Site Overlay

Tudo sobre Ransomware

Conhecido como o malware do resgate, ou simplesmente ransomware … Os ataques ameaças cibernéticas estão cada vez mais sofisticadas, e é por isso que vamos falar sobre o barulho do momento que é ransomware.

Você provavelmente já ouviu falar sobre isso em alguma revista, na Internet ou alguém no escritório sobre sequestro de sistemas e rede de computares.

Tudo sobre Ransomware

O mais comum são pop-ups na tela do computador de anti-vírus avisando sobre a possível infecção por ransomware.

Bem, se você está curioso para saber mais o que tem de tão especial nessa ferramenta de ataque hacker chamada ransomware, você esta no lugar correto.

Existem diferentes formas do ransomware ser utilizado, você vai entender: o que é, como é, de onde veio, para quem é direcionado e o que fazer para se proteger dessa ameaça.

O que é ransomware?

Ransomware ou “o malware de resgate“. Esse tipo de malware é usado para impedir que os usuários acessem seus próprios arquivos pessoais ou do sistema e o sequestrador exige pagamento para recuperação do acesso.

As primeiras variantes do ransomware foram desenvolvidas no final da década de 1980 e o pagamento era enviado por correio tradicional.

Hoje, os autores de ransomware ordenam que o pagamento seja enviado por criptomoeda ou cartão de crédito.

Como se infectar com o ransomware?

Existem várias maneiras diferentes do ransomware infectar um computador, atualmente, um dos métodos mais comuns é o spam, malspam, email malicioso ou email indesejado, que é um email não solicitado usado para entregar malware.

O email pode incluir anexos bloqueados, como PDFs ou documentos do Word. Também pode conter links para sites maliciosos.

O Malspam

O Malspam usa a engenharia social para induzir as pessoas a abrir anexos ou clicar em links por parecerem legítimas – seja por parecer de uma instituição confiável ou de um amigo.

Os cibercriminosos usam a engenharia social em outros tipos de ataques de ransomware, como se passar pela Receita ou Polícia Federal, a fim de assustar os usuários e pagar uma quantia em dinheiro para desbloquear seus arquivos.

O Malvertising

Outro método popular de infecção, que atingiu seu pico em 2016, é a publicidade maliciosa. Malvertising, ou publicidade maliciosa, é o uso de publicidade online para distribuir malware com pouca ou nenhuma interação do usuário.

Enquanto navega na web, mesmo em sites legítimos, os usuários podem ser direcionados para servidores criminosos sem nunca clicar em um anúncio.

Esses servidores catalogam detalhes sobre os computadores das vítimas e seus locais e, em seguida, selecionam o malware mais adequado para a entrega.

Muitas vezes, esse malware é ransomware.

O Malvertising geralmente usa um iframe infectado ou um elemento invisível da página da web para fazer seu trabalho.

O iframe é redirecionado para uma página de destino de exploração e o código malicioso ataca o sistema a partir da página de destino através do  kit de exploração.

Tudo isso acontece sem o conhecimento do usuário, e é por isso que geralmente é chamado de drive-by-download.

Tipos de ransomware

Tipos de ransomware

Existem três tipos principais de ransomware, variando em gravidade, desde levemente desanimadores até crise de mísseis cubanos, perigosa. Eles são os seguintes:

Scareware

O Scareware, como se vê, não é tão assustador. Inclui softwares de segurança não autorizados e golpes de suporte técnico.

Você pode receber uma mensagem pop-up alegando que o malware foi descoberto e a única maneira de se livrar dele é pagando. Se você não fizer nada, provavelmente continuará sendo bombardeado com pop-ups, mas seus arquivos são essencialmente seguros.

Um programa legítimo de software de segurança cibernética não solicitaria clientes dessa maneira. Se você ainda não possui o software desta empresa no seu computador, eles não o monitorariam quanto à infecção por ransomware.

Se você possui um software de segurança, não precisaria pagar para remover a infecção – já pagou pelo software para realizar esse trabalho.

Screen lockers

O bloqueio de tela ( Screen Lockers ). Essa atualização parte para o alerta de terror. Quando o ransomware com tela de bloqueio entra no computador do usuário, isso significa que a máquina está totalmente congelada.

Ao iniciar o computador, uma janela em tamanho grande aparecerá e, frequentemente acompanhada por um selo oficial de autoridade como o da Policia Federal ou do Departamento de Justiça do Brasil ou órgãos públicos do país do usuário.

Em geral, dizem que houve atividades ilegais detectadas no computador e você deve pagar uma multa.

No entanto, nenhum Órgão de Justiça congelaria o computador ou exigiria pagamento por atividades ilegais. Se suspeitassem mesmo de pirataria, pornografia infantil ou outros crimes cibernéticos, eles passariam pelos canais legais apropriados e a prisão do infrator seria inevitável.

Encrypting ransomware

Este é realmente uma das partes desagradável desse esquema. Esse tipo de ataque com ransomware pega os arquivos de um computador ou sistema e os criptografam, depois exigem pagamento para descriptografar ou reenviar.

A razão pela qual esse tipo de ransomware é tão perigoso é que, assim que os cibercriminosos obtêm seus arquivos, nenhum software de segurança ou restauração do sistema pode devolvê-los a você senão quem o corrompeu.

A menos que você pague o resgate – na maioria das vezes, eles não cumprem o prometido, ou seja, mesmo que você pague para liberar os arquivos, não há nenhuma garantia de que os cibercriminosos devolverão esses arquivos intactos.

A história do ransomware

O primeiro ransomware, conhecido como PC Cyborg ou AIDS, foi criado no final dos anos 80. O PC Cyborg criptografaria todos os arquivos no diretório C: após 90 reinicializações e exigiria que o usuário renovasse sua licença enviando US$ 189 por correio para a PC Cyborg Corp.

A criptografia usada era simples o suficiente para reverter, por isso representava pouca ameaça para aqueles que eram experientes em computadores.

Com poucas variantes surgindo nos próximos 10 anos, uma verdadeira ameaça de ransomware não chegaria a cena até 2004, quando o GpCode usou a criptografia RSA fraca para armazenar arquivos pessoais para resgate.

Em 2007, o WinLock anunciou o surgimento de um novo tipo de ransomware que, em vez de criptografar arquivos, bloqueava as pessoas de seus computadores. O WinLock assumia a tela da vítima exibindo imagens pornográficas.

Em seguida, exigia um pagamento via SMS para removê-los.

Com o desenvolvimento da “família de resgate“, surgiu o Reveton em 2012, essa era uma nova forma de ransomware: o ransomware de aplicação da lei.

As vítimas seriam trancadas fora da área de trabalho e mostradas uma página de aparência oficial que incluía credenciais para agências policiais, como o FBI e a Interpol. O ransomware alegaria que o usuário havia cometido um crime, como invasão de computadores, download de arquivos ilegais ou até envolvimento com pornografia infantil.

A maioria das “famílias de ransomware de aplicação da lei” exigia que uma multa fosse paga de US$ 100 a US$ 3.000 com um cartão pré-pago, como UKash ou PaySafeCard.

Os usuários comuns e usuários médios não sabiam o que pensar disso e muitos realmente acreditavam que estavam realmente sob investigação da polícia.

Essa tática de engenharia social, agora chamada de “culpa implícita“, faz com que o usuário questione sua própria inocência e, em vez de ser chamado para uma atividade da qual não se orgulha, pague o resgate para que tudo desapareça.

Em 2013, o CryptoLocker reintroduziu o mundo na criptografia de ransomware – só que desta vez era muito mais perigoso. O CryptoLocker usou criptografia de nível militar e armazenou a chave necessária para desbloquear arquivos em um servidor remoto.

Isso significava que era praticamente impossível para os usuários recuperar seus dados sem pagar o resgate. Esse tipo de ransomware de criptografia ainda está em uso atualmente, pois provou ser uma ferramenta incrivelmente eficaz para os criminosos cibernéticos ganharem dinheiro.

Surtos de grande escala de ransomware, como o WannaCry em maio de 2017 e o Petya em junho de 2017, usavam ransomware de criptografia para prender usuários e empresas em todo o mundo.

No final de 2018, Ryuk entrou em cena no ransomware com uma série de ataques a publicações de notícias americanas, bem como à Onslow Water and Sewer Authority da Carolina do Norte.

Em uma reviravolta interessante, os sistemas direcionados foram infectados com o Emotetou o TrickBot, duas variantes que roubam usando cavalos de Tróia que agora estão sendo usadas para fornecer outras formas de malware como o Ryuk, por exemplo.

O Emotet e o TrickBot estão sendo usados ​​para encontrar alvos de alto valor. Depois que um sistema é infectado e sinalizado como um bom alvo para ransomware, o Emotet / TrickBot reinfecta o sistema com o Ryuk.

Em notícias recentes, os criminosos por trás do ransomware Sodinokibi ( um suposto ramo do GandCrab ) começaram a usar os provedores de serviços gerenciados ( MSP ) para espalhar infecções.

Em agosto de 2019, centenas de consultórios odontológicos em todo o país descobriram que não podiam mais acessar seus registros de pacientes.

Os invasores usaram um MSP comprometido, neste caso uma empresa de software de registros médicos, para infectar diretamente mais de 400 consultórios odontológicos usando o software de manutenção de registros.

Mac ransomware

Mac ransomware

Nenhum sistema operacional foi deixado de fora do jogo de infectar sistemas com o ransomware, os autores de malware criaram o primeiro ransomware para Mac OS em 2016. Chamado KeRanger, o ransomware infectava um aplicativo chamado Transmission que, quando iniciado, copiava arquivos maliciosos que permaneciam em execução silenciosa em segundo plano, e em apenas três dias eles detonavam o sistema criptografando todos os arquivos.

Felizmente, o XProtect, um programa anti-malware da Apple, lançou uma atualização logo após a descoberta do ransomware que o impediria de infectar os sistemas do usuário. No entanto, o ransomware para Mac não é mais teórico.

Ransomware móvel

Foi apenas no auge do famoso CryptoLocker e de outras famílias semelhantes em 2014 que o ransomware foi visto em larga escala em dispositivos móveis.

O ransomware móvel ou “ransomware mobile”, normalmente exibe uma mensagem de que o dispositivo foi bloqueado devido a algum tipo de atividade ilegal.

A mensagem indica que o telefone será desbloqueado após o pagamento de uma taxa. O ransomware mobile geralmente é entregue por aplicativos mal-intencionado baixado e rodado no sistema, e que depois do pagamento o usuário pode inicializar o celular no modo de segurança e excluir o aplicativo infectado para recuperar o acesso ao seu dispositivo móvel.

Quem são os alvos dos autores de ransomware?

Quando o ransomware foi introduzido ( e depois reintroduzido ), suas vítimas iniciais eram sistemas pessoais e individuais ( também conhecidos como computadores de pessoas comuns ).

No entanto, os cibercriminosos começaram a perceber todo o seu potencial quando lançaram ransomware para infectarem sistemas de empresas.

O ransomware foi tão bem-sucedido atacando as empresas por causarem interrupção na produtividade e resultando em perda de dados e de receita, que seus autores voltaram a repetir a maioria dos ataques contra as mesmas empresas.

Estatísticas ransomware

Até o final de 2016, 12,3% das detecções globais corporativas de sistemas invadidos eram por ransomware, enquanto apenas 1,8% das detecções de consumidores comuns eram por ransomware em todo o mundo.

E até 2017, 35% das pequenas e médias empresas haviam sofrido um ataque de ransomware.

Geograficamente, os ataques de ransomware ainda estão focados nos mercados ocidentais, com EUA, Reino Unido e Canadá no ranking dos três principais países alvos, respectivamente.

Assim como acontece com outros tipos de ameaças cibernéticas, os autores de ransomware seguem onde o dinheiro esta, portanto, procuram áreas que tenham amplo uso de PC e riqueza relativa.

Vale mencionar que à medida que os mercados emergentes como a Ásia, América do Sul e Brasil aumentam o crescimento econômico, é fato que deve haver um aumento de empresas com problemas com o ransomware ( e também outras formas de malware além dos rookit ).

O que fazer ao ser infectado com ransomware?

A regra número um, se você estiver infectado com ransomware, é nunca pagar o resgate. ( Agora esse é o conselho endossado pelas autoridades. )

Tudo o que se faz ao pagar um resgate é incentivar os cibercriminosos a lançar novos ataques adicionais contra você ou outra pessoa. No entanto, você pode recuperar alguns arquivos criptografados usando descriptografadores gratuitos.

Para ser claro: nem todas as famílias de ransomware tiveram decifradores criados para elas, em muitos casos porque o ransomware está utilizando algoritmos de criptografia avançados e sofisticados.

E mesmo que exista um decodificador, nem sempre é claro se é a versão correta do malware, e você não vai desejar criptografar ainda mais seus arquivos usando o script de descriptografia errado.

Portanto, é preciso prestar muita atenção à mensagem de resgate em si, ou talvez solicitar o conselho de um especialista em segurança cibernética ou TI antes de tentar qualquer coisa.

Outras maneiras de lidar com uma infecção por ransomware incluem o download de um produto de segurança conhecido por correção e a execução de uma verificação para remover a ameaça. Em muitas infecções pode ser que não consiga recuperar todos os seus arquivos, mas pode ter certeza de que a infecção será limpa.

Dicas para limpar o ransomware do sistema

  • Para o ransomware de bloqueio de tela ( Screen Lockers ), uma restauração completa do sistema pode ser a ordem correta. Se isso não funcionar, tente executar uma digitalização a partir de uma unidade de CD ou USB inicializável.
  • Se você quiser tentar impedir uma infecção por ransomware criptografada em ação, precisará ficar particularmente vigilante.
  • Se você notar que seu sistema está desacelerando sem motivo aparente, desligue-o e desconecte-o da Internet.
  • Se, depois de inicializar novamente, o malware ainda estiver ativo, ele não poderá enviar ou receber instruções do servidor de comando e controle. Isso significa que, sem uma chave ou forma de extrair o pagamento, o malware pode permanecer ocioso. Nesse ponto, baixe e instale um produto de segurança e execute uma verificação completa.

Como se proteger do ransomware?

Os especialistas em segurança concordam que a melhor maneira de se proteger do ransomware é impedir que isso aconteça em primeiro lugar.

Embora existam métodos para lidar com uma infecção por ransomware, eles são soluções imperfeitas, na melhor das hipóteses, e geralmente exigem muito mais habilidade técnica do que o usuário médio do computador.

Então, aqui está o que recomendamos que as pessoas façam para evitar consequências de ataques de ransomware.

O primeiro passo na prevenção de ransomware é investir em uma incrível segurança cibernética – um programa com proteção em tempo real projetado para impedir ataques avançados de malware, como o ransomware.

Você também deve procurar por recursos que protejam os programas vulneráveis ​​contra ameaças ( uma tecnologia anti-exploração ) e bloqueiem o ransomware de manter os arquivos como reféns ( um componente anti-ransomware ).

Em seguida, por mais que lhe pareça chato fazer isso, você precisa criar backups seguros de seus dados regularmente.

A recomendação é usar o armazenamento em nuvem que inclui criptografia de alto nível e autenticação de múltiplos fatores.

No entanto, você pode adquirir USBs ou um disco rígido externo onde pode salvar arquivos novos ou atualizados – desconecte fisicamente os dispositivos do computador após fazer o backup, caso contrário eles também poderão ser infectados com ransomware.

Em seguida, verifique se seus sistemas e software estão atualizados.

Em um caso recente, o surto de ransomware WannaCry aproveitou uma vulnerabilidade no software da Microsoft. Embora a empresa tenha lançado um patch para a brecha de segurança em março de 2017, muitas pessoas não instalaram a atualização – o que as deixou abertas a ataques.

Sabemos o quanto é difícil manter-se no topo de uma lista sempre crescente de atualizações sempre crescente de software e aplicativos usados ​​em sua vida diária. É por isso que recomendamos alterar suas configurações para ativar a atualização automática.

Por fim, mantenha-se bem informado. Uma das maneiras mais comuns de os computadores serem infectados com ransomware é através da engenharia social.

Eduque-se, previna-se e preocupe-se com segurança cibernética. Ensine seus funcionários, se você for proprietário de uma empresa sobre o básico de segurança na Web:

  • Como detectar mal-spam.
  • Como detectar sites suspeitos e;
  • Como identificar golpes da Internet.

E, acima de tudo, exercite o bom senso. Se parece ser suspeito, provavelmente é.

Como o ransomware afeta meus negócios?

GandCrab, SamSam, WannaCry, NotPetya – todos são tipos diferentes de ransomware estão afetando bastante os negócios e o empreededorismo em geral. De fato, os ataques de ransomware às empresas aumentaram 88% no segundo semestre de 2018, tem crescido em 2019 à medida que os cibercriminosos se desviam dos ataques focados no consumidor.

Os cibercriminosos reconhecem que grandes empresas se traduzem em grandes retornos, visando hospitais, agências governamentais e instituições comerciais.

No total, o custo médio de uma violação de dados, incluindo correções, multas e pagamentos de ransomware, em empresas de médio e grande porte pode chega a US$ 3,86 milhões.

A maioria dos casos de ransomware recentemente foram identificados como GandCrab.

Detectado pela primeira vez em janeiro de 2018, o GandCrab já passou por várias versões, e à medida que os autores da ameaça tornam seu ransomware mais difícil de se defender e fortalecem sua criptografia, estima-se que essa última versão já arrecadou algo em torno de US$ 300 milhões em resgates pagos, com resgates pessoais entre US$ 600 a US$ 700.000.

Em outro ataque notável ocorrido em março de 2018, o ransomware SamSam paralisou a cidade de Atlanta desativando vários serviços essenciais da cidade – incluindo a coleta de receita e o sistema de manutenção de registros policiais.

No total, o ataque do SamSam custou a Atlanta US$ 2,6 milhões para remediar.

Considerando a enxurrada de ataques de ransomware e o tremendo custo associado a eles, agora é um bom momento para ficar esperto ao proteger seus negócios contra ransomware.

Como proteger sua empresa contra malware

Nesse artigo cobrimos o tópico com grandes detalhes, esperamos que tenha gostado, contudo, abaixo listamos um rápido resumo de como proteger sua empresa contra malware ransomware de forma eficaz.

  • Faça backup de seus dados. Supondo que você tenha backups disponíveis, se livrar de um ataque de ransomware fica tão simples quanto limpar e reinstalar seus sistemas infectados. Convém verificar seus backups para garantir que eles não tenham sido infectados, porque alguns ransomware foram projetados para procurar compartilhamentos de rede. Desta forma você faria bem em armazenar backups de dados em um servidor em nuvem seguro com criptografia de alto nível e autenticação de múltiplos fatores.
  • Corrija e atualize seu software. O ransomware geralmente depende de kits de exploração para obter acesso ilícito a um sistema ou rede ( por exemplo, GandCrab ). Desde que o software em sua rede esteja atualizado, os ataques de ransomware baseados em exploração não podem prejudicá-lo. Nessa nota, se o seu computador e o de sua empresa opera com software obsoleto ou desatualizado, você corre o risco do ransomware te pegar, porque os fabricantes de software não estão mais lançando atualizações de segurança. Livre-se do abandonware ( Abandonware é um software arquivado por seu desenvolvedor. Como tal, ele não é mais atualizado nem suportado, portanto pode estar repleto de vulnerabilidades. ) e substitua-o por software ainda suportado por fabricantes em ação.
  • Eduque seus usuários finais contra spam e crie senhas fortes. Os cibercriminosos por trás do Emotet estão usando o antigo Trojan bancário como veículo de entrega do ransomware. O Emotet conta com o spam para infectar um usuário final e se posicionar na sua rede. Uma vez na sua rede, o Emotet mostra um comportamento semelhante a um verme, espalhando-se de sistema em sistema usando uma lista de senhas comuns. Ao aprender a identificar mal-spam e implementar a autenticação multifatorial, você estará um passo à frente dos cibercriminosos.
  • Invista em boa tecnologia de segurança cibernética. Adquira um software de proteção que ofereça recursos de detecção, resposta e correção do ransomware através de um agente conveniente em toda a sua rede.

O que você deve fazer se for vítima do ransomware?

Ninguém quer lidar com ransomware até que aconteça.

Mas, se for infectado:

  • Verifique e veja se há um decodificador. Em alguns casos raros, você pode descriptografar seus dados sem pagar, mas as ameaças de ransomware evoluem constantemente com o objetivo de tornar cada vez mais difícil descriptografar seus arquivos para não ter esperanças.
  • Não pague o resgate. A prímicia defendida é não pagar pelo resgate, principalmente porque os cibercriminosos não têm escrúpulos e não há garantia de que você vai recuperar seus arquivos.

Lembre-se que pagando o resgate, você está mostrando aos cibercriminosos que os ataques de ransomware funcionam.

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *