25 jan
Durante muito tempo a grande preocupação em relação à segurança tecnológica era o risco de roubos de dados ou invasões de redes. Todas as estratégias de defesa visavam essas vulnerabilidades. Até que, com o aumento vertiginoso de produção de dados corporativos e o valor deles para a gestão, passou a surgir um novo modelo de crime virtual, o ataque ransomware.
Nessa modalidade, em vez de roubar os dados, o objetivo é sequestrá-los, criptografando-os e cobrando um resgate para liberá-los. Apesar de o modus operandi ser diferente dos ataques mais tradicionais, a maneira como esse malware é adquirido é bem parecido com os seus antecessores. Podem vir em um arquivo, programa baixado de fontes não confiáveis ou em web sites poucos seguros.
Neste post, entenderemos melhor o que é ransomware, como é o funcionamento desses ataques, explicando detalhadamente os mais conhecidos, e como se prevenir. Confira!
O que é ransomware?
O ransomware é um software malicioso criado por criminosos virtuais com o intuito de impedir o acesso a sistemas ou arquivos, liberando somente após o pagamento de um resgate, geralmente feito por Bitcoins — moedas virtuais não rastreáveis.
A palavra ransomware já diz o que o software tem como objetivo, pois ransom em inglês é um termo que faz referência a resgate, por isso, não se trata de exagero quando alguém associa um ataque ransomware a um sequestro.
Como o ransomware é espalhado?
Os métodos de propagação dos ransomwares são parecidos com os utilizados na propagação de outros malwares e vírus. Os criminosos utilizam e-mails, redes sociais e sites clonados para esse objetivo. Aliado a isso, todos utilizam táticas de engenharia social, ou seja, a mensagem que a vítima recebe é sempre acompanhada de algum argumento forte, para que seja clicado em um link ou que seja baixado um anexo contendo o ransomware.
Enviam mensagens falsas
Em e-mails, por exemplo, é utilizada uma tática conhecida como phishing, em que os criminosos enviam mensagem como se fosse um órgão oficial, como os Correios, dizendo que a vítima tem uma entrega pendente e precisa clicar em um link para acessar as informações de rastreamento.
Há também mensagens se passando por notificações do ministério público, dizendo que a vítima foi convocada para uma audiência e precisa clicar no link para saber onde e quando. Tudo isso acompanhado de argumentos bem construídos e layout que remete a uma mensagem real. Ao clicar em um link ou anexo, o computador do usuário é invadido e seus arquivos sequestrados.
Camuflam o ransomware em aplicações
Outra forma de propagação de ransomwares é camuflando esses softwares como se fossem jogos ou aplicativos. A vítima entra em uma página que promove a aplicação, é convencida de que precisa daquele software e baixa, achando que é um software seguro. Após a instalação do software o ransomware contamina o computador ou smartphone.
Aproveitam brechas de segurança em softwares desatualizados
Os criminosos virtuais estão antenados com as atualizações dos sistemas operacionais e extensões de navegadores e utilizando essa informação para pegar desprevenido quem utiliza softwares desatualizados.
Quais são os principais métodos de aplicação do ransomware?
Há uma gama de métodos tecnológicos utilizados para a aplicação do ransomwares, mas duas se destacam, a criptografia, também chamada de crypto-ransomware e o bloqueio de tela, o locker-ransomware. Veja abaixo como são aplicados esses dois métodos.
Crypto-ransomware
Os ransomwares que utilizam a criptografia como base para o sequestro de dados são os que mais tem aparecido nos últimos anos. Há alguns motivos para o crescimento dessa metodologia, o primeiro é a evolução dos processadores, tanto nos computadores como nos smartphones, que entregam um poder de processamento suficiente para a rápida criptografia de dados.
O outro motivo tem a ver com a dificuldade que esse método impõe para a recuperação dos dados, afinal, somente quem tem as chaves criptográficos consegue decriptar as informações. Há uma motivação extra que justifica o crescimento dos crypto-ransomwares, é que, mesmo quando há a remoção do ransomware do sistema operacional, os arquivos continuam criptografados, aumentando as chances da vítima pagar o resgate.
A técnica de persuasão para o pagamento inclui valores de resgate mais baixos, fazendo com que a vítima pense no custo-benefício entre pagar, investir em recuperação ou perder os dados. Os criminosos apostam no ganho por quantidade de vítimas e não em um único resgate.
Uma das exceções para essa cobrança mais baixa é quando o crypto-ransomware consegue paralisar o sistema inteiro de uma empresa. Dependendo do tamanho da corporação, os criminosos chegam a cobrar na casa de centena de milhares de dólares.
Locker-ransomware
Os locker-ransomwares como o nome sugere, são aqueles em que o acesso aos dados é bloqueado. Esses modelos tendem a ser menos complexos do que os modelos com criptografia, mas não necessariamente mais fáceis de reverter. Para título de comparação, é como se o ransomware passasse um cadeado em uma grade e trancasse com uma fechadura. Para abrir esse cadeado a vítima teria que pagar um valor para os criminosos.
Esse bloqueio poderá ser feito de várias maneiras, sendo que as mais comuns trabalham com a mudança de senha — quando o criminoso se aproveita de uma vulnerabilidade do sistema para modificar a senha de acesso — ou por meio da exibição de uma tela que impede o acesso ao login. Há casos em que são utilizados em um único ransomware as duas metodologias, o locker e o crypto-ransomware ao mesmo tempo.
Quais são os principais ransomware?
Agora que já sabemos o que é um ransomware, a forma como são propagados e os métodos, vamos conhecer os principais modelos desse tipo de ataque. São modelos que já fizeram alguns estragos e muito deles ainda estão por aí. Confira!
GoldenEye
Um dos ransomwares mais conhecidos do mundo é o GoldenEye, que foi o responsável por um shutdown completo, travando os sistemas Ucranianos. O impacto desse ataque atingiu as redes bancárias, o sistema do maior aeroporto do país e a principal companhia elétrica. Três pontos cruciais para a sociedade, que se mostraram extremamente vulneráveis.
Isso ligou um alerta nos países vizinhos e ainda desperta atenção dos especialistas, que colocam esse ataque como um dos mais perigosos do mundo na atualidade. Na verdade, o GoldenEye é uma evolução dos ransomwares, pois, ao contrário do CryptoLocker, que encripta arquivos de um servidor, o GoldenEye consegue fazer isso com sistemas inteiros, dando prejuízos homéricos.
Essa característica mais agressiva impede que as máquinas sejam iniciadas e que as vítimas consigam, de alguma forma, acessar ou recuperar os dados sequestrados, causando parada completa da empresa ou órgão governamental atingido. Ainda, não será possível utilizar nenhuma funcionalidade do sistema. Um banco sem sistema, por exemplo, trava a economia como um todo, o que paralisa e causa pânico nos correntistas.
WannaCry
O WannaCry foi o ataque que deu repercussão mundial aos ransomwares, com destaque nos veículos de mídia nos quatro cantos do mundo. Não por acaso, o ataque foi o grande responsável por travar a infraestrutura de um hospital no Reino Unido e outros sistemas mundo afora.
Esse modelo é baseado em uma falha de segurança descoberta pela NSA e foi o grande responsável por um apagão na internet. Os criminosos pediam US$600 dólares para desbloquear o conteúdo de cada computador. Foi um grande susto mundial, as empresas e órgãos governamentais que não foram atingidos correram para buscar soluções de proteção.
A “vacina” para o WannaCry foi distribuída pela Microsoft, por meio de um patch de segurança disponibilizado pela corporação, que garante a proteção para todos os servidores que utilizam a seu sistema operacional a partir da versão Windows 7.
Locky
O Locky foi desenvolvido pelos mesmos hackers encarregados pela Dridex botnet, considerada uma das maiores redes de bots do mundo. Esse ransomware promove um ataque quase imperceptível, sem dar “sintomas”.
O Locky tem um diferencial que vai além de bloquear acesso a arquivos, ele impede que a vítima consiga abrir sua carteira de Bitcoins, armazenada em um determinado computador, pen drive ou servidor infectado.
Ainda não encontraram um método seguro de recuperação no caso de ataques do Locky, sendo o backup a melhor maneira que uma empresa tem para se prevenir dessa ameaça.
Petya
Assim como acontece com o GoldenEye, o Petya é um ataque capaz de ir muito além dos arquivos, travando um sistema inteiro. A diferença está no local em que o ataque é executado, enquanto o primeiro ataca o Master Table Files, o Petya vai direto no Master Boot Records e consegue resultados devastadores.
O primeiro sinal de que sistema está infectado com esse ransomware, é quando a vítima liga o computador e dá de cara com um desenho de uma caveira com dois ossos cruzados. A partir disso, começa uma verdadeira batalha para a empresa ou órgão governamental recuperar o seu sistema, e os criminosos tentam lucrar o máximo com esse desespero.
Felizmente, o Petya é um ataque que dá margem para uma boa equipe de TI conseguir recuperar os dados e reassumir o controle do computador.
zCrypt
Diferentemente dos ransomwares citados aqui, o zCrypt se comporta como um vírus clássico. Isso significa que ele não é adquirido por meio de um anexo de e-mail falso ou outros downloads de procedência duvidosa. A forma mais comum de infecção desse tipo de ataque é por meio do contato com hardwares infectados.
Em um primeiro momento, o zCrypt não ataca diretamente os arquivos, ele vai em busca dos que foram atualizados recentemente, para potencializar o impacto. Outra coisa que ele faz é causar um embaralhamento dos arquivos, tornando a recuperação nos modelos tradicionais quase impossível.
CryptoWall
O CryptoWall é um ransomware com enorme capacidade de disseminação orgânica e, cada vez mais, aumenta a sua incidência em sistemas corporativos. Esse modelo começou a ser “distribuído” em 2014 e apresenta múltiplas formas de encriptação como diferencial.
Uma das habilidades que esse malware tem é a de embaralhar os arquivos, mudando os nomes dificultando ao máximo a recuperação. A única forma de prevenção é o backup.
Jigsaw
Inspirado no protagonista da franquia de filmes “Jogos Mortais”, o Jigsaw Ransomware também tem aprontado suas “travessuras” mundo afora. Esse ataque começa com uma saudação, seguida por um pedido de resgate.
Os criminosos exigem um valor em dólares, convertidos em Bitcoin, que deve ser pago em 24 horas após o aviso, caso contrário, todos os arquivos serão deletados em até 72 horas. Para pressionar as vítimas, esse ataque promove a exclusão gradual dos arquivos até que o valor seja pago.
Como as empresas podem se proteger dos ransomwares?
Com tanta informação sobre os ransomwares, parece que estamos falando de um bicho de sete cabeças impossível de combater, não é mesmo? No entanto, a verdade é que os cuidados relacionados aos ransomwares não são muito diferentes do combate aos demais malwares. Veja abaixo algumas das práticas preventivas que podem ser adotadas para evitar esse tipo de ataque.
Busque sempre os sites oficiais
Recebeu um e-mail suspeito que parece oficial, vá até a página real da empresa ou órgão que enviou e confira se o contexto do e-mail é válido. Aproveite os múltiplos canais de informação que estão disponíveis e pergunte se o e-mail recebido realmente veio deles. Dê atenção especial aos e-mails com nomes vindo de bancos ou autoridades judiciais, principalmente os mais apelativos e com senso de urgência.
Tome cuidado com links de redes sociais
Fique atento aos links de redes sociais e aplicativos de mensagens instantâneas, como o WhatsApp, Messenger e Telegram, mesmo se o link vier de uma pessoa conhecida. Há uma onda de clonagens de smartphones e pode ser que a mensagem que você está recebendo não seja da pessoa que você acredita. Se você recebeu um link suspeito de algum amigo, entre em contato com ele e pergunte sobre, talvez ele ainda não saiba que seu aparelho foi clonado
Não baixe arquivos de sites não confiáveis
Por mais que muita gente ainda negligencie, baixar arquivos da web é algo muito sério e requer todo o cuidado. Um arquivo considerado inofensivo, como uma música em mp3, pode estar contaminado com códigos maliciosos.
Mantenha os softwares e extensões atualizados
As atualizações dos software não trazem apenas melhorias relacionadas a funcionalidade, elas corrigem vulnerabilidades de segurança, muita delas estudadas pelos criminosos virtuais. Manter todos os softwares atualizados, além das extensões e plugins de navegadores é uma excelente forma de prevenção contra ransomwares.
Uma boa maneira de reduzir a margem de erro, é trabalhando com softwares ambientados em nuvem, licenciados no modelo SaaS. Nesse modelo, as atualizações ficam por conta do desenvolvedor.
E aí, ficou preocupado com um ransomware? A primeira atitude que você deve ter é conhecer a fundo cada ataque e trabalhar na prevenção. Crie políticas de segurança, com controle de acessos e implemente um bom firewall, para reduzir os riscos dos colaboradores acessarem sites perigosos e que são verdadeiras encubadoras desses malwares.
Gostou do post? Então, siga nossas redes sociais e fique por dentro de todas as novidades.
