O que é ransomware?

ransomware é um malware projetado para negar a um usuário ou organização o acesso aos arquivos em seu computador. Ao criptografar esses arquivos e exigir o pagamento de um resgate pela chave de descriptografia, os ciberataques colocam as organizações em uma posição em que pagar o resgate é a maneira mais fácil e barata de recuperar o acesso aos seus arquivos. Algumas variantes adicionaram funcionalidades adicionais – como roubo de dados – para fornecer incentivo adicional para que as vítimas de ransomware paguem o resgate.

O ransomware rapidamente se tornou o mais proeminente e tipo visível de malware. Os recentes ataques de ransomware afetaram a capacidade dos hospitais de fornecer serviços cruciais, prejudicaram os serviços públicos nas cidades e causaram danos significativos a várias organizações.

Ransomware Prevention CISO Guide Fale com um especialista

Ataque de ransomware – o que é e como funciona?

Por que estão surgindo ataques de ransomware?

A mania moderna do ransomware começou com o surto do WannaCry em 2017. Este ataque em grande escala e altamente divulgado demonstrou que os ataques de ransomware eram possíveis e potencialmente lucrativos. Desde então, dezenas de variantes de ransomware foram desenvolvidas e usadas em diversos ataques.

The COVID-19 pandemic also contributed to the recent surge in ransomware. As organizations rapidly pivoted to remote work, gaps were created in their cyber defenses. Cybercriminals have exploited these vulnerabilities to deliver ransomware, resulting in a surge of ransomware attacks.

In an age dominated by digital risks, a staggering 71% of companies have encountered ransomware attacks, resulting in an average financial loss of $4.35 million per incident.

In the year 2023 alone, attempted ransomware attacks have targeted 10% of organizations globally. This marks a notable rise from the 7% of organizations facing similar threats in the previous year, representing the highest rate recorded in recent years.

Como funciona o ransomware

Para ter sucesso, o ransomware precisa obter acesso a um sistema alvo, criptografar os arquivos e exigir um resgate da vítima.
Embora os detalhes de implementação variem de uma variante de ransomware para outra, todas compartilham os mesmos três estágios principais

  • Passo 1. Vetores de infecção e distribuição

O ransomware, como qualquer malware, pode obter acesso aos sistemas de uma organização de diversas maneiras. No entanto, os operadores de ransomware tendem a preferir alguns vetores de infecção específicos.

Um deles são os e-mails de phishing. Um e-mail malicioso pode conter um link para um site que hospeda um download malicioso ou um anexo que possui funcionalidade de download integrada. Se o destinatário do e-mail cair no phishing, o ransomware será baixado e executado em seu computador.

Outro vetor popular de infecção por ransomware aproveita serviços como o Remote Desktop Protocol (RDP). Com o RDP, um invasor que roubou ou adivinhou as credenciais de login de um funcionário pode usá-las para autenticar e acessar remotamente um computador na rede corporativa. Com esse acesso, o invasor pode baixar diretamente o malware e executá-lo na máquina sob seu controle.

Outros podem tentar infectar sistemas diretamente, como o WannaCry explorou a vulnerabilidade EternalBlue. A maioria das variantes de ransomware possui múltiplos vetores de infecção.

  • Passo 2. Criptografia de dados

 Depois que o ransomware obtém acesso a um sistema, ele pode começar a criptografar seus arquivos. Como a funcionalidade de criptografia está integrada em um sistema operacional, isso envolve simplesmente acessar arquivos, criptografá-los com uma chave controlada pelo invasor e substituir os originais pelas versões criptografadas. A maioria das variantes de ransomware são cautelosas na seleção de arquivos a serem criptografados para garantir a estabilidade do sistema. Algumas variantes também tomarão medidas para excluir cópias de backup e sombra de arquivos para dificultar a recuperação sem a chave de descriptografia.

  • Etapa 3. Exigência de resgate

Assim que a criptografia do arquivo for concluída, o ransomware estará preparado para exigir um resgate. Diferentes variantes de ransomware implementam isso de várias maneiras, mas não é incomum ter um fundo de exibição alterado para uma nota de resgate ou arquivos de texto colocados em cada diretório criptografado que contém a nota de resgate. Normalmente, essas notas exigem uma determinada quantia de criptomoeda em troca do acesso aos arquivos da vítima. Se o resgate for pago, o operador do ransomware fornecerá uma cópia da chave privada usada para proteger a chave de criptografia simétrica ou uma cópia da própria chave de criptografia simétrica. Essas informações podem ser inseridas em um programa descriptografador (também fornecido pelo cibercriminoso) que pode usá-las para reverter a criptografia e restaurar o acesso aos arquivos do usuário.

Embora essas três etapas principais existam em todas as variantes de ransomware, diferentes ransomwares podem incluir diferentes implementações ou etapas adicionais. Por exemplo, variantes de ransomware como o Maze realizam verificação de arquivos, informações de registro e roubo de dados antes da criptografia de dados, e o ransomware WannaCry verifica outros dispositivos vulneráveis para infectar e criptografar.

Types of Ransomware Attacks

Ransomware has evolved significantly over the past few years. Some important types of ransomware and related threats include:

  • Double Extortion: Double-extortion ransomware like Maze combines data encryption with data theft. This technique was developed in response to organizations refusing to pay ransoms and restoring from backups instead. By stealing an organization’s data as well, the cybercriminals could threaten to leak it if the victim doesn’t pay up.
  • Triple Extortion: Triple extortion ransomware adds a third extortion technique to double extortion. Often, this includes demanding a ransom from the victim’s customers or partners or performing a distributed denial-of-service (DDoS) attack against the company as well.
  • Locker Ransomware: Locker ransomware is ransomware that doesn’t encrypt the files on the victim’s machine. Instead, it locks the computer — rendering it unusable to the victim — until the ransom has been paid.
  • Crypto Ransomware: Crypto ransomware is another name for ransomware that underscores the fact that ransomware payments are commonly paid in cryptocurrency. The reason for this is that cryptocurrencies are digital currencies that are more difficult to track since they’re not managed by the traditional financial system.
  • Wiper: Wipers are a form of malware that is related to but distinct from ransomware. While they may use the same encryption techniques, the goal is to permanently deny access to the encrypted files, which may include deleting the only copy of the encryption key.
  • Ransomware as a Service (RaaS): RaaS is a malware distribution model in which ransomware gangs provide “affiliates” with access to their malware. These affiliates infect targets with the malware and split any ransom payments with the ransomware developers.
  • Data-Stealing Ransomware: Some ransomware variants have focused on data theft, abandoning data encryption entirely. One reason for this is that encryption can be time-consuming and easily detectable, providing an organization with an opportunity to terminate the infection and protect some files from encryption.

Variantes populares de ransomware

Existem dezenas de variantes de ransomware, cada uma com suas características únicas. No entanto, alguns grupos de ransomware têm sido mais prolíficos e bem-sucedidos do que outros, fazendo com que se destaquem da multidão.

1. Ryuk

Ryuk é um exemplo de variante de ransomware muito direcionada. Geralmente é entregue por meio de e-mails de spear phishing ou usando credenciais de usuário comprometidas para fazer login em sistemas corporativos usando o Remote Desktop Protocol (RDP). Depois que o sistema é infectado, o Ryuk criptografa certos tipos de arquivos (evitando aqueles que são cruciais para a operação do computador) e, em seguida, apresenta um pedido de resgate.

Ryuk é conhecido como um dos tipos de ransomware mais caros que existem. Ryuk exige resgates que média acima de US$ 1 milhão. Como resultado, os cibercriminosos por trás do Ryuk concentram-se principalmente em empresas que possuem os recursos necessários para atender às suas demandas.

2. Labirinto

O Labirinto ransomware é famoso por ser a primeira variante de ransomware a combine criptografia de arquivos e roubo de dados. Quando os alvos começaram a se recusar a pagar resgates, o Maze começou a coletar dados confidenciais dos computadores das vítimas antes de criptografá-los. Se as exigências de resgate não fossem atendidas, esses dados seriam expostos publicamente ou vendidos ao licitante com lance mais alto. O potencial para uma dispendiosa violação de dados foi usado como incentivo adicional para pagar.

O grupo por trás do ransomware Maze encerrou oficialmente suas operações. No entanto, isso não significa que a ameaça do ransomware tenha sido reduzida. Alguns afiliados do Maze passaram a usar o ransomware Egregor, e acredita-se que as variantes Egregor, Maze e Sekhmet tenham uma fonte comum.

3.REvil (Sodinokibi)

O grupo REvil (também conhecido como Sodinokibi) é outra variante de ransomware voltada para grandes organizações.

REvil é uma das famílias de ransomware mais conhecidas da rede. O grupo de ransomware, operado pelo grupo REvil de língua russa desde 2019, foi responsável por muitas grandes violações, como ‘Kaseya’ e ‘JBS’

Ele competiu com Ryuk nos últimos anos pelo título de variante de ransomware mais cara. REvil é conhecido por ter exigiu pagamentos de resgate de US$ 800.000.

Embora o REvil tenha começado como uma variante tradicional de ransomware, ele evoluiu ao longo do tempo-
Eles estão usando a técnica de Dupla Extorsão – para roubar dados de empresas e ao mesmo tempo criptografar os arquivos. Isto significa que, além de exigir um resgate para desencriptar os dados, os atacantes podem ameaçar libertar os dados roubados se um segundo pagamento não for feito.

4. Bloqueio

LockBit é um malware de criptografia de dados em operação desde setembro de 2019 e um recente ransomwarecomo serviço (RaaS). Este ransomware foi desenvolvido para criptografar rapidamente grandes organizações, como forma de impedir sua detecção rápida por dispositivos de segurança e equipes de TI/SOC. 

5. Querido Choro

Em março de 2021, a Microsoft lançou patches para quatro vulnerabilidades nos servidores Microsoft Exchange. DearCry é uma nova variante de ransomware projetada para tirar vantagem de quatro vulnerabilidades recentemente divulgadas no Microsoft Exchange

O ransomware DearCry criptografa certos tipos de arquivos. Assim que a criptografia for concluída, o DearCry mostrará uma mensagem de resgate instruindo os usuários a enviar um e-mail aos operadores de ransomware para saber como descriptografar seus arquivos.

6. Lapso$

Lapsus$ é uma gangue de ransomware sul-americana que tem sido associada a ataques cibernéticos contra alguns alvos importantes. A gangue cibernética é conhecida por extorsão, ameaçando divulgar informações confidenciais, caso as exigências de suas vítimas não sejam feitas. O grupo se vangloriou de ter invadido Nvidia, Samsung, Ubisoft e outros. O grupo usa código-fonte roubado para disfarçar arquivos de malware como confiáveis.

How Does Ransomware Affect Businesses?

A successful ransomware attack can have various impacts on a business. Some of the most common risks include:

  • Financial Losses: Ransomware attacks are designed to force their victims to pay a ransom. Additionally, companies can lose money due to the costs of remediating the infection, lost business, and potential legal fees.
  • Data Loss: Some ransomware attacks encrypt data as part of their extortion efforts. Often, this can result in data loss, even if the company pays the ransom and receives a decryptor.
  • Data Breach: Ransomware groups are increasingly pivoting to double or triple extortion attacks. These attacks incorporate data theft and potential exposure alongside data encryption.
  • Downtime: Ransomware encrypts critical data, and triple extortion attacks may incorporate DDoS attacks. Both of these have the potential to cause operational downtime for an organization.
  • Brand Damage: Ransomware attacks can harm an organization’s reputation with customers and partners. This is especially true if customer data is breached or they receive ransom demands as well.
  • Legal and Regulatory Penalties: Ransomware attacks may be enabled by security negligence and may include the breach of sensitive data. This may open up a company to lawsuits or penalties being levied by regulators.

Common Ransomware Target Industries

Ransomware can target any company across all industry verticals. However, ransomware is commonly deployed as part of a cybercrime campaign, which is often targeted at a particular industry. The top five ransomware target industries in 2023 include:

  • Education/Research: The Education/Research sector experienced 2046 ransomware attacks in 2023, a 12% drop from the previous year.
  • Government/Military: Government and military organizations were the second most targeted industry with 1598 attacks and a 4% decrease from 2022.
  • Healthcare: Healthcare experienced 1500 attacks and a 3% increase, which is particularly concerning due to the sensitive data and critical services that it provides.
  • Communications: Communications organizations experienced an 8% growth in 2023, totaling 1493 known attacks.
  • ISP/MSPs: ISPs and MSPs — a common ransomware target due to their potential for supply chain attacks — experienced 1286 ransomware attacks in 2023, a 6% decrease.

Como se proteger contra ransomware

  • Utilize as melhores práticas

A preparação adequada pode diminuir drasticamente o custo e o impacto de um ataque de ransomware. A adoção das seguintes práticas recomendadas pode reduzir a exposição de uma organização ao ransomware e minimizar seus impactos:

  1. Treinamento e educação sobre conscientização cibernética : O ransomware costuma ser espalhado por meio de e-mails de phishing. Treinar os usuários sobre como identificar e evitar possíveis ataques de ransomware é crucial. Como muitos dos ciberataques atuais começam com um e-mail direcionado que nem sequer contém malware, mas apenas uma mensagem de engenharia social que incentiva o usuário a clicar em um link malicioso, a educação do usuário é frequentemente considerada uma das defesas mais importantes de uma organização. pode implantar.
  2. Backups contínuos de dados:  a definição de ransomwarediz que é um malware projetado para fazer com que pagar um resgate seja a única maneira de restaurar o acesso aos dados criptografados. Backups de dados automatizados e protegidos permitem que uma organização se recupere de um ataque com o mínimo de perda de dados e sem pagar resgate. Manter backups regulares de dados como um processo de rotina é uma prática muito importante para evitar a perda de dados e poder recuperá-los em caso de corrupção ou mau funcionamento do hardware do disco. Os backups funcionais também podem ajudar as organizações a se recuperarem de ataques de ransomware.
  3. Patching: Patching é um componente crítico na defesa contra ataques de ransomware, já que os cibercriminosos muitas vezes procuram as explorações mais recentes descobertas nos patches disponibilizados e, em seguida, visam sistemas que ainda não foram corrigidos. Como tal, é fundamental que as organizações garantam que todos os sistemas tenham os patches mais recentes aplicados, pois isso reduz o número de vulnerabilidades potenciais dentro do negócio que podem ser exploradas por um invasor.
  4. Autenticação de usuário: acessar serviços como RDP com credenciais de usuário roubadas é uma técnica favorita dos invasores de ransomware. O uso de autenticação de usuário forte pode dificultar o uso de uma senha adivinhada ou roubada por um invasor.

  • Reduza a superfície de ataque

Com o alto custo potencial de uma infecção por ransomware, a prevenção é a melhor estratégia de mitigação de ransomware. Isto pode ser alcançado reduzindo a superfície de ataque abordando:

  1. Mensagens de phishing
  2. Vulnerabilidade não corrigida
  3. Soluções de acesso remoto
  4. malwaremóvel

  • Implantar soluçãoanti-ransomware

A necessidade de criptografar todos os arquivos de um usuário significa que o ransomware possui uma impressão digital exclusiva quando executado em um sistema. Soluções anti-ransomware são desenvolvidas para identificar essas impressões digitais. As características comuns de uma boa solução anti-ransomware incluem:

  • Detecção de ampla variante
  • Detecção rápida
  • Restauração automática
  • Mecanismo de restauração não baseado em ferramentas integradas comuns (como 'Shadow Copy', que é alvo de algumas variantes de ransomware)

Como remover ransomware?

Uma mensagem de resgate não é algo que alguém queira ver em seu computador, pois revela que uma infecção por ransomware foi bem-sucedida. Neste ponto, algumas medidas podem ser tomadas para responder a uma infecção ativa de ransomware, e uma organização deve decidir se paga ou não o resgate.

  • Como mitigar uma infecção ativa por ransomware

Muitos ataques de ransomware bem-sucedidos só são detectados depois que a criptografia dos dados é concluída e uma nota de resgate é exibida na tela do computador infectado. Neste ponto, os arquivos criptografados provavelmente são irrecuperáveis, mas algumas etapas devem ser tomadas imediatamente:

  1. Coloque a máquina em quarentena: algumas variantes de ransomware tentarão se espalhar para unidades conectadas e outras máquinas. Limite a propagação do malware removendo o acesso a outros alvos potenciais.
  2. Deixe o computador ligado: a criptografia de arquivos pode tornar o computador instável e desligá-lo pode resultar na perda de memória volátil. Mantenha o computador ligado para maximizar a probabilidade de recuperação.
  3. Crie um backup: a descriptografia de arquivos para algumas variantes de ransomware é possível sem pagar o resgate. Faça uma cópia dos arquivos criptografados em mídia removível, caso uma solução seja disponibilizada no futuro ou uma falha na tentativa de descriptografia danifique os arquivos.
  4. Verifique se há descriptografadores: verifique com o Projeto No More Ransom se um descriptografador gratuito está disponível. Nesse caso, execute-o em uma cópia dos dados criptografados para ver se consegue restaurar os arquivos.
  5. Peça ajuda: Às vezes, os computadores armazenam cópias de backup dos arquivos armazenados neles. Um especialista forense digital poderá recuperar essas cópias se elas não tiverem sido excluídas pelo malware.
  6. Limpar e restaurar: restaure a máquina a partir de um backup limpo ou instalação do sistema operacional. Isso garante que o malware seja completamente removido do dispositivo

Como o Check Point pode ajudar

A tecnologia Anti-Ransomware da Check Point utiliza um motor específico que defende contra as variantes de ransomware de dia zero mais sofisticadas e evasivas e recupera com segurança dados encriptados, garantindo a continuidade dos negócios e a produtividade. A eficácia desta tecnologia é verificada diariamente pela nossa equipa de investigação, demonstrando consistentemente excelentes resultados na identificação e mitigação de ataques.

Harmony endpoint, o principal produto de prevenção e resposta endpoint da Check Point, inclui tecnologia anti-ransomware e fornece proteção para navegadores da web e endpoint, aproveitando as proteções de rede líderes do setor da Check Point. O Harmony endpoint oferece prevenção de ameaças e remediação completa e em tempo real em todos os vetores de ameaças de malware, permitindo que os funcionários trabalhem com segurança, não importa onde estejam, sem comprometer a produtividade.

×
  Opinião
Este site usa cookies para sua funcionalidade e para fins de análise e marketing. Ao continuar a usar este site, você concorda com o uso de cookies. Para mais informações, leia o nosso Aviso de Cookies.
OK