Ransomware é uma ameaça crescente para organizações em todo o mundo, usado pelos criminosos cibernéticos em ataques direcionados que causam prejuízos. É um tipo de software malicioso que impede as vítimas de acessar documentos, fotos, bancos de dados e outros arquivos por meio de criptografia, exigindo resgate para descriptografá-los. Estipula-se um prazo para o pagamento do resgate e, se não for cumprido, o valor do resgate dobra ou os arquivos são permanentemente bloqueados.
O ransomware é uma ameaça cada vez maior em todo o mundo, fazendo uma nova vítima a cada 10 segundos. Aqui, desvendamos a ameaça de ransomware ao discutir do que se trata, como funciona, como sua utilização mudou nos últimos anos, como se preparar para um ataque e preveni-lo, e o que fazer se você se deparar com uma infecção por ransomware.
Resumidamente, ransomware é um tipo de software malicioso que impede as vítimas de acessar documentos, fotos, bancos de dados e outros arquivos por meio de criptografia, exigindo resgate para descriptografá-los. Estipula-se um prazo para o pagamento do resgate e, se não for cumprido, o valor do resgate dobra ou o acesso a esses arquivos poderá ser perdido para sempre.
Uma compreensão do que é ransomware e como ele funciona é essencial para se proteger contra esses ataques. O ransomware é um malware que criptografa os arquivos de uma vítima e, em seguida, exige resgate para restaurar o acesso a esses arquivos. Para ser bem-sucedido, o ransomware precisa obter acesso a um sistema-alvo, criptografar os arquivos desse sistema e exigir um resgate junto à vítima.
· Etapa 1. Vetores de infecção e distribuição
O ransomware, como qualquer malware, pode obter acesso aos sistemas de uma organização de várias maneiras diferentes. No entanto, os operadores de ransomware tendem a preferir alguns vetores de infecção específicos. Um deles é o e-mail de phishing. Um e-mail malicioso pode conter um link para um site da Web que hospeda um download malicioso ou um anexo com funcionalidade de download incorporada. Se o destinatário do e-mail não identificar o phishing, o ransomware será baixado e executado em seu computador.
Outro conhecido vetor de infecção por ransomware tira proveito de serviços como o Remote Desktop Protocol (RDP). Com o RDP, um invasor que tiver roubado ou adivinhado as credenciais de login de um funcionário pode usá-las para autenticar e acessar remotamente um computador dentro da rede corporativa. Com esse acesso, o invasor pode fazer download do malware diretamente e executá-lo na máquina sob seu controle.
· Etapa 2. Criptografia de arquivos
A criptografia dos arquivos de um usuário é o que diferencia o ransomware de outras variantes de malware. Ao criptografar dados sigilosos e valiosos, o operador de ransomware pode exigir resgate em troca da chave de descriptografia, acreditando que a vítima fará o pagamento.
O ransomware normalmente usa dois tipos de criptografia: simétrica e assimétrica. A criptografia simétrica requer a mesma chave para criptografia e descriptografia, enquanto a criptografia assimétrica usa uma chave pública para criptografia e uma chave privada para descriptografia.
As variantes de ransomware contêm uma lista que descreve os tipos de arquivos que devem criptografar, seja ao relacionar determinadas extensões de arquivos, diretórios ou ambos. Para cada um desses arquivos, o ransomware usa criptografia simétrica no arquivo e salva uma cópia da chave simétrica criptografada com uma chave pública. A chave privada correspondente – que é necessária para descriptografar a chave simétrica usada para descriptografar os arquivos – é conhecida apenas pelo operador de ransomware.
· Etapa 3. Pedido de resgate
Quando a criptografia dos arquivos estiver concluída, o ransomware estará preparado para exigir resgate. As diferentes variantes de ransomware fazem isso de várias maneiras, mas não é incomum ter um fundo de tela alterado para um bilhete de resgate ou arquivos de texto inseridos em cada diretório criptografado contendo o bilhete de resgate. Em geral, esses bilhetes exigem uma determinada quantidade de criptomoeda em troca de acesso aos arquivos da vítima. Se o resgate for pago, o operador de ransomware fornecerá uma cópia da chave privada usada para proteger a chave de criptografia simétrica ou uma cópia da própria chave de criptografia simétrica. Essas informações podem ser inseridas em um programa de descriptografia (também fornecido pelo criminoso cibernético) que pode usá-las para reverter a criptografia e restaurar o acesso aos arquivos do usuário.
Agora que entendemos o que é ransomware, vamos analisar por que ele está chamando tanta atenção. Em primeiro lugar, o ransomware é uma das maiores e mais conhecidas ameaças cibernéticas existentes. Em 2019, o custo dos ataques de ransomware foi estimado em US$ 11,5 bilhões. A expectativa é de que até 2021, esse valor praticamente dobre, atingindo US$ 20 bilhões. Os ataques de ransomware afetam uma grande variedade de sistemas, incluindo dispositivos móveis, como smartphones e tablets. Apenas em 2019, foram detectados mais de 68 mil novos Trojans que haviam instalado ransomware em dispositivos móveis. Um ataque de ransomware bem-sucedido pode acarretar custos, prejuízos e tempo de inatividade significativos para uma organização, uma vez que todos os sistemas afetados devem ser limpos e restaurados. Embora todos os setores sejam alvos, os criminosos cibernéticos tendem a se concentrar em infraestruturas críticas, como hospitais, cidades e escolas. Para obter mais informações, confira os ataques de ransomware recentes。
O ransomware Ryuk é uma das variantes de ransomware mais famosas que realizam esse novo ataque mais direcionado. As infecções causadas pelo ransomware Ryuk são personalizadas para uma organização específica e exigem que as vítimas entrem em contato com o invasor por e-mail para negociar o pagamento do resgate. Essa abordagem mais pessoal implica um preço mais alto e, consistentemente, o Ryuk tem batido recordes em relação aos pedidos de resgate mais elevados que já foram feitos até hoje.
· Roubo de dados agrupados
O estágio mais recente na evolução do ransomware foi projetado para lidar com o fato de que as vítimas de ransomware normalmente optam por não pagar o resgate exigido. Muitas organizações têm preferido tentar se recuperar por conta própria, a um custo muito maior, em vez de permitir que os criminosos cibernéticos lucrem com seus ataques.
Os operadores de ransomware, como aqueles que estão por trás das variantes de ransomware Maze e REvil, responderam a essa tendência agrupando a funcionalidade de roubo de dados dentro de seu ransomware. Antes de criptografar dados em um computador-alvo, o malware exfiltra alguns deles para obter uma vantagem contra a vítima. Se o alvo do ataque se recusar a pagar o resgate, esses dados podem ser violados publicamente ou vendidos a quem oferecer mais. Isso pode resultar em perda de vantagem competitiva ou penalidades de acordo com o Regulamento Geral de Proteção de Dados (RGPD) ou leis de privacidade semelhantes, fornecendo às vítimas de ransomware um incentivo a mais para pagar.
Em abril de 2020, a Cognizant, uma das maiores empresas de tecnologia e consultoria segundo a Fortune 500, confirmou que sofreu um ataque do ransomware Maze.
O Maze não é como um ransomware típico de criptografia de dados. Ele não apenas se espalha por uma rede, infectando e criptografando cada computador que estiver em seu caminho, mas também exfiltra os dados para os servidores dos invasores, onde são mantidos enquanto aguardam o resgate. Se um resgate não for pago, os invasores divulgam os arquivos on-line. No entanto, um site da Web que, como se sabe, está associado a invasores do Maze, ainda não anunciou ou publicou dados relacionados à Cognizant.
Em dezembro, o FBI emitiu um alerta exclusivo para as empresas sobre um aumento nos incidentes de ransomware ligados ao Maze.
Desde o alerta, várias corporações importantes foram atingidas pelo Maze, incluindo a seguradora cibernética Chubb, a gigante contábil MNP, um escritório de advocacia e uma empresa petrolífera.
· Cryptowall – Ransomware que começou como um Cryptolocker doppelgänger, mas acabou superando-o. Após o declínio do Cryptolocker, o CryptoWall tornou-se um dos ransomwares mais proeminentes até hoje. O CryptoWall é conhecido pelo uso da criptografia AES e por conduzir suas comunicações de comando e controle através da rede anônima Tor. Ele é amplamente distribuído por meio de kits de exploit e campanhas de malware e phishing.
· WannaCry – Ransomware que foi disseminado em um ataque de larga escala, em maio de 2017, utilizando um exploit SMB Windows denominado EternalBlue para se propagar dentro das redes e entre elas. Infectou mais de 100 mil computadores tirando proveito de uma vulnerabilidade não corrigida do Microsoft Windows.
· Jaff – Ransomware que começou a ser distribuído pelo botnet Necrus, em maio de 2017, por meio de e-mails de spam contendo um anexo em PDF com um arquivo DOCM incorporado. Quando o malware apareceu pela primeira vez, ele se espalhou com enorme abrangência a uma taxa de infecção de aproximadamente 10 mil e-mails enviados por hora.
· Locky – Ransomware que iniciou sua distribuição em fevereiro de 2016 e se espalha principalmente por meio de e-mails de spam contendo uma funcionalidade de download disfarçada como um anexo Word ou Zip que, em seguida, baixa e instala o malware que criptografa os arquivos do usuário.
· TorrentLocker – Ransomware que criptografa documentos, imagens e outros tipos de arquivos do usuário. As vítimas são solicitadas a pagar até 4,1 BitCoins (aproximadamente US$ 1.800) por vez aos invasores para descriptografar seus arquivos.
· Cerber – É um ransomware off-line, ou seja, não precisa se comunicar com seu servidor C&C antes de criptografar arquivos em uma máquina infectada. Ele se espalha principalmente por meio de campanhas de malware que tiram proveito de kits de exploit, mas também por meio de campanhas de spam. É operado por seu autor como um ransomware como serviço; o autor recruta afiliadas para espalhar o malware em troca de uma parte do pagamento do resgate.
A preparação adequada pode reduzir drasticamente o custo e o impacto de um ataque de ransomware. Adotar as seguintes medidas pode reduzir a exposição de uma organização ao ransomware e minimizar seus impactos:
• Treinamento e formação sobre conscientização cibernética: o ransomware geralmente é difundido usando e-mails de phishing. É fundamental treinar os usuários sobre como identificar e evitar possíveis ataques de ransomware. Como muitos dos ciberataques atuais começam com um e-mail direcionado que nem mesmo contém malware, mas apenas uma mensagem de engenharia social que incentiva o usuário a clicar em um link malicioso, a educação do usuário é frequentemente considerada uma das defesas mais importantes que uma organização pode implementar.
• Backups contínuos de dados: segundo a definição de ransomware, um malware é projetado de tal forma que o pagamento do resgate é a única maneira de restaurar o acesso aos dados criptografados. Backups de dados automatizados e protegidos permitem que uma organização se recupere de um ataque com um mínimo de perda de dados e sem pagar um resgate. Manter backups regulares de dados como um processo de rotina é uma prática muito importante para evitar a perda de dados e poder recuperá-los em caso de corrupção ou mau funcionamento do hardware do disco. Backups funcionais também podem ajudar as organizações a se recuperarem de ataques de ransomware.
• Implantação de patches: a aplicação de patches é um componente crítico na defesa contra ataques de ransomware, já que os criminosos cibernéticos com frequência procuram os últimos exploits descobertos nos patches disponibilizados e, em seguida, visam a sistemas nos quais os patches ainda não foram implantados. Sendo assim, é fundamental que as organizações garantam que todos os sistemas tenham os patches mais recentes implantados, pois isso reduz o número de vulnerabilidades em potencial dentro da empresa a serem exploradas por um invasor.
• Autenticação do usuário: acessar serviços como RDP com credenciais de usuário roubadas é uma das técnicas preferidas de invasores que praticam ransomware. O uso de uma autenticação de usuário forte pode dificultar que um invasor utilize uma senha adivinhada ou roubada.
• Soluções antirransomware: a necessidade de criptografar todos os arquivos de um usuário significa que o ransomware tem uma impressão digital exclusiva ao ser executado em um sistema. Soluções especializadas antirransomware podem usar isso para identificar e encerrar processos potencialmente maliciosos, minimizando os danos causados.
Ninguém deseja visualizar uma mensagem de resgate no computador, uma vez que ela atesta o sucesso de uma infecção por ransomware. Neste ponto, algumas medidas podem ser adotadas para responder a uma infecção ativa por ransomware e uma organização deve optar se pagará ou não o resgate.
• Como mitigar uma infecção ativa por ransomware
Muitos ataques bem-sucedidos de ransomware só são detectados depois que a criptografia de dados é concluída e um bilhete de resgate é exibido na tela do computador infectado. Neste ponto, os arquivos criptografados provavelmente não são recuperáveis, mas algumas medidas devem ser adotadas de imediato:
1. Colocar a máquina em quarentena: algumas variantes de ransomware tentarão se espalhar para unidades conectadas e outras máquinas. Limite a disseminação do malware removendo o acesso a outros alvos em potencial.
2. Deixar o computador ligado: a criptografia de arquivos pode tornar um computador instável e desligá-lo pode resultar em perda de memória volátil. Mantenha o computador ligado para maximizar a probabilidade de recuperação.
3. Criar um backup: para algumas variantes de ransomware é possível descriptografar arquivos sem pagar o resgate. Faça uma cópia dos arquivos criptografados em mídia removível caso uma solução se torne disponível no futuro ou a falha do esforço de descriptografia comprometa os arquivos.
4. Verificar se há descriptografadores: verifique se há um descriptografador gratuito disponível junto à iniciativa No More Ransom Project. Se houver, execute-o em uma cópia dos dados criptografados para ver se ele é capaz de restaurar os arquivos.
5. Pedir ajuda: os computadores às vezes armazenam cópias de backup de arquivos armazenados neles. Um perito forense digital talvez consiga recuperar essas cópias se elas não tiverem sido excluídas pelo malware.
6. Limpar e restaurar: restaure a máquina a partir de um backup limpo ou da instalação do sistema operacional. Isso garante que o malware seja completamente removido do dispositivo.
• Você deve pagar o resgate?
Segundo a definição do ransomware, ele foi projetado para fazer com que as vítimas tenham de escolher entre pagar um resgate ou perder o acesso a seus dados para sempre. Em muitos casos, o custo de um resgate é menor do que tentar se recuperar sem pagá-lo.
No entanto, as práticas recomendadas de cibersegurança sugerem não pagar o resgate. Os motivos são vários:
• O objetivo do ransomware é gerar lucro: os operadores de ransomware criam e usam esse malware para ganhar dinheiro. Pagar um resgate permite que eles continuem operando e mantém viva a ameaça de ransomware.
• O pagamento demonstra uma disposição para pagar: pagar um resgate mostra a um criminoso cibernético que você está disposto a fazê-lo para acabar com uma ameaça cibernética. Com frequência, isso aumenta a probabilidade de ser alvo de ataques futuros.
• O pagamento não garante a recuperação: pagar um resgate envolve confiar no criminoso cibernético para fornecer a chave de descriptografia em troca. No entanto, nem todas as pessoas que pagam resgates recebem uma chave e, mesmo com uma chave, nem todos os dados são recuperados com sucesso.
• A decisão de uma organização de ter condições ou não de pagar um resgate cabe à própria organização. Embora as práticas recomendadas indiquem que os pedidos de resgate nunca devam ser pagos, cada caso é único.
A tecnologia antirransomware da Check Point usa um mecanismo específico que defende contra as variantes de dia zero mais sofisticadas e evasivas de ransomware, além de recuperar dados criptografados com segurança, garantindo a continuidade e a produtividade dos negócios. A eficácia dessa tecnologia está sendo verificada todos os dias pela nossa equipe de pesquisa e apresenta consistentemente excelentes resultados na identificação e mitigação de ataques.
O SandBlast Agent, pproduto líder de prevenção e resposta de endpoint da Check Point, inclui tecnologia antirransomware e fornece proteção para navegadores e endpoints, aproveitando as proteções de rede líderes da indústria da Check Point. O SandBlast Agent oferece resolução e prevenção de ameaças completas em tempo real em todos os vetores de ameaças de malware, permitindo que os funcionários trabalhem com segurança, não importa onde estejam, sem comprometer a produtividade.