O que é ransomware de criptomoedas?
O ransomware criptográfico — também conhecido como malware criptográfico — é um malware que criptografa arquivos em um dispositivo e exige um resgate para sua recuperação. As vítimas são incentivadas a pagar o resgate porque somente os cibercriminosos por trás do ataque conhecem a chave de descriptografia necessária para recuperar seus dados.
Solicite uma demo Guia de prevenção de ransomware para CISOs
Como funciona o ransomware de criptografia?
Um ataque de ransomware é um processo de várias etapas, que inclui tudo, desde o acesso inicial até a exigência de um pagamento de resgate. Algumas das etapas principais incluem o seguinte:
Métodos de infecção
Para criptografar arquivos, o ransomware precisa ter acesso aos arquivos no computador da vítima. Alguns vetores de ataque comuns incluem os seguintes:
- E-mailsPhishing : E-mails Phishing usam engenharia social para enganar o destinatário e levá-lo a instalar o malware. Os e-mails podem conter anexos infectados com malware ou incluir links maliciosos que direcionam para páginas da web infectadas.
- Sites maliciosos: Alguns sites podem conter malware disponível para download. Frequentemente, isso envolve um cavalo de Troia, que é um malware que se disfarça de software legítimo, mas na verdade infecta o computador do usuário.
- Contas comprometidas: Os operadores de ransomware também podem implantar malware usando contas de usuário comprometidas. Caso uma senha seja descoberta ou comprometida, o invasor pode acessar o sistema via RDP ou VPN para instalar seu malware nos sistemas corporativos.
Processo de criptografia
A maioria ransomware usa uma combinação de algoritmos simétricos e assimétricos.
A criptografia simétrica é altamente eficiente para criptografia em massa. O ransomware usa essa técnica para criptografar arquivos e impedir que seus proprietários acessem os mesmos. A criptografia assimétrica é usada para proteger as chaves de criptografia simétrica. Se a chave pública estiver incluída no malware, o ransomware pode criptografar e armazenar a chave de criptografia simétrica juntamente com os arquivos criptografados. Os atacantes ficam apenas com uma cópia da chave privada e podem usá-la para descriptografar a chave simétrica depois que a vítima pagar o resgate.
O processo de criptografia do ransomware também evoluiu. Por exemplo, algumas variantes de ransomware criptografam apenas parte de um arquivo. Isso permite que o processo de criptografia ocorra mais rapidamente — diminuindo o risco de interrupção — embora ainda torne os arquivos inutilizáveis.
Bilhetes e exigências de resgate
Após a criptografia dos arquivos ser concluída, o ransomware exibirá uma mensagem de resgate para a vítima. Normalmente, essas mensagens informam à vítima que ela foi infectada por um ransomware e fornecem informações sobre como o resgate deve ser pago.
Pagamento em criptomoeda
O ransomware de criptomoedas usa criptomoedas como forma de pagamento. Caso a vítima opte por pagar o resgate, ela comprará criptomoedas e as transferirá para a conta do atacante, cujo endereço provavelmente estará incluído na nota de resgate. Em seguida, o atacante deve fornecer um decodificador que possa ser usado para restaurar os arquivos criptografados da vítima.
Exemplos de ransomware de criptografia
Surgiram muitos grupos de cibercriminosos que começaram a distribuir ransomware. Alguns dos maiores grupos de ransomware da atualidade incluem LockBit, Alphv/BlackCat, CL0P, Black Basta, Play, Royal, 8Base, BianLian, Medusa e NoEscape.
Por que as criptomoedas são usadas para pagamentos de resgate?
As criptomoedas são usadas para pagamentos de resgate por diversos motivos. A principal delas é que são pseudônimos e não têm vínculo com o sistema bancário central. As contas de criptomoedas dos usuários não são vinculadas à sua identidade no mundo real, a menos que eles utilizem uma corretora que exija o procedimento de Conheça Seu Cliente (KYC). Consequentemente, pode ser difícil rastrear um pagamento em criptomoeda até seu destinatário, protegendo o atacante contra a detecção.
Como prevenir ataques de ransomware de criptomoedas
Ataques de malware criptográfico podem ser devastadores para uma organização. Algumas das melhores práticas para prevenir esses ataques incluem o seguinte:
- Educação do usuário: Muitos ataques ransomware visam usuários por meio de ataques de phishing. A educação em cibersegurança pode ajudar os usuários a identificar e evitar cair nesses ataques.
- Cópias de segurança de dados: Os ataques de ransomware extorquem pagamentos de resgate criptografando os dados e tornando-os inacessíveis aos seus proprietários. A possibilidade de restaurar o sistema a partir de backups pode eliminar a necessidade de pagar o resgate.
- Correção de erros: Algumas variantes de ransomware exploram softwares vulneráveis para infectar computadores. A aplicação regular de patches e atualizações pode ajudar a corrigir esses problemas antes que sejam explorados por malware.
- Autenticação forte: Alguns malware de criptografia usam contas de usuário comprometidas para acessar e infectar sistemas corporativos. Para ajudar a gerenciar esse risco, implemente uma autenticação de usuário forte — incluindo a Autenticação Multifatorial (MFA).
- Soluções antiransomware: As soluçõesransomware podem detectar e bloquear ransomware de criptografia antes que ele atinja os sistemas de uma organização. Isso ajuda a limitar o risco para a empresa e seus dados.
Evite ataques de ransomware com Check Point
O ransomware surgiu como uma das principais ameaças para as empresas devido ao potencial de perda de dados e prejuízos financeiros significativos para uma organização. Para saber mais sobre como gerenciar a exposição da sua organização a essa ameaça, consulte o Guia do CISO para Prevenção de Ransomware.
Check Point’s Check Point Endpoint Security protects organizations against ransomware and other threats, including those outlined in the Cyber Security Report. To learn how Check Point Endpoint Security can help strengthen your organization’s endpoint security, register for a free demo today.
