ransomware é um malware projetado para negar a um usuário ou organização o acesso aos arquivos em seu computador. Ao criptografar esses arquivos e exigir o pagamento de um resgate pela chave de descriptografia, os ciberataques colocam as organizações em uma posição em que pagar o resgate é a maneira mais fácil e barata de recuperar o acesso aos seus arquivos. Algumas variantes adicionaram funcionalidades adicionais – como roubo de dados – para fornecer incentivo adicional para que as vítimas de ransomware paguem o resgate.
O ransomware rapidamente se tornou o mais proeminente e tipo visível de malware. Os recentes ataques de ransomware afetaram a capacidade dos hospitais de fornecer serviços cruciais, prejudicaram os serviços públicos nas cidades e causaram danos significativos a várias organizações.
A mania moderna do ransomware começou com o surto do WannaCry em 2017. Este ataque em grande escala e altamente divulgado demonstrou que os ataques de ransomware eram possíveis e potencialmente lucrativos. Desde então, dezenas de variantes de ransomware foram desenvolvidas e usadas em diversos ataques.
The COVID-19 pandemic also contributed to the recent surge in ransomware. As organizations rapidly pivoted to remote work, gaps were created in their cyber defenses. Cybercriminals have exploited these vulnerabilities to deliver ransomware, resulting in a surge of ransomware attacks.
In an age dominated by digital risks, a staggering 71% of companies have encountered ransomware attacks, resulting in an average financial loss of $4.35 million per incident.
In the year 2023 alone, attempted ransomware attacks have targeted 10% of organizations globally. This marks a notable rise from the 7% of organizations facing similar threats in the previous year, representing the highest rate recorded in recent years.
Para ter sucesso, o ransomware precisa obter acesso a um sistema alvo, criptografar os arquivos e exigir um resgate da vítima.
Embora os detalhes de implementação variem de uma variante de ransomware para outra, todas compartilham os mesmos três estágios principais
O ransomware, como qualquer malware, pode obter acesso aos sistemas de uma organização de diversas maneiras. No entanto, os operadores de ransomware tendem a preferir alguns vetores de infecção específicos.
Um deles são os e-mails de phishing. Um e-mail malicioso pode conter um link para um site que hospeda um download malicioso ou um anexo que possui funcionalidade de download integrada. Se o destinatário do e-mail cair no phishing, o ransomware será baixado e executado em seu computador.
Outro vetor popular de infecção por ransomware aproveita serviços como o Remote Desktop Protocol (RDP). Com o RDP, um invasor que roubou ou adivinhou as credenciais de login de um funcionário pode usá-las para autenticar e acessar remotamente um computador na rede corporativa. Com esse acesso, o invasor pode baixar diretamente o malware e executá-lo na máquina sob seu controle.
Outros podem tentar infectar sistemas diretamente, como o WannaCry explorou a vulnerabilidade EternalBlue. A maioria das variantes de ransomware possui múltiplos vetores de infecção.
Depois que o ransomware obtém acesso a um sistema, ele pode começar a criptografar seus arquivos. Como a funcionalidade de criptografia está integrada em um sistema operacional, isso envolve simplesmente acessar arquivos, criptografá-los com uma chave controlada pelo invasor e substituir os originais pelas versões criptografadas. A maioria das variantes de ransomware são cautelosas na seleção de arquivos a serem criptografados para garantir a estabilidade do sistema. Algumas variantes também tomarão medidas para excluir cópias de backup e sombra de arquivos para dificultar a recuperação sem a chave de descriptografia.
Assim que a criptografia do arquivo for concluída, o ransomware estará preparado para exigir um resgate. Diferentes variantes de ransomware implementam isso de várias maneiras, mas não é incomum ter um fundo de exibição alterado para uma nota de resgate ou arquivos de texto colocados em cada diretório criptografado que contém a nota de resgate. Normalmente, essas notas exigem uma determinada quantia de criptomoeda em troca do acesso aos arquivos da vítima. Se o resgate for pago, o operador do ransomware fornecerá uma cópia da chave privada usada para proteger a chave de criptografia simétrica ou uma cópia da própria chave de criptografia simétrica. Essas informações podem ser inseridas em um programa descriptografador (também fornecido pelo cibercriminoso) que pode usá-las para reverter a criptografia e restaurar o acesso aos arquivos do usuário.
Embora essas três etapas principais existam em todas as variantes de ransomware, diferentes ransomwares podem incluir diferentes implementações ou etapas adicionais. Por exemplo, variantes de ransomware como o Maze realizam verificação de arquivos, informações de registro e roubo de dados antes da criptografia de dados, e o ransomware WannaCry verifica outros dispositivos vulneráveis para infectar e criptografar.
Ransomware has evolved significantly over the past few years. Some important types of ransomware and related threats include:
Existem dezenas de variantes de ransomware, cada uma com suas características únicas. No entanto, alguns grupos de ransomware têm sido mais prolíficos e bem-sucedidos do que outros, fazendo com que se destaquem da multidão.
Ryuk é um exemplo de variante de ransomware muito direcionada. Geralmente é entregue por meio de e-mails de spear phishing ou usando credenciais de usuário comprometidas para fazer login em sistemas corporativos usando o Remote Desktop Protocol (RDP). Depois que o sistema é infectado, o Ryuk criptografa certos tipos de arquivos (evitando aqueles que são cruciais para a operação do computador) e, em seguida, apresenta um pedido de resgate.
Ryuk é conhecido como um dos tipos de ransomware mais caros que existem. Ryuk exige resgates que média acima de US$ 1 milhão. Como resultado, os cibercriminosos por trás do Ryuk concentram-se principalmente em empresas que possuem os recursos necessários para atender às suas demandas.
O Labirinto ransomware é famoso por ser a primeira variante de ransomware a combine criptografia de arquivos e roubo de dados. Quando os alvos começaram a se recusar a pagar resgates, o Maze começou a coletar dados confidenciais dos computadores das vítimas antes de criptografá-los. Se as exigências de resgate não fossem atendidas, esses dados seriam expostos publicamente ou vendidos ao licitante com lance mais alto. O potencial para uma dispendiosa violação de dados foi usado como incentivo adicional para pagar.
O grupo por trás do ransomware Maze encerrou oficialmente suas operações. No entanto, isso não significa que a ameaça do ransomware tenha sido reduzida. Alguns afiliados do Maze passaram a usar o ransomware Egregor, e acredita-se que as variantes Egregor, Maze e Sekhmet tenham uma fonte comum.
O grupo REvil (também conhecido como Sodinokibi) é outra variante de ransomware voltada para grandes organizações.
REvil é uma das famílias de ransomware mais conhecidas da rede. O grupo de ransomware, operado pelo grupo REvil de língua russa desde 2019, foi responsável por muitas grandes violações, como ‘Kaseya’ e ‘JBS’
Ele competiu com Ryuk nos últimos anos pelo título de variante de ransomware mais cara. REvil é conhecido por ter exigiu pagamentos de resgate de US$ 800.000.
Embora o REvil tenha começado como uma variante tradicional de ransomware, ele evoluiu ao longo do tempo-
Eles estão usando a técnica de Dupla Extorsão – para roubar dados de empresas e ao mesmo tempo criptografar os arquivos. Isto significa que, além de exigir um resgate para desencriptar os dados, os atacantes podem ameaçar libertar os dados roubados se um segundo pagamento não for feito.
LockBit é um malware de criptografia de dados em operação desde setembro de 2019 e um recente ransomwarecomo serviço (RaaS). Este ransomware foi desenvolvido para criptografar rapidamente grandes organizações, como forma de impedir sua detecção rápida por dispositivos de segurança e equipes de TI/SOC.
Em março de 2021, a Microsoft lançou patches para quatro vulnerabilidades nos servidores Microsoft Exchange. DearCry é uma nova variante de ransomware projetada para tirar vantagem de quatro vulnerabilidades recentemente divulgadas no Microsoft Exchange
O ransomware DearCry criptografa certos tipos de arquivos. Assim que a criptografia for concluída, o DearCry mostrará uma mensagem de resgate instruindo os usuários a enviar um e-mail aos operadores de ransomware para saber como descriptografar seus arquivos.
Lapsus$ é uma gangue de ransomware sul-americana que tem sido associada a ataques cibernéticos contra alguns alvos importantes. A gangue cibernética é conhecida por extorsão, ameaçando divulgar informações confidenciais, caso as exigências de suas vítimas não sejam feitas. O grupo se vangloriou de ter invadido Nvidia, Samsung, Ubisoft e outros. O grupo usa código-fonte roubado para disfarçar arquivos de malware como confiáveis.
A successful ransomware attack can have various impacts on a business. Some of the most common risks include:
Ransomware can target any company across all industry verticals. However, ransomware is commonly deployed as part of a cybercrime campaign, which is often targeted at a particular industry. The top five ransomware target industries in 2023 include:
A preparação adequada pode diminuir drasticamente o custo e o impacto de um ataque de ransomware. A adoção das seguintes práticas recomendadas pode reduzir a exposição de uma organização ao ransomware e minimizar seus impactos:
Com o alto custo potencial de uma infecção por ransomware, a prevenção é a melhor estratégia de mitigação de ransomware. Isto pode ser alcançado reduzindo a superfície de ataque abordando:
A necessidade de criptografar todos os arquivos de um usuário significa que o ransomware possui uma impressão digital exclusiva quando executado em um sistema. Soluções anti-ransomware são desenvolvidas para identificar essas impressões digitais. As características comuns de uma boa solução anti-ransomware incluem:
Uma mensagem de resgate não é algo que alguém queira ver em seu computador, pois revela que uma infecção por ransomware foi bem-sucedida. Neste ponto, algumas medidas podem ser tomadas para responder a uma infecção ativa de ransomware, e uma organização deve decidir se paga ou não o resgate.
Muitos ataques de ransomware bem-sucedidos só são detectados depois que a criptografia dos dados é concluída e uma nota de resgate é exibida na tela do computador infectado. Neste ponto, os arquivos criptografados provavelmente são irrecuperáveis, mas algumas etapas devem ser tomadas imediatamente:
A tecnologia Anti-Ransomware da Check Point utiliza um motor específico que defende contra as variantes de ransomware de dia zero mais sofisticadas e evasivas e recupera com segurança dados encriptados, garantindo a continuidade dos negócios e a produtividade. A eficácia desta tecnologia é verificada diariamente pela nossa equipa de investigação, demonstrando consistentemente excelentes resultados na identificação e mitigação de ataques.
Harmony endpoint, o principal produto de prevenção e resposta endpoint da Check Point, inclui tecnologia anti-ransomware e fornece proteção para navegadores da web e endpoint, aproveitando as proteções de rede líderes do setor da Check Point. O Harmony endpoint oferece prevenção de ameaças e remediação completa e em tempo real em todos os vetores de ameaças de malware, permitindo que os funcionários trabalhem com segurança, não importa onde estejam, sem comprometer a produtividade.