Ao final de cada ano, nossos especialistas analisam os incidentes que ocorreram e elegem um (ou uma tendência) como a história do ano. Desta vez não houve dúvida: 2017 foi obviamente o ano dos ransomwares. Três epidemias de ransomwares (WannaCry, ExPetr e o pouco menos conhecido Bad Rabbit) atraíram muita atenção, mas ao menos uma delas apenas parecia um ransomware encriptador.
Apesar de todos os incidentes terem sido repentinos, nossos especialistas previram essas tendências ainda em 2016. Costin Raiu e Juan Andres Guerrero-Saade escreverem nas Previsões para 2017 que esperavam a chegada de ransomwares que poderiam “bloquear arquivos e sistemas ou simplesmente deletá-los, chantagear a vítima para que pagasse o resgate e não oferecer nada em troca”.
Vamos recapitular as lições mais importantes desses ataques.
Movimento lateral dos malware
Essas epidemias se tornaram famosas porque o malware não encriptava apenas um computador, mas todas as máquinas de uma rede. Esse nível de infiltração foi possível graças às vulnerabilidades divulgadas pelo grupo hacker Shadow Brokers.
Quando as epidemias começaram, no entanto, os patches para evitá-las já existiam – mas muitas máquinas ainda não os tinham. E mais, cibercriminosos continuam usando essas vulnerabilidades até hoje (e com bastante sucesso, infelizmente).
Lição 1: instalar atualizações quando ficarem disponíveis, especialmente se estão diretamente relacionadas à segurança.
Sistemas não-críticos
Dentre as vítimas dos encryptors, estavam muitos sistemas que eram completamente desprotegidos, pelo simples fato de que ninguém achava que precisavam de alguma solução de segurança. Alguns eram painéis de informação ou máquinas de venda automáticas. Francamente, não há nada nesses sistemas para criptografar e ninguém pagaria para descriptografá-los.
Mas nesses casos, os responsáveis pelos ataques não escolhiam seus alvos; eles infectavam tudo o que podiam. O dano era significativo. Reinstalar sistemas operacionais nessas máquinas não críticas era e continua sendo um grande investimento de tempo.
Lição 2: proteja todos os elementos da sua infraestrutura de informação.
Sabotagem em vez de extorsão
O ExPetr não continha um mecanismo que pudesse identificar uma vítima específica. Mesmo que os cibercriminosos quisessem, não poderiam dar às vítimas uma chave para a recuperação dos arquivos. A partir disso, podemos presumir que o objetivo era causar o máximo de dano possível, e qualquer resgate que fosse coletado era um bônus.
Isso confirma mais uma vez que pagar resgate não é um método confiável de recuperação de dados.
Lição 3: a única real maneira de não perder seus dados é fazer o backup e instalar soluções de segurança proativamente.
Esperamos que essas lições minimizem os danos de ataques similares no futuro. Afinal de contas, de acordo com nossos especialistas, no ano que vem, os cibercriminosos continuarão usando malwares de criptografia do estilo do ExPetr como arma cibernética para destruição de informação. Você pode saber mais detalhes das previsões dos nossos pesquisadores para 2018 neste post do Securelist.