O que é ransomware?

Ransomware é uma ameaça crescente para organizações em todo o mundo, usado pelos criminosos cibernéticos em ataques direcionados que causam prejuízos. É um tipo de software malicioso que impede as vítimas de acessar documentos, fotos, bancos de dados e outros arquivos por meio de criptografia, exigindo resgate para descriptografá-los. Estipula-se um prazo para o pagamento do resgate e, se não for cumprido, o valor do resgate dobra ou os arquivos são permanentemente bloqueados.

Solicite uma demonstração Saiba Mais

O que é ransomware?

Definição

O ransomware é uma ameaça cada vez maior em todo o mundo, fazendo uma nova vítima a cada 10 segundos. Aqui, desvendamos a ameaça de ransomware ao discutir do que se trata, como funciona, como sua utilização mudou nos últimos anos, como se preparar para um ataque e preveni-lo, e o que fazer se você se deparar com uma infecção por ransomware.

 

Resumidamente, ransomware é um tipo de software malicioso que impede as vítimas de acessar documentos, fotos, bancos de dados e outros arquivos por meio de criptografia, exigindo resgate para descriptografá-los. Estipula-se um prazo para o pagamento do resgate e, se não for cumprido, o valor do resgate dobra ou o acesso a esses arquivos poderá ser perdido para sempre.

Como o ransomware funciona

Uma compreensão do que é ransomware e como ele funciona é essencial para se proteger contra esses ataques. O ransomware é um malware que criptografa os arquivos de uma vítima e, em seguida, exige resgate para restaurar o acesso a esses arquivos. Para ser bem-sucedido, o ransomware precisa obter acesso a um sistema-alvo, criptografar os arquivos desse sistema e exigir um resgate junto à vítima.

 

·         Etapa 1. Vetores de infecção e distribuição

O ransomware, como qualquer malware, pode obter acesso aos sistemas de uma organização de várias maneiras diferentes. No entanto, os operadores de ransomware tendem a preferir alguns vetores de infecção específicos. Um deles é o e-mail de phishing. Um e-mail malicioso pode conter um link para um site da Web que hospeda um download malicioso ou um anexo com funcionalidade de download incorporada. Se o destinatário do e-mail não identificar o phishing, o ransomware será baixado e executado em seu computador.

Outro conhecido vetor de infecção por ransomware tira proveito de serviços como o Remote Desktop Protocol (RDP). Com o RDP, um invasor que tiver roubado ou adivinhado as credenciais de login de um funcionário pode usá-las para autenticar e acessar remotamente um computador dentro da rede corporativa. Com esse acesso, o invasor pode fazer download do malware diretamente e executá-lo na máquina sob seu controle.

 

·         Etapa 2. Criptografia de arquivos

A criptografia dos arquivos de um usuário é o que diferencia o ransomware de outras variantes de malware. Ao criptografar dados sigilosos e valiosos, o operador de ransomware pode exigir resgate em troca da chave de descriptografia, acreditando que a vítima fará o pagamento.

 

O ransomware normalmente usa dois tipos de criptografia: simétrica e assimétrica. A criptografia simétrica requer a mesma chave para criptografia e descriptografia, enquanto a criptografia assimétrica usa uma chave pública para criptografia e uma chave privada para descriptografia.

 

As variantes de ransomware contêm uma lista que descreve os tipos de arquivos que devem criptografar, seja ao relacionar determinadas extensões de arquivos, diretórios ou ambos. Para cada um desses arquivos, o ransomware usa criptografia simétrica no arquivo e salva uma cópia da chave simétrica criptografada com uma chave pública. A chave privada correspondente – que é necessária para descriptografar a chave simétrica usada para descriptografar os arquivos – é conhecida apenas pelo operador de ransomware.

 

·         Etapa 3. Pedido de resgate

Quando a criptografia dos arquivos estiver concluída, o ransomware estará preparado para exigir resgate. As diferentes variantes de ransomware fazem isso de várias maneiras, mas não é incomum ter um fundo de tela alterado para um bilhete de resgate ou arquivos de texto inseridos em cada diretório criptografado contendo o bilhete de resgate. Em geral, esses bilhetes exigem uma determinada quantidade de criptomoeda em troca de acesso aos arquivos da vítima. Se o resgate for pago, o operador de ransomware fornecerá uma cópia da chave privada usada para proteger a chave de criptografia simétrica ou uma cópia da própria chave de criptografia simétrica. Essas informações podem ser inseridas em um programa de descriptografia (também fornecido pelo criminoso cibernético) que pode usá-las para reverter a criptografia e restaurar o acesso aos arquivos do usuário.

A ameaça de ransomware

Agora que entendemos o que é ransomware, vamos analisar por que ele está chamando tanta atenção. Em primeiro lugar, o ransomware é uma das maiores e mais conhecidas ameaças cibernéticas existentes. Em 2019, o custo dos ataques de ransomware foi estimado em US$ 11,5 bilhões. A expectativa é de que até 2021, esse valor praticamente dobre, atingindo US$ 20 bilhões. Os ataques de ransomware afetam uma grande variedade de sistemas, incluindo dispositivos móveis, como smartphones e tablets. Apenas em 2019, foram detectados mais de 68 mil novos Trojans que haviam instalado ransomware em dispositivos móveis. Um ataque de ransomware bem-sucedido pode acarretar custos, prejuízos e tempo de inatividade significativos para uma organização, uma vez que todos os sistemas afetados devem ser limpos e restaurados. Embora todos os setores sejam alvos, os criminosos cibernéticos tendem a se concentrar em infraestruturas críticas, como hospitais, cidades e escolas. Para obter mais informações, confira os ataques de ransomware recentes.

 

A evolução do ransomware

  • O primeiro ataque de ransomware de que se tem notícia ocorreu em 1989. A primeira extorsão de malware conhecida chamava-se AIDS Trojan ou PC Cyborg. Esse malware de baixa tecnologia foi distribuído em mais de 20 mil disquetes para pesquisadores de AIDS. Ele ocultava arquivos na unidade e criptografava os nomes dos arquivos, exibindo uma mensagem para o usuário de que sua licença para usar um tipo específico de software havia expirado. Para receber uma ferramenta de reparo, o usuário deveria pagar um resgate no valor de US$ 189. A ferramenta de descriptografia era facilmente extraída diretamente do código do Trojan, tornando o malware inócuo porque não era necessário pagar o responsável pela extorsão.A maioria das variantes de ransomware segue as mesmas etapas – da infecção inicial ao bilhete de resgate. Porém, nos últimos anos, a forma como o ransomware tem sido usado por criminosos cibernéticos mudou drasticamente.·         Ataques aleatórios em larga escalaOs primeiros ataques de ransomware adotavam uma abordagem de “quantidade em detrimento da qualidade” para selecionar alvos. O objetivo desses ataques era infectar o maior número possível de computadores com ransomware e pedir um resgate relativamente pequeno em troca da chave de descriptografiaO Wannacry é um ótimo exemplo dessa abordagem de ransomware. O Wannacry é um worm de ransomware: um ransomware que explora uma vulnerabilidade para se espalhar em vez de confiar em e-mails de phishing ou tirar proveito de credenciais fracas.O Wannacry tirou proveito da vulnerabilidade EternalBlue, descoberta pela Agência de Segurança Nacional e vazada pelo Shadow Brokers, para infectar mais de 200 mil computadores no período de quatro dias. Com um pedido de resgate de US$ 300 a US$ 600, poderia se esperar que o ataque rendesse aos criminosos uma soma significativa de dinheiro, mesmo que apenas uma fração das vítimas fizesse o pagamento. Saiba mais sobre o ataque de ransomware Wannacry

    ·         Empresas e instituições como alvo

    Ao longo do tempo, os ataques de ransomware se distanciaram bastante dos ataques aleatórios em larga escala. Um dos problemas dessa estratégia é que pessoas comuns não sabem como pagar um resgate em criptomoeda. Como resultado, os criminosos nunca eram pagos ou gastavam uma quantidade significativa de tempo orientando as pessoas sobre como fazê-lo.

    Agora, a maioria dos ataques de ransomware é muito mais direcionada. O uso de e-mails de spear phishing e RDP como métodos de entrega cresceu, aumentando a probabilidade de sucesso dos ataques. Esses ataques mais direcionados também exigem resgates maiores, já que o foco dos criminosos são organizações que não podem se dar ao luxo de perder dados e têm os recursos necessários para pagar o resgate, como os hospitais, escolas, cidades e grandes empresas mencionados anteriormente.

    O ransomware Ryuk é uma das variantes de ransomware mais famosas que realizam esse novo ataque mais direcionado. As infecções causadas pelo ransomware Ryuk são personalizadas para uma organização específica e exigem que as vítimas entrem em contato com o invasor por e-mail para negociar o pagamento do resgate. Essa abordagem mais pessoal implica um preço mais alto e, consistentemente, o Ryuk tem batido recordes em relação aos pedidos de resgate mais elevados que já foram feitos até hoje.

    ·         Roubo de dados agrupados

    O estágio mais recente na evolução do ransomware foi projetado para lidar com o fato de que as vítimas de ransomware normalmente optam por não pagar o resgate exigido. Muitas organizações têm preferido tentar se recuperar por conta própria, a um custo muito maior, em vez de permitir que os criminosos cibernéticos lucrem com seus ataques.

    Os operadores de ransomware, como aqueles que estão por trás das variantes de ransomware Maze e REvil, responderam a essa tendência agrupando a funcionalidade de roubo de dados dentro de seu ransomware. Antes de criptografar dados em um computador-alvo, o malware exfiltra alguns deles para obter uma vantagem contra a vítima. Se o alvo do ataque se recusar a pagar o resgate, esses dados podem ser violados publicamente ou vendidos a quem oferecer mais. Isso pode resultar em perda de vantagem competitiva ou penalidades de acordo com o Regulamento Geral de Proteção de Dados (RGPD) ou leis de privacidade semelhantes, fornecendo às vítimas de ransomware um incentivo a mais para pagar.

     

Ataques de ransomware mais recentes

Em abril de 2020, a Cognizant, uma das maiores empresas de tecnologia e consultoria segundo a Fortune 500, confirmou que sofreu um ataque do ransomware Maze.

 

O Maze não é como um ransomware típico de criptografia de dados. Ele não apenas se espalha por uma rede, infectando e criptografando cada computador que estiver em seu caminho, mas também exfiltra os dados para os servidores dos invasores, onde são mantidos enquanto aguardam o resgate. Se um resgate não for pago, os invasores divulgam os arquivos on-line. No entanto, um site da Web que, como se sabe, está associado a invasores do Maze, ainda não anunciou ou publicou dados relacionados à Cognizant.

 

Em dezembro, o FBI emitiu um alerta exclusivo para as empresas sobre um aumento nos incidentes de ransomware ligados ao Maze.

 

Desde o alerta, várias corporações importantes foram atingidas pelo Maze, incluindo a seguradora cibernética Chubb, a gigante contábil MNP, um escritório de advocacia e uma empresa petrolífera.

Leia mais sobre o ransomware Maze

As variantes de ransomware mais populares

·         Cryptowall – Ransomware que começou como um Cryptolocker doppelgänger, mas acabou superando-o. Após o declínio do Cryptolocker, o CryptoWall tornou-se um dos ransomwares mais proeminentes até hoje. O CryptoWall é conhecido pelo uso da criptografia AES e por conduzir suas comunicações de comando e controle através da rede anônima Tor. Ele é amplamente distribuído por meio de kits de exploit e campanhas de malware e phishing.

 

·         WannaCry – Ransomware que foi disseminado em um ataque de larga escala, em maio de 2017, utilizando um exploit SMB Windows denominado EternalBlue para se propagar dentro das redes e entre elas. Infectou mais de 100 mil computadores tirando proveito de uma vulnerabilidade não corrigida do Microsoft Windows.

 

·         Jaff – Ransomware que começou a ser distribuído pelo botnet Necrus, em maio de 2017, por meio de e-mails de spam contendo um anexo em PDF com um arquivo DOCM incorporado. Quando o malware apareceu pela primeira vez, ele se espalhou com enorme abrangência a uma taxa de infecção de aproximadamente 10 mil e-mails enviados por hora.

 

·         Locky – Ransomware que iniciou sua distribuição em fevereiro de 2016 e se espalha principalmente por meio de e-mails de spam contendo uma funcionalidade de download disfarçada como um anexo Word ou Zip que, em seguida, baixa e instala o malware que criptografa os arquivos do usuário.

 

·         TorrentLocker – Ransomware que criptografa documentos, imagens e outros tipos de arquivos do usuário. As vítimas são solicitadas a pagar até 4,1 BitCoins (aproximadamente US$ 1.800) por vez aos invasores para descriptografar seus arquivos.

 

·         Cerber – É um ransomware off-line, ou seja, não precisa se comunicar com seu servidor C&C antes de criptografar arquivos em uma máquina infectada. Ele se espalha principalmente por meio de campanhas de malware que tiram proveito de kits de exploit, mas também por meio de campanhas de spam. É operado por seu autor como um ransomware como serviço; o autor recruta afiliadas para espalhar o malware em troca de uma parte do pagamento do resgate.

Proteção e prevenção contra ransomware

A preparação adequada pode reduzir drasticamente o custo e o impacto de um ataque de ransomware. Adotar as seguintes medidas pode reduzir a exposição de uma organização ao ransomware e minimizar seus impactos:

 

• Treinamento e formação sobre conscientização cibernética: o ransomware geralmente é difundido usando e-mails de phishing. É fundamental treinar os usuários sobre como identificar e evitar possíveis ataques de ransomware. Como muitos dos ciberataques atuais começam com um e-mail direcionado que nem mesmo contém malware, mas apenas uma mensagem de engenharia social que incentiva o usuário a clicar em um link malicioso, a educação do usuário é frequentemente considerada uma das defesas mais importantes que uma organização pode implementar.

 

• Backups contínuos de dados: segundo a definição de ransomware, um malware é projetado de tal forma que o pagamento do resgate é a única maneira de restaurar o acesso aos dados criptografados. Backups de dados automatizados e protegidos permitem que uma organização se recupere de um ataque com um mínimo de perda de dados e sem pagar um resgate. Manter backups regulares de dados como um processo de rotina é uma prática muito importante para evitar a perda de dados e poder recuperá-los em caso de corrupção ou mau funcionamento do hardware do disco. Backups funcionais também podem ajudar as organizações a se recuperarem de ataques de ransomware.

 

• Implantação de patches: a aplicação de patches é um componente crítico na defesa contra ataques de ransomware, já que os criminosos cibernéticos com frequência procuram os últimos exploits descobertos nos patches disponibilizados e, em seguida, visam a sistemas nos quais os patches ainda não foram implantados. Sendo assim, é fundamental que as organizações garantam que todos os sistemas tenham os patches mais recentes implantados, pois isso reduz o número de vulnerabilidades em potencial dentro da empresa a serem exploradas por um invasor.

 

• Autenticação do usuário: acessar serviços como RDP com credenciais de usuário roubadas é uma das técnicas preferidas de invasores que praticam ransomware. O uso de uma autenticação de usuário forte pode dificultar que um invasor utilize uma senha adivinhada ou roubada.

 

• Soluções antirransomware: a necessidade de criptografar todos os arquivos de um usuário significa que o ransomware tem uma impressão digital exclusiva ao ser executado em um sistema. Soluções especializadas antirransomware podem usar isso para identificar e encerrar processos potencialmente maliciosos, minimizando os danos causados.

Remoção de ransomware - O que fazer quando for infectado

Ninguém deseja visualizar uma mensagem de resgate no computador, uma vez que ela atesta o sucesso de uma infecção por ransomware. Neste ponto, algumas medidas podem ser adotadas para responder a uma infecção ativa por ransomware e uma organização deve optar se pagará ou não o resgate.

 

• Como mitigar uma infecção ativa por ransomware
Muitos ataques bem-sucedidos de ransomware só são detectados depois que a criptografia de dados é concluída e um bilhete de resgate é exibido na tela do computador infectado. Neste ponto, os arquivos criptografados provavelmente não são recuperáveis, mas algumas medidas devem ser adotadas de imediato:

 

1. Colocar a máquina em quarentena: algumas variantes de ransomware tentarão se espalhar para unidades conectadas e outras máquinas. Limite a disseminação do malware removendo o acesso a outros alvos em potencial.

 

2. Deixar o computador ligado: a criptografia de arquivos pode tornar um computador instável e desligá-lo pode resultar em perda de memória volátil. Mantenha o computador ligado para maximizar a probabilidade de recuperação.

 

3. Criar um backup: para algumas variantes de ransomware é possível descriptografar arquivos sem pagar o resgate. Faça uma cópia dos arquivos criptografados em mídia removível caso uma solução se torne disponível no futuro ou a falha do esforço de descriptografia comprometa os arquivos.

 

4. Verificar se há descriptografadores: verifique se há um descriptografador gratuito disponível junto à iniciativa No More Ransom Project. Se houver, execute-o em uma cópia dos dados criptografados para ver se ele é capaz de restaurar os arquivos.

 

5. Pedir ajuda: os computadores às vezes armazenam cópias de backup de arquivos armazenados neles. Um perito forense digital talvez consiga recuperar essas cópias se elas não tiverem sido excluídas pelo malware.

 

6. Limpar e restaurar: restaure a máquina a partir de um backup limpo ou da instalação do sistema operacional. Isso garante que o malware seja completamente removido do dispositivo.

 

• Você deve pagar o resgate?
Segundo a definição do ransomware, ele foi projetado para fazer com que as vítimas tenham de escolher entre pagar um resgate ou perder o acesso a seus dados para sempre. Em muitos casos, o custo de um resgate é menor do que tentar se recuperar sem pagá-lo.
No entanto, as práticas recomendadas de cibersegurança sugerem não pagar o resgate. Os motivos são vários:

• O objetivo do ransomware é gerar lucro: os operadores de ransomware criam e usam esse malware para ganhar dinheiro. Pagar um resgate permite que eles continuem operando e mantém viva a ameaça de ransomware.

• O pagamento demonstra uma disposição para pagar: pagar um resgate mostra a um criminoso cibernético que você está disposto a fazê-lo para acabar com uma ameaça cibernética. Com frequência, isso aumenta a probabilidade de ser alvo de ataques futuros.

• O pagamento não garante a recuperação: pagar um resgate envolve confiar no criminoso cibernético para fornecer a chave de descriptografia em troca. No entanto, nem todas as pessoas que pagam resgates recebem uma chave e, mesmo com uma chave, nem todos os dados são recuperados com sucesso.

• A decisão de uma organização de ter condições ou não de pagar um resgate cabe à própria organização. Embora as práticas recomendadas indiquem que os pedidos de resgate nunca devam ser pagos, cada caso é único.

Solução Check Point

A tecnologia antirransomware da Check Point usa um mecanismo específico que defende contra as variantes de dia zero mais sofisticadas e evasivas de ransomware, além de recuperar dados criptografados com segurança, garantindo a continuidade e a produtividade dos negócios. A eficácia dessa tecnologia está sendo verificada todos os dias pela nossa equipe de pesquisa e apresenta consistentemente excelentes resultados na identificação e mitigação de ataques.

O SandBlast Agent, pproduto líder de prevenção e resposta de endpoint da Check Point, inclui tecnologia antirransomware e fornece proteção para navegadores e endpoints, aproveitando as proteções de rede líderes da indústria da Check Point. O SandBlast Agent oferece resolução e prevenção de ameaças completas em tempo real em todos os vetores de ameaças de malware, permitindo que os funcionários trabalhem com segurança, não importa onde estejam, sem comprometer a produtividade.

Recursos recomendados