Tudo sobre Cibersegurança, Segurança da Informação e Proteção Digital.

Ransomware: o malware que criptografa dados, tornando-os inacessíveis para os usuários, vem dando o que falar, e não é de hoje.

O termo é uma combinação de ransom (resgate) com malware (software malicioso), que define um tipo de ataque cibernético que sequestra os dados, exigindo um pagamento, ou seja, um resgate para liberação.

O ransomware surgiu no final da década de 80. Desde então, muita coisa mudou. As táticas na utilização dessa ameaça evoluíram significativamente e, o que antes era uma arma, vêm se transformando em uma indústria muito lucrativa.

O Relatório de ameaças cibernéticas da SonicWall apontou um crescimento alarmante nos ataques de ransomware em 2021. Em um período de quatro meses, de janeiro a abril deste ano, foram registrados 154,4 milhões de ataques de ransomware.

Quando falamos sobre ransomware, não são apenas os dados que estão em jogo. Para descobrirmos o que existe por trás do sequestrador digital, precisamos analisá-lo mais atentamente.

Por isso, apresentaremos a anatomia do ransomware, dissecando as seguintes etapas:

➔ Ransomware: como ele atua?

➔ Ataques ransomwares: de 2018 a 2021

➔ Ransomware como indústria: Consequências e preocupações

➔ Como evitar um ataque ransomware?

➔ Como descriptografar os dados?

➔ Ransomware: o cenário pede profundidade na segurança

Ransomware: como ele atua?

O ransomware é um software malicioso criado para obter acesso a dispositivos e máquinas, alcançando os dados armazenados, criptografando-os e deixando-os inacessíveis.

Imagine que você deseja transmitir uma mensagem confidencial a outra pessoa.

De maneira óbvia, você não deseja que ninguém tenha acesso àquela mensagem, além do seu destinatário. Uma alternativa seria escrever a mensagem em código, transformando-a em informações ilegíveis para terceiros.

Este é o princípio básico da criptografia. No caso do ransomware, são utilizados dois tipos de criptografia: a simétrica e a assimétrica.

A criptografia simétrica utiliza uma única chave para criptografar e descriptografar os dados. Já a segunda, aplica uma chave pública para criptografar as informações e uma chave privada para descriptografar.

A aplicação das técnicas de criptografia muda de acordo com o tipo de ransomware utilizado pelos atacantes. Mas, nem sempre o ransomware utiliza criptografia em sua execução.

Basicamente, existem duas categorias mais abrangentes de ransomwares: os de bloqueio e os de criptografia.

  • Ransomwares de bloqueio: atacam as funções básicas da máquina/dispositivo. Podem aparecer como pop-ups e falsas notificações de atualizações de softwares legítimos.
  • Ransomwares de criptografia: os arquivos são criptografados.

Embora tenham sido pioneiros, os ransomwares de criptografia foram ignorados por um bom tempo.

Criptovirologia: como a negligência promoveu a explosão do ransomware de criptografia

Cryptovirology é traduzido literalmente como criptovirologia, definindo a primeira tese com o tópico de malware baseado em criptografia. Os criadores da tese foram os criptógrafos Adam Young e Moti Yung.

O objetivo dos especialistas era descobrir quão devastador poderia ser o malware AIDS Trojan - o primeiro ransomware da história -. Eles desejavam entender o quanto essa ameaça poderia evoluir, à medida que a aplicação da criptografia fosse aprimorada.

Seus estudos e análises resultaram no primeiro ransomware de criptografia assimétrica. Além disso, eles ainda levantaram a hipótese de que a vítima pagaria pela liberação dos arquivos em texto cifrado assimétrico para o atacante, o que seria uma ideia primária do dinheiro eletrônico, as criptmoedas.

O ano era 1995, e a descoberta não foi bem recebida. Entretanto, em 2011, as previsões dos especialistas se confirmaram e os desenvolvedores de criptomalware evoluíram suas estratégias, passando a utilizar criptografia assimétrica.

É inevitável imaginar que parte dos grandes ataques de ransomwares de criptografia poderiam ter sido mitigados, caso as descobertas fossem consideradas de maneira diferente.

Diante disso, fica claro que, seja bloqueando ou criptografando os dados, o objetivo dos cibercriminosos é: tornar os dados indisponíveis, a fim de cobrar um resgate para liberá-los.

Lembre-se: o ransomware não é um vírus, e sim um malware. O vírus é um tipo de malware e existem diferenças entre esses termos.

Para ficar mais claro, confira nosso pocket sobre vírus:

Assim como outras ciberameaças, o ransomware pode explorar diferentes vulnerabilidades para alcançar seus objetivos.

Ou seja, nem sempre será necessário baixar um arquivo ou clicar em um link malicioso. Ele pode se infiltrar nos dispositivos e máquinas sem ser percebido pelo usuário.

Ao longo dos últimos anos, os ataques de ransomwares foram executados de maneira diferente, causando grandes impactos e prenunciando a força dessa ameaça contra a segurança das informações.

Vejamos alguns episódios marcantes.

Ataques ransomwares: de 2018 a 2021

Vários acontecimentos marcantes ocorreram ao redor do mundo em 2018. Copa do Mundo, eleições nacionais, separação entre a União Europeia e o Reino Unido e a greve dos caminhoneiros, foram alguns dos destaques.

No setor da cibersegurança, o ano de 2018 também foi movimentado e ficou marcado pela explosão dos ataques ransomwares, expondo os riscos dessa ameaça para a sociedade.

Aeroporto de Bristol: telas em branco e uma resposta rápida

Dia 16 de setembro de 2018, uma sexta-feira, as operações do Aeroporto de Bristol, no Reino Unido - Inglaterra, sofreram uma interrupção em suas telas de exibição de informações, que ficaram totalmente em branco.

Seus sistemas foram afetados por um ataque ransomware. Felizmente, o aeroporto respondeu rapidamente ao ataque, com eficácia.

O porta-voz James Gore disse:

"Acreditamos que houve uma tentativa online de atingir parte de nossos sistemas administrativos, e isso nos obrigou a colocarmos vários aplicativos offline como medida de precaução, incluindo aquele que fornece nossos dados para telas de informações de voo."

Dessa forma, nenhum voo foi cancelado e nenhum resgate foi pago.

Hancock Health: quando a operação não pode parar, o preço pode ser muito alto

A clínica americana Hancock Health não conseguiu se sair bem diante de um ataque ransomware, em 2019. Os atacantes instalaram o ransomware SamSam, que normalmente explora as vulnerabilidades em Remote Desktop Protocols (RDP) e File Transfer Protocol (FTP).

O valor do resgate exigido foi de 4 Bitcoins - cerca de U$ 55.000, e foi pago pela clínica, que não teria tempo para restaurar seus computadores de forma independente.

Veja como está a cotação do Bitcoin hoje.

Os ransomwares e os vazamentos de dados em 2020 e 2021

À medida que o tempo passa, os ataques ransomwares evoluem, utilizando combinações e táticas diferentes para alcançar seus objetivos. Como, por exemplo, desviar os dados antes de criptografá-los.

Através dessa estratégia, a chantagem ganha mais força, pois os criminosos ameaçam a destruição dos dados ou publicação das informações em leilões na dark web.

STJ atacado e outras instituições na mira do ransomware

No dia 3 de novembro de 2020, o Supremo Tribunal de Justiça sofreu um ataque ransomware de criptografia, que capturou cerca de 1.200 servidores, entre físicos e virtuais, além de capturar também os arquivos de backup.

A recuperação dos dados e a retomada das atividades só foi possível através de um árduo trabalho executado pela Microsoft, Atos Brasil e Redbelt Security, e nas investigações da Polícia Federal, do Exército e do Serpro.

Entretanto, este episódio não foi um fato isolado na utilização do ransomware contra instituições públicas no Brasil.

Ransomware Revil ataca TJ‑RS

No dia 28 de abril, o Tribunal de Justiça do Estado do Rio Grande do Sul sofreu um ataque ransomware. Os dados criptografados foram documentos com fotos do sistema.

Os criminosos ainda utilizaram estratégias que exibiam telas no desktop de maneira persistente, exigindo o pagamento do resgate. O valor determinado para o resgate das informações foi de US$ 5 milhões, e o ransomware utilizado foi o Revil.

Esses episódios sinalizam que o ransomware está se transformando em uma indústria lucrativa.

Ransomware como indústria: Consequências e preocupações

De acordo com o estudo Remote Chaos Communication Congress (RC3), de 2020, os cibercriminosos lucraram mais de US$ 16 milhões com ransomware, de 2016 a 2017. O estudo foi conduzido por diversos analistas, apresentando os lucros e os impactos das ações criminosas.

Observando o histórico dos ataques ransomware, é possível notar uma oscilação no crescimento dos ataques. Entre 2014 e 2017, os ataques aumentaram cerca de 30% por ano, como apontam os dados da Kaspersky.

Estranhamente, depois do famoso WannaCry, houve uma queda.

Já em 2018, os ataques ressurgiram com força e com uma mudança no foco: as estratégias utilizadas passaram a focar em alvos direcionados, empresas específicas, organizações governamentais e setores industriais críticos.

Diante dessa movimentação, podemos observar que o ransomware está se transformando em uma indústria muito perigosa e rentável. O surgimento de grupos como o DarkSide, levantam preocupações para os especialistas de segurança.

Como apontou o relatório da empresa de inteligência de ameaças Flashpoint, os “agentes de ameaças por trás do ransomware DarkSide são de origem russa e são provavelmente ex-afiliados do grupo REvil RaaS [ransomware-as-a-service]".

Alguns métodos de atuação do grupo:

  • Utilização do ransomware RaaS - o ransomware-as-a-service é um modelo de negócio, onde o desenvolvedor do malware permite que outros grupos utilizem o malware para execução de ataques, cobrando uma comissão.
  • Parcerias com empresas de descriptografia - o grupo está em busca de empresas parceiras que trabalham com serviços legítimos de descriptografar os dados. O objetivo é aproveitar a ausência de departamentos de informação, que muitas empresas apresentam, para quebrar a criptografia aplicada pelos ataques.

A ideia é estabelecer uma parceria que gere lucro às empresas de descriptografia e, claro, para os cibercriminosos.

  • Falsas doações de caridade - no site DarkSide Leaks é possível ver as doações supostamente feitas para instituições de caridade. A estratégia é convencer as vítimas a pagarem o resgate, alegando que boa parte irá para uma causa nobre.

É fácil saber que esse dinheiro não chegará às instituições, visto que muitos países proíbem as organizações humanitárias de receberem dinheiro obtido ilegalmente.

Esse cenário aponta que os próximos ataques serão ainda mais coordenados e precisos em suas execuções, além de expor que a força e lucratividade dos cibercriminosos crescerão cada vez mais.

O que fazer?

Como evitar um ataque ransomware?

Analisar a anatomia do ransomware reforça a verdade que os especialistas sempre apresentam: a prevenção é o melhor caminho. Diante disso, separamos alguns passos para te ajudar na prevenção desta ameaça:

  1. Treine seus colaboradores e fortaleça uma cultura de segurança na empresa

É fundamental que os funcionários de uma empresa conheçam as técnicas de engenharia social e saibam como os atacantes atuam.

Por isso, gestores e diretores precisam fornecer treinamentos contínuos para seus colaboradores, possibilitando que eles executem ações básicas de higiene digital, além de terem a capacidade de reportar ameaças à segurança.

Confira dicas de como treinar seus colaboradores:

Cibersegurança e Colaboradores: Como Conscientizar?
O ano de 2020 reforçou muitas verdades importantes para o cenário empresarial. Uma delas é a necessidade da tecnologia e da cibersegurança para a continuidade dos negócios. Essa necessidade não envolve só ferramentas, mas ações e medidas visando um elo básico em qualquer organização: as pessoas. …

2. Crie uma política de backup

Possuir cópias de segurança, atualizadas e organizadas, é uma medida de sobrevivência às empresas. Seja para lidar com ataques cibernéticos ou desastres de outra natureza, é fundamental manter uma rotina de backup.

Para isso, é necessário contar com serviços eficientes e de qualidade para atender a empresa. Através do backup a empresa poderá recuperar seus dados, casos sofra um ataque ransomware, uma medida de prevenção.

4. Fortaleça o gerenciamento de patches de segurança

O monitoramento de vulnerabilidades é uma medida muito importante contra o ransomware e outras ciberameaças. Atualize regularmente os sistemas com os patches de segurança apropriados para garantir que os cibercriminosos não tirem proveito das falhas conhecidas, obtendo acesso a redes para distribuir ransomware.

Quer saber mais sobre identificação e monitoramento de ameaças? Confira o nosso webinar técnico de maio:

[Starti Tech #4] Identificação e controle de intrusões: Como proteger a rede de invasores?
Todos os dias, empresas são alvos de inúmeras tentativas de invasões e ataques cibernéticos. Só em 2020, houve um crescimento de 860% de tentativas de invasões, segundo os dados da TI Safe. Ações de prevenção e cuidado contra essas ameaças são essenciais. Por isso, no Starti Tech de abril você vai …

5. Estabeleça a autenticação multifatorial

A maioria dos ransomware obtém acesso por meio do sequestro de senhas estáticas. Por isso, habilitar a autenticação multifatorial das contas na rede pode evitar invasões, pelo fato de exigirem informações adicionais.

6. Não pague o resgate

Os especialistas de segurança e autoridades do FBI sempre recomendam: não pague o valor exigido pelos criminosos. A chance de recuperar os dados é mínima, quando não, inexistente.

7. Trabalhe a segurança em camadas

Muitas das ações bem sucedidas de ataques ransomwares e outras ciberameaças são consequência de vulnerabilidades não tratadas. Por isso é fundamental que a empre trabalhe a segurança em diferentes níveis, através de um mapeamento de riscos, com soluções de segurança abrangente.

Descubra como o Starti Security pode ajudar a mitigar ataques ransomwares e outras ameaças:

Como descriptografar os dados?

Caso você entre na mira do sequestrador digital, existe uma chance de recuperar os dados. Entretanto, isso depende do tipo de ransomware utilizado na infecção.

Existem algumas ferramentas de descriptografia que quebram a criptografia aplicada pelo ransomware, utilizando algoritmos específicos, desenvolvidos por especialistas de segurança.

O projeto No More Ransomware é um exemplo. É um serviço desenvolvido pela Kaspersky em parceria com a polícia nacional holandesa, a Europol e a McAfee, que fornece recursos úteis para as vítimas do ransomware.

Contudo, existem muitas ferramentas falsas disponíveis, com malwares embutidos, como a Ransomware-Resilient Backup from Cloudian. Por isso, é importante pesquisar e entender como essas soluções funcionam, e se são confiáveis.

Sendo assim, é necessário contar com especialistas, pensando a segurança em níveis mais profundos.

Ransomware: o cenário pede profundidade na segurança

A cada novo ataque ransomware que acontece, torna-se mais forte o alerta dos especialistas: é necessário aprofundar a segurança das empresas!

Os ransomware, assim como outros ataques, estão sendo utilizados para diferentes fins: paralisar organizações governamentais, obter dados sigilosos, interromper operações críticas, sabotar concorrentes, etc.

Já passou da hora das empresas enxergarem a necessidade da cibersegurança nesse cenário. Instituições que não possuem medidas mínimas de segurança, não terão muito tempo para se preocupar, pois, é provável que não sobrevivam aos próximos anos.

Contudo, aquelas que já se previnem minimamente, precisam aprofundar suas ações e investimento em segurança. Trabalhar as diferentes camadas e níveis da empresa, mapear as vulnerabilidades e sempre contar com o elemento da dúvida.

Como bem observou Bruce Schneier:

"A história nos ensinou: nunca subestime a quantidade de dinheiro, tempo e esforço que alguém despende para frustrar um sistema de segurança. É sempre melhor presumir o pior. Suponha que seus adversários sejam melhores do que são. Suponha que a ciência e a tecnologia logo serão capazes de fazer coisas que ainda não podem. Dê a si mesmo a margem de erro. Dê a si mesmo mais segurança do que você precisa hoje. Quando o inesperado acontecer, você ficará feliz por ter feito."

Nós sabemos que o cenário está se afunilando. A demanda de segurança é urgente! Empresas precisam ficar seguras.

Como desenvolvedora, focada nas pequenas e médias empresas, queremos que essas organizações, que representam uma parcela tão significativa do mercado brasileiro, tenham a possibilidade de ficarem seguras.

Além disso, queremos que empreendedores, prestadores de serviços de TI, que atuam na linha de frente no atendimento a essas organizações, transformem seus negócios e cresçam no mercado, oferecendo serviços de segurança.

Por esse motivo, desenvolvemos o Starti Partners, o programa focado no crescimento de receita recorrente e escalabilidade de negócio nas empresas de TI, tornando-as aptas a criarem uma frente de trabalho que venda, entregue e gerencie segurança e disponibilidade como serviço.

Quer saber mais? Clique agora no banner para falar com um de nossos especialistas.

banner-parceria

Conclusão

Uma batalha está diante das empresas e dos profissionais de segurança. O ransomware, assim como outras ciberameaças, está em constante evolução e precisa ser encarado como um sério risco.

Lembre-se:

“A água não tem forma constante. Na guerra também não há condições constantes. Por isso, é divino aquele que obtém uma vitória alterando as suas táticas em conformidade com a situação do inimigo.” - A Arte da Guerra, de Sun Tzu.

Quer receber conteúdos semanais sobre cibersegurança? Acompanhe-nos nas redes sociais:

YouTube | Facebook | Instagram | LinkedIn | Podcast Távola Redonda | Canal no Telegram

Fontes

Kaspersky | Avast | AGV