O que é ransomware?
Ransomware é um tipo de malware (software malicioso) utilizado por cibercriminosos. Se um computador ou rede for infectado com ransomware, o ransomware bloqueiao acesso ao sistema ou criptografa os dados. Os cibercriminosos exigem dinheiro de resgate de suas vítimas em troca da liberação dos dados. Para se proteger contra infecções por ransomware, recomendamos atenção e um software de segurança. As vítimas de ataques de malware têm três opções após uma infecção: pagar o resgate, tentar remover o malware ou reiniciar o dispositivo. Vetores de ataque frequentemente usados por cavalos de Troia de extorsão incluem o protocolo de área de trabalho remota (RDP), e-mails de phishing e vulnerabilidades de software. Um ataque de ransomware pode, portanto, ter como alvo tanto indivíduos como empresas.
Identificando um ransomware: uma distinção básica deve ser feita
Particularmente, há dois tipos de ransomware muito populares:
- Ransomware de bloqueio. Este tipo de malware bloqueia as funções básicas do computador. Por exemplo, o acesso à área de trabalho pode ser bloqueado e o mouse e o teclado são parcialmente desativados. Isso permite que você continue a interagir com a janela que contém o pedido de resgate, de modo que possa fazer o pagamento. Fora isso, o computador fica inoperável. Mas a boa notícia é que o malware de bloqueio não costuma ter como alvo arquivos críticos; ele geralmente só quer bloquear o seu acesso. Por isso, a destruição completa dos seus dados é improvável.
- Ransomware de criptografia. O objetivo deste ransomware é criptografar seus dados importantes, como documentos, imagens e vídeos, mas não interferir nas funções básicas do computador. Isso gera pânico, pois os usuários podem ver seus arquivos, mas não podem acessá-los. Os desenvolvedores de criptografia muitas vezes adicionam uma contagem regressiva ao seu pedido de resgate: "Se você não pagar o resgate até o prazo, todos os seus arquivos serão excluídos". E devido ao número de usuários que não sabem da necessidade de fazer backups na nuvem ou em dispositivos externos de armazenamento físico, o ransomware de criptografia pode ter um impacto devastador. Consequentemente, muitas vítimas pagam o resgate simplesmente para obter seus arquivos de volta.
Locky, Petya e similares
Agora você já sabe o que é um ransomware e seus dois tipos principais. Aqui você verá alguns exemplos bem conhecidos que o ajudarão a identificar os perigos apresentados por ransomwares:
Locky
Locky é um ransomware que foi usado pela primeira vez para um ataque em 2016 por um grupo organizado de hackers. O Locky criptografou mais de 160 tipos de arquivos e foi espalhado por meio de e-mails falsos com anexos infectados. Os usuários caíram no truque do e-mail e instalaram o ransomware em seus computadores. Esse método de propagação é chamado phishing, e é uma forma de engenharia social. O ransomware Locky é direcionado a tipos de arquivos frequentemente usados por designers, desenvolvedores, engenheiros e testadores.
WannaCry
WannaCry foi um ataque de ransomware que se espalhou por mais de 150 países em 2017. Ele foi projetado para explorar uma vulnerabilidade de segurança no Windows que foi criada pela NSA e vazada pelo grupo de hackers Shadow Brokers. O WannaCry afetou 230 mil computadores em todo o mundo. O ataque atingiu um terço de todos os hospitais do Serviço Nacional de Saúde (NHS, National Health Service) do Reino Unido, causando danos estimados em 92 milhões de libras. Os usuários foram bloqueados e foi exigido um resgate em bitcoins. O ataque expôs o problema de sistemas desatualizados, pois o hacker explorou uma vulnerabilidade do sistema operacional para a qual já existia um patch há muito tempo. O prejuízo financeiro mundial causado pelo WannaCry foi de, aproximadamente, US$ 4 bilhões.
Bad Rabbit
Bad Rabbit foi um ataque de ransomware de 2017 que se espalhou por meio dos chamados ataques de execução. Sites inseguros foram usados para realizar os ataques. Em um ataque de ransomware de execução, o usuário visita um site real, sem saber que ele foi comprometido por hackers. Na maioria dos ataques de execução, tudo o que é necessário é que um usuário abra uma página que tenha sido comprometida dessa forma. Nesse caso, entretanto, a execução de um instalador que continha malware disfarçado levou à infecção. Isso é chamado de dropper de malware. O Bad Rabbit solicitava ao usuário que ele executasse uma instalação falsa do Adobe Flash, infectando o computador com o malware.
Ryuk
Ryuk é um cavalo de Troia de criptografia que se espalhou em agosto de 2018 e desabilitou a função de recuperação dos sistemas operacionais Windows. Isso tornou impossível restaurar os dados criptografados sem um backup externo. O Ryuk também criptografou discos rígidos de rede. O impacto foi enorme, e muitas das organizações norte-americanas que foram alvo pagaram as quantias de resgate exigidas. Estima-se que o total de danos seja de mais de US$ 640.000.
Shade/Troldesh
O ataque do ransomware Shade ou Troldesh ocorreu em 2015 e se espalhou por meio de e-mails de spam com links ou anexos de arquivos infectados. Curiosamente, os invasores do Troldesh se comunicavam diretamente com suas vítimas via e-mail. E as vítimas com quem construíam uma "boa relação" recebiam descontos. No entanto, esse tipo de comportamento é uma exceção à regra.
Jigsaw
Jigsaw é um ataque de ransomware que começou em 2016. Ele recebeu esse nome por causa de uma imagem que exibia do conhecido fantoche da franquia do filme Jogos Mortais. A cada hora adicional que o resgate permanecia sem pagamento, o ransomware Jigsaw apagava mais arquivos. O uso da imagem do filme de terror causou estresse adicional entre os usuários.
CryptoLocker
CryptoLocker é um ransomware que foi visto pela primeira vez em 2007 e que se disseminou por meio de anexos de e-mail infectados. Ele buscava dados importantes em computadores infectados e os criptografava. Estima-se que 500.000 computadores foram afetados. Autoridades legais e empresas de segurança conseguiram, eventualmente, controlar uma rede global de computadores domésticos hackeados que eram usados para espalhar o CryptoLocker. Isso permitiu às autoridades e às empresas interceptar os dados enviados pela rede sem que os criminosos percebessem. No fim, isso resultou na criação de um portal online onde as vítimas podiam obter uma chave para desbloquear seus dados. Dessa maneira, os dados puderam ser liberados sem precisar pagar um resgate aos criminosos.
Petya
Petya (não confundir com ExPetr) é um ataque de ransomware que ocorreu pela primeira vez em 2016 e ressurgiu como GoldenEye em 2017. Em vez de criptografar certos arquivos, este ransomware malicioso criptografava todo o disco rígido da vítima. Isso era feito criptografando a Tabela Mestra de Arquivos (MFT), o que impossibilitava o acesso a arquivos no disco rígido. O ransomware Petya espalhou-se por departamentos corporativos de RH por meio de um aplicativo falso contendo um link infectado do Dropbox.
Outra variante do Petya é o Petya 2.0, que difere em alguns aspectos importantes. No entanto, em termos de como o ataque é realizado, ambos são igualmente fatais para o dispositivo.
GoldenEye
O ressurgimento do Petya como GoldenEye resultou em uma infecção de ransomware global em 2017. O GoldenEye, conhecido como "irmão mortal" do WannaCry, atingiu mais de 2.000 alvos, incluindo importantes produtores de petróleo na Rússia e vários bancos. Em uma situação alarmante, o GoldenEye forçou a equipe da usina nuclear de Chernobyl a verificar manualmente o nível de radiação da área depois que o acesso aos seus computadores Windows foi bloqueado.
GandCrab
GandCrab é um ransomware inescrupuloso que ameaçourevelar os hábitos pornográficos de suas vítimas. Ele afirmava ter hackeado a webcam da vítima e exigia um resgate. Se o resgate não fosse pago, as filmagens embaraçosas da vítima seriam publicadas. Depois de sua primeira aparição em 2018, o GandCrab continuou a ser desenvolvido em várias versões. Como parte da iniciativa "No More Ransom", provedores de segurança e autoridades policiais desenvolveram uma ferramenta de descriptografia de ransomware para ajudar as vítimas a recuperar seus dados confidenciais roubados pelo GandCrab.
B0r0nt0k
B0r0nt0k é um ransomware de criptografia que se concentra especificamente em servidores Windows e Linux. Este nocivo ransomware criptografa os arquivos de um servidor Linux e anexa a extensão de arquivo ".rontok". Além de representar uma ameaça para os arquivos, esse malware também altera as configurações de inicialização, desabilita funções e aplicativos e adiciona entradas de Registro, arquivos e programas.
Ransomware Dharma Brrr
Brrr, o novo ransomware Dharma, é instalado manualmente por hackers que invadem os serviços de desktop conectados à Internet. Assim que o ransomware é ativado pelo hacker, ele começa a criptografar os arquivos encontrados. Os dados criptografados recebem a extensão ".id-[id].[email].brrr".
Ransomware FAIR RANSOMWARE
O FAIR RANSOMWARE tem como objetivo criptografar dados. Usando um poderoso algoritmo, todos os documentos e arquivos privados da vítima são criptografados. Os arquivos criptografados com esse malware têm a extensão ".FAIR RANSOMWARE" adicionada a eles.
Ransomware MADO
MADO é outro tipo de ransomware de criptografia. Os dados criptografados por este ransomware recebem a extensão ".mado" e, portanto, não podem mais ser abertos.
Ataques de ransomware
Como já foi mencionado, os ransomwares encontram suas vítimas em todas as classes sociais. Normalmente, o resgate exigido está entre US$ 100 e US$ 200. No entanto, alguns ataques exigem muito mais, especialmente se o hacker souber que os dados bloqueados representam uma perda financeira significativa para a empresa atacada. Sendo assim, ao usar esses métodos, os cibercriminosos podem acumular enormes quantias de dinheiro. Nos dois exemplos a seguir, a vítima do ataque cibernético é, ou foi, mais importante do que o tipo de ransomware utilizado.
Ransomware WordPress
O ransomware WordPress, como o nome sugere, tem como alvo os arquivos do site WordPress. A vítima é extorquida em troca de um resgate em dinheiro, como é típico dos ransomwares. Quanto mais popular for um site no WordPress, maior é a probabilidade de ser atacado por cibercriminosos usando um ransomware.
O caso Wolverine
O Wolverine Solutions Group (um provedor de serviços de saúde) foi vítima de um ataque de ransomware em setembro de 2018. O malware criptografou um grande número de arquivos da empresa, impossibilitando que muitos funcionários os abrissem. Felizmente, no dia 3 de outubro, especialistas forenses conseguiram descriptografar e restaurar os dados. No entanto, muitos dados de pacientes foram comprometidos no ataque. Nomes, endereços, dados médicos e outras informações pessoais podem ter caído nas mãos de cibercriminosos.
Ransomware como serviço (RaaS)
O ransomware como serviço permite que cibercriminosos com pouca capacidade técnica realizem ataques de ransomware. O malware é disponibilizado a compradores, o que significa menor risco e maior ganho para os programadores do software.
Conclusão
Os ataques de ransomware têm muitas aparências diferentes e vêm em todas as formas e tamanhos. O vetor de ataque é um fator importante para os tipos de ransomware utilizados. Para estimar o tamanho e a extensão do ataque, é necessário considerar sempre o que está em jogo ou quais dados poderiam ser excluídos ou publicados. Independentemente do tipo de ransomware, o backup dos dados com antecedência e o uso adequado de software de segurança pode reduzir significativamente a intensidade de um ataque.