizações são alvos tentadores porque parecem mais propensas a pagar um resgate rapidamente. Por exemplo, agências governamentais ou instalações médicas geralmente precisam de acesso imediato a seus arquivos. Os escritórios de advocacia e outras organizações com dados confidenciais podem estar dispostos a pagar para manter as notícias de um compromisso em segredo – e essas organizações podem ser especialmente sensíveis a ataques de vazamento.
ARTIGOS RECOMENDADOS
Mas não se sinta seguro se não se enquadrar nessas categorias: como observamos, alguns ransomware se espalham automática e indiscriminadamente pela Internet.
Como prevenir ransomware
Existem várias medidas defensivas que você pode tomar para evitar a infecção por ransomware . Essas etapas são, obviamente, boas práticas de segurança em geral, portanto, segui-las melhora suas defesas contra todos os tipos de ataques:
- Mantenha seu sistema operacional corrigido e atualizado para garantir que você tenha menos vulnerabilidades para explorar.
- Não instale software nem conceda a ele privilégios administrativos, a menos que saiba exatamente o que é e o que faz.
- Instale o software antivírus, que detecta programas maliciosos como ransomware assim que eles chegam, e o software na lista de permissões, que impede a execução de aplicativos não autorizados.
- E, é claro, faça backup de seus arquivos, com frequência e automaticamente! Isso não vai impedir um ataque de malware, mas pode tornar o dano causado por outro muito menos significativo.
Fatos e números do ransomware
Ransomware é um grande negócio. Há muito dinheiro em ransomware e o mercado se expandiu rapidamente desde o início da década. Em 2017, o ransomware resultou em US $ 5 bilhões em perdas , tanto em termos de resgates pagos e gastos e tempo perdido na recuperação de ataques. Isso representa um aumento de 15 vezes em relação a 2015. No primeiro trimestre de 2018, apenas um tipo de software de ransomware, SamSam, arrecadou US $ 1 milhão em dinheiro de resgate .
alguns mercados são particularmente propensos a ransomware – e a pagar o resgate. Muitos ataques de ransomware de alto perfil ocorreram em hospitais ou outras organizações médicas, tornando-se alvos tentadores: os invasores sabem que, com vidas literalmente em jogo, essas empresas têm mais probabilidade de simplesmente pagar um resgate relativamente baixo para resolver o problema. Estima-se que 45% dos ataques de ransomware visam organizações de saúde e, inversamente, que 85% das infecções por malware em organizações de saúde são ransomware . Outra indústria tentadora? O setor de serviços financeiros, que é, como Willie Sutton observou a famosa frase, onde está o dinheiro. Estima-se que 90 por cento das instituições financeiras foram alvo de um ataque de ransomware em 2017 .
O ransomware não é tão predominante quanto costumava ser. Se você quer uma boa notícia, é esta: o número de ataques de ransomware, depois de explodir em meados dos anos 10, diminuiu, embora os números iniciais fossem altos o suficiente para continuar. Mas, no primeiro trimestre de 2017, os ataques de ransomware representaram 60 por cento das cargas de malware; agora caiu para 5%.
Ransomware em declínio?
O que está por trás desse grande mergulho? Em muitos aspectos, é uma decisão econômica baseada na moeda de escolha do cibercriminoso: bitcoin. Extrair o resgate de uma vítima sempre foi um acerto ou erro; eles podem decidir não pagar ou, mesmo se quiserem, podem não estar familiarizados o suficiente com a bitcoin para descobrir como fazê-lo de fato.
Como Kaspersky aponta (link externo), o declínio no ransomware foi acompanhado por um aumento no chamado malware de criptomoeda , que infecta o computador da vítima e usa seu poder de computação para criar (ou minerar, no jargão da criptomoeda) bitcoin sem o dono saber. Este é um caminho legal para usar os recursos de outra pessoa para obter bitcoin que contorna a maioria das dificuldades em conseguir um resgate, e só se tornou mais atraente como um ataque cibernético à medida que o preço da bitcoin disparou no final de 2017.
Isso não significa que a ameaça acabou, no entanto. Existem dois tipos diferentes de atacantes de ransomware: ataques de “commodities” que tentam infectar computadores indiscriminadamente por grande volume e incluem as chamadas plataformas de “ransomware como serviço” que os criminosos podem alugar; e grupos direcionados que se concentram em organizações e segmentos de mercado particularmente vulneráveis. Você deve estar em guarda se estiver na última categoria, não importa se o grande boom de ransomware já passou.
Com o preço da bitcoin caindo ao longo de 2018, a análise de custo-benefício para os invasores pode voltar atrás. Em última análise, usar ransomware ou malware de criptomoeda é uma decisão comercial para os invasores, diz Steve Grobman, diretor de tecnologia da McAfee. “À medida que os preços das criptomoedas caem, é natural ver uma mudança de volta [para o ransomware].”
Você deve pagar o resgate?
Se o seu sistema foi infectado com malware e você perdeu dados vitais que não pode restaurar do backup, você deve pagar o resgate?
Ao falar teoricamente, a maioria das agências de aplicação da lei recomenda que você não pague aos atacantes de ransomware, na lógica de que fazer isso apenas incentiva os hackers a criar mais ransomware. Dito isso, muitas organizações que se veem afetadas por malware param rapidamente de pensar em termos do “bem maior” e começam a fazer uma análise de custo-benefício , pesando o preço do resgate em relação ao valor dos dados criptografados. De acordo com uma pesquisa da Trend Micro, enquanto 66% das empresas dizem que nunca pagariam um resgate por princípio, na prática 65% realmente pagam o resgate quando são atingidas.
Os atacantes de ransomware mantêm os preços relativamente baixos – geralmente entre US $ 700 e US $ 1.300, uma quantia que as empresas geralmente podem pagar em curto prazo. Algum malware particularmente sofisticado detectará o país onde o computador infectado está sendo executado e ajustará o resgate para corresponder à economia desse país, exigindo mais das empresas nos países ricos e menos daquelas nas regiões pobres.
Freqüentemente, são oferecidos descontos por atitudes rápidas, de modo a encorajar as vítimas a pagar rapidamente, antes de pensar muito a respeito. Em geral, o preço é definido de modo que seja alto o suficiente para valer a pena para o criminoso, mas baixo o suficiente para ser mais barato do que o que a vítima teria que pagar para restaurar o computador ou reconstruir os dados perdidos. Com isso em mente, algumas empresas estão começando a incluir a necessidade potencial de pagar resgate em seus planos de segurança: por exemplo, algumas grandes empresas do Reino Unido que não estão envolvidas com criptomoeda estão mantendo algum Bitcoin em reserva especificamente para pagamentos de resgate.
Há algumas coisas difíceis de lembrar aqui, tendo em mente que as pessoas com quem você está lidando são, é claro, criminosos. Primeiro, o que parece ser ransomware pode não ter realmente criptografado seus dados; certifique-se de não estar lidando com o chamado ” scareware ” antes de enviar dinheiro para qualquer pessoa. E, segundo pagar aos invasores não garante que você receberá seus arquivos de volta.
Exemplos de ransomware
Embora o ransomware já exista tecnicamente desde os anos 90, ele só decolou nos últimos cinco anos ou mais, em grande parte devido à disponibilidade de métodos de pagamento não rastreáveis como o Bitcoin. Alguns dos piores criminosos foram:
- CryptoLocker , um ataque de 2013, lançou a era moderna do ransomware e infectou até 500.000 máquinas em seu auge.
- TeslaCrypt direcionou arquivos de jogos e viu melhorias constantes durante seu reinado de terror.
- SimpleLocker foi o primeiro ataque de ransomware generalizado com foco em dispositivos móveis
- O WannaCry se espalhou de forma autônoma de computador para computador usando o EternalBlue, um exploit desenvolvido pela NSA e então roubado por hackers.
- NotPetya também usou o EternalBlue e pode ter feito parte de um ataque cibernético dirigido pela Rússia contra a Ucrânia.
- O Locky começou a se espalhar em 2016 e era ” semelhante em seu modo de ataque ao notório software bancário Dridex “. Uma variante, o Osiris , foi espalhada por meio de campanhas de phishing.
- Leatherlocker foi descoberto pela primeira vez em 2017 em dois aplicativos Android: Booster & Cleaner e Wallpaper Blur HD. Em vez de criptografar arquivos, ele bloqueia a tela inicial para impedir o acesso aos dados.
- Wysiwye, também descoberto em 2017, verifica a web em busca de servidores abertos de Remote Desktop Protocol (RDP). Em seguida, ele tenta roubar credenciais RDP para se espalhar pela rede.
- Cerber provou ser muito eficaz quando apareceu pela primeira vez em 2016, rendendo aos atacantes US $ 200.000 em julho daquele ano. Ele se aproveitou de uma vulnerabilidade da Microsoft para infectar redes.
- BadRabbit se espalhou por empresas de mídia na Europa Oriental e na Ásia em 2017.
- SamSam existe desde 2015 e tem como alvo principalmente organizações de saúde.
- O Ryuk apareceu pela primeira vez em 2018 e é usado em ataques direcionados contra organizações vulneráveis, como hospitais. Muitas vezes, é usado em combinação com outro malware, como o TrickBot.
- Maze é um grupo de ransomware relativamente novo conhecido por liberar dados roubados ao público se a vítima não pagar para decifrá-los.
- RobbinHood é outra variante do EternalBlue que colocou a cidade de Baltimore, em Maryland, de joelhos em 2019.
- GandCrab pode ser o ransomware mais lucrativo de todos os tempos. Seus desenvolvedores, que venderam o programa para cibercriminosos, reivindicaram mais de US $ 2 bilhões em pagamentos às vítimas em julho de 2019.
- O Sodinokibi tem como alvo os sistemas Microsoft Windows e criptografa todos os arquivos, exceto os arquivos de configuração. Está relacionado ao GandCrab
- Thanos é o ransomware mais recente desta lista, descoberto em janeiro de 2020. É vendido como ransomware como serviço. É o primeiro a usar a técnica RIPlace, que pode ignorar a maioria dos métodos anti-ransomware.
- Esta lista só vai ficar mais longa. Siga as dicas listadas aqui para se proteger.